¿Por qué está en China la mitad de computadoras infectadas con ransomware WannaCry?

La red de seguridad pública de China infectada por el ransomware Wanna Cry. Fotografía de Weibo por Letscorp.

China es uno de los países más gravemente afectados por el programa ransomware conocido como «WannaCry», lanzado el 12 de mayo, que infectó alrededor de 230.000 computadoras en 99 países en tan solo un día.

El Centro Nacional de Respuesta ante Emergencias Informáticas de China ha confirmado que, hacia el 14 de mayo, la mitad de las direcciones IP infectadas estaban localizadas en China. Los ataques afectaron alrededor de 30.000 instituciones, incluyendo universidades, puntos de verificación de inmigración y estaciones de petróleo.

El ransomware, que se cree aprovecha la fisura llamada «Eterno Azul» elaborada por la Agencia de Seguridad Nacional (NSA) de Estados Unidos, ataca computadoras que ejecutan el sistema operativo Microsoft Windows y bloquea usuarios de sus propias computadoras mediante la encriptación de sus archivos. Se les exige que paguen 300 dólares estadounidenses en bitcoins a cambio de la desencriptación. Una vez conectadas a internet a través del puerto 445 (puerto para protocolos para compartir documentos), todas las computadoras que ejecuten el sistema operativo Windows serían objeto de ataque si no se han descargado los parches de actualización de seguridad lanzados en marzo de 2017.

El ransomware fue contenido brevemente gracias al descubrimiento de un «interruptor de emergencia» de un investigador británico, pero el 14 de mayo se lanzó una nueva versión.

Los usuarios de computadoras chinas pueden ser más vulnerables al ataque pues muchos utilizan comúnmente versiones sin licencia (pirateadas) o anticuadas del sistema operativo Windows, que no reciben actualizaciones de seguridad.

Para empeorar aun más las cosas, muchos usuarios de computadora no eran conscientes de la llegada del ataque, pues muy pocos medios locales informaron acerca de las amenazas de seguridad.

A pesar de que la gran mayoría de proveedores de servicios de internet en China bloquearon el puerto 445, principalmente usado por Windows para compartir archivos, para así evitar el potencial ataque masivo dirigido a Microsoft Windows, varias instituciones de servicios, incluyendo universidades, oficinas de seguridad pública y estaciones de petróleo no bloquearon el puerto.

Las universidades están entre los más afectados. Universidades de alrededor del país, como Qinghua, Beida, Shanghai Jiaotong y la Universidad de Shandong quedaron infectadas. Un gran número de estudiantes de tesis y proyectos de investigación quedaron encriptados por el ransomware, y siguen así. Los medios nacionales informaron:

截至到5月13日20点,国内有29372家机构组织的数十万台机器感染,其中有教育科研机构4341家中招…

Hacia las 20:00 del 13 de mayo, cientos de miles de computadoras de 29.372 instituciones fueron atacadas por el ransomware. 4.341 instituciones educativas relacionadas tienen casos infectados…

Un informe del medio estatal Xinhua cita al Centro Nacional de Respuesta ante Emergencias Informáticas:

截至14日10时30分,国家互联网应急中心已监测到约242.3万个IP地址遭受“永恒之蓝”漏洞攻击;被该勒索软件感染的IP地址数量近3.5万个,其中中国境内IP约1.8万个。

Hacia las 10:30 del 14 de mayo, el Centro Nacional de Respuesta ante Emergencias Informáticas detectó 2.423.000 IP bajo ataque como resultado del Eterno Azul; el número de IP infectados por el ransomware es más de 35.000 (mundial) y dentro de China, alrededor de 18.000 IP han sido infectados.

Además del educativo, una serie de puestos de verificación de inmigración quedaron paralizados pues la red de seguridad pública fue infectada.

En las redes sociales, funcionarios de seguridad pública en la ciudad de Xiangshui, en la provincia de Jiangsu, informaron del ataque a su sistema de inmigración y tuvieron que cerrar el puesto de verificación de inmigración. Los internautas informaron que las oficinas de inmigración de Shangái y la Chaoyang de Pekín también quedaron paralizadas a causa del ataque ransomware.

En la medianoche del 13 de mayo, un gran número de máquinas de relleno automático de petróleo de PetroChina quedaron paralizadas y el sistema no se restableció hasta las 12 pm del 14 de mayo.

Ante la nueva versión del ransomware «WannaCry 2.0″, que no puede ser detenido por el llamado «interruptor de emergencia», las autoridades chinas han emitido un aviso a través de los grandes portales web, medios de comunicación y redes universitarias en un esfuerzo para contener la propagación del ransomware.

Hasta ahora, no ha habido gran evaluación de por qué China ha sido uno de los países más vulnerables por este ataque de ransomware. Los medios oficiales han sugerido que la propagación del ransomware fue causada por estudiantes universitarios que utilizan la red de la universidad para juegos en línea. Pero esto no explica por qué las redes de servicios de seguridad pública y de petróleo también fueron infectados.

Inicia la conversación

Autores, por favor Conectarse »

Guías

  • Por favor, trata a los demás con respeto. No se aprobarán los comentarios que contengan ofensas, groserías y ataque personales.