Proteja su iPhone frente a amenazas
gratis con Avast Mobile Security
- Seguridad
- Privacidad
- Rendimiento
Conocido como el exploit más duradero y dañino de todos los tiempos, EternalBlue es la pesadilla de los ciberataques que no desaparece. Descubra qué es EternalBlue, cómo se filtró la herramienta de pirateo y por qué la Agencia de Seguridad Nacional de Estados Unidos la desarrolló en primer lugar. Además, entienda cómo protegerse contra los ataques de malware tipo gusano relacionados con el exploit EternalBlue.
EternalBlue es tanto el nombre que reciben una serie de vulnerabilidades del software de Microsoft como el exploit creado por la NSA como herramienta de ciberataque. Aunque el exploit EternalBlue (denominado oficialmente MS17-010 por Microsoft) solo afecta a los sistemas operativos Windows, cualquier cosa que use el protocolo de intercambio de archivos SMBv1 (Server Message Block versión 1) está técnicamente en riesgo de ser objetivo de ransomware y otros ciberataques.
Este artículo contiene:
Quizá se pregunte quién creó EternalBlue en primer lugar. Los orígenes de la vulnerabilidad SMB parecen salir de una historia de espionaje: peligrosas herramientas de pirateo de la NSA filtradas, un grupo tristemente célebre llamado Shadow Brokers a la caza de vulnerabilidades y exposiciones comunes, y un sistema operativo increíblemente popular que utilizan individuos, gobiernos y corporaciones de todo el mundo
Según las declaraciones condenatorias de Microsoft, EternalBlue fue desarrollado por la Agencia de Seguridad Nacional de los Estados Unidos como parte de su controvertido programa de almacenamiento y armamento de vulnerabilidades de ciberseguridad, en lugar de señalarlas al proveedor correspondiente
Antes de que se filtrara, EternalBlue era uno de los exploits más útiles del arsenal cibernético de la NSA... se ha utilizado en innumerables misiones de recopilación de información y contraterrorismo.
― New York Times
Al parecer, la NSA pasó casi un año buscando un fallo en el software de Microsoft. Cuando lo encontraron, la NSA desarrolló EternalBlue para explotar la vulnerabilidad. La NSA usó EternalBlue durante cinco años antes de alertar a Microsoft de su existencia.
Desde entonces, Microsoft ha hecho un llamamiento a la NSA y a otros organismos gubernamentales para que apoyen una Convención de Ginebra Digital que exija el fin del almacenamiento de vulnerabilidades de software por parte de los estados.
Aquí es donde las cosas se ponen interesantes: la NSA recibe un ataque informático y, sin saberlo, desata la eterna amenaza de EternalBlue en el mundo. Poco se sabe oficialmente sobre cómo la NSA sufrió este ataque, pero esto es lo que sabemos sobre cómo se filtró EternalBlue:
Shadow Brokers, el tristemente célebre grupo de piratas informáticos, obtuvo acceso a EternalBlue y filtró la herramienta de pirateo de la NSA el 14 de abril de 2017 a través de un enlace en su cuenta de Twitter. Esta no fue la primera vez que los piratas informáticos de Shadow Brokers atacaron, sino la quinta vez que filtraron exploits y vulnerabilidades delicadas en línea. Esta versión en particular, titulada «Lost in Translation», incluía el exploit EternalBlue dirigido a los sistemas operativos Windows.
La NSA descubrió una vulnerabilidad de seguridad de Windows y creó el exploit EternalBlue. Posteriormente, el grupo de piratas informáticos Shadow Brokers lo robó y lo filtró.
El 14 de marzo de 2017, exactamente un mes antes de la filtración de Shadow Brokers, Microsoft publicó el boletín de seguridad MS17-010. La cronología sugiere que Microsoft recibió el aviso de la filtración de la NSA y se apresuró a hacer todo lo posible para proteger los millones de sistemas Windows vulnerables.
El parche MS17-010 se diseñó para solucionar los fallos de software de SMBv1 para todos los sistemas operativos Windows compatibles, incluidos Windows Vista, Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2012 y Windows Server 2016. Microsoft también deshabilitó automáticamente SMBv1 en las últimas versiones de Windows 10 y Windows Servers 2012 y 2016 por defecto.
Además, en un movimiento sin precedentes y para demostrar la gravedad del exploit EternalBlue, Microsoft lanzó un segundo parche de emergencia para los sistemas operativos sin soporte después de que se hiciera pública la filtración. Esta segunda versión fue compatible con Windows XP, Windows 8 y Windows Server 2003.
El exploit EternalBlue funciona aprovechando las vulnerabilidades de SMBv1 presentes en versiones antiguas de los sistemas operativos de Microsoft. SMBv1 se desarrolló a principios de 1983 como un protocolo de comunicación de red para permitir el acceso compartido a archivos, impresoras y puertos. Era, en esencia, una forma de que los equipos Windows se comunicaran entre sí y con otros dispositivos para obtener servicios remotos.
EternalBlue aprovecha las vulnerabilidades de SMBv1 para insertar paquetes de datos maliciosos y propagar el malware por la red.
El exploit usa la forma en que Microsoft Windows gestiona, o más bien gestiona mal, los paquetes especialmente elaborados por atacantes maliciosos. Todo lo que el atacante tiene que hacer es enviar un paquete malicioso al servidor objetivo y el malware se propaga y se produce un ciberataque.
El número de vulnerabilidades y exposiciones comunes de EternalBlue está registrado en la base de datos nacional de vulnerabilidades como CVE-2017-0144.
El parche de Microsoft cierra completamente la vulnerabilidad de seguridad, impidiendo así los intentos de despliegue de ransomware, malware, cryptojacking o cualquier otro intento de infiltración digital tipo gusano usando el exploit EternalBlue. Pero sigue existiendo un problema clave: para muchas versiones de Windows, la actualización del software debe instalarse para proporcionar protección
Es este problema clave el que da a EternalBlue una vida tan larga: muchas personas e incluso empresas no actualizan su software con regularidad, lo que deja a sus sistemas operativos sin parchear y, por tanto, vulnerables a EternalBlue y a otros ataques. A día de hoy, el número de sistemas Windows vulnerables sin parchear sigue siendo de millones.
Como es bien sabido, EternalBlue se ha utilizado para propagar los ransomware WannaCry y Petya. Pero el exploit puede usarse para desplegar cualquier tipo de ciberataque, incluyendo el cryptojacking y el malware tipo gusano. El ataque a la NSA abrió la puerta para que cualquier atacante envíe un paquete malicioso a un servidor vulnerable que no haya aplicado el parche para corregir la CVE-2017-0144.
El nombre lo dice todo. WannaCry es el nombre de un ataque mundial de ransomware que fue posible gracias al exploit EternalBlue. Incluso los piratas informáticos tienen un lado cómico
El ciberataque WannaCry comenzó el 12 de mayo de 2017 e inmediatamente tuvo un impacto global. El ransomware se propagó a un ritmo de 10 000 dispositivos por hora, y llegó a infectar a más de 230 000 equipos Windows en 150 países en un solo día
Aunque no había objetivos específicos, algunos nombres y entidades importantes sufrieron ataques, como FedEx, la Universidad de Montreal, LATAM Airlines, Deutsche Bahn y, sobre todo, el Servicio Nacional de Salud del Reino Unido (NHS). El NHS informó de que se cancelaron miles de citas y operaciones y que los pacientes tuvieron que desplazarse más lejos a los departamentos de accidentes y emergencias debido a la brecha de seguridad.
Petya es otro ciberataque de ransomware que usó el exploit EternalBlue para causar estragos
Petya técnicamente se lanzó a principios de 2016, antes que WannaCry, pero causó menos estragos en ese momento. La primera versión de Petya se propagó a través de un archivo adjunto a un correo electrónico malicioso y era una forma bastante sencilla de ransomware: el equipo se infecta y sus archivos quedan cifrados (o se pide un rescate) hasta que se paguen 300 dólares en Bitcoin para comprar una clave de descifrado
Por cierto, le recomendamos que nunca, nunca, nunca, (nunca) pague el rescate.
El ransomware Petya cifra los archivos y exige un rescate en Bitcoin para liberarlos.
Gracias a EternalBlue y al desafortunado éxito de WannaCry, el ransomware Petya tuvo una segunda oportunidad de destrucción. En junio de 2017, NotPetya se desplegó usando el exploit EternalBlue, y esta vez, la gente se dio cuenta
La diferencia clave entre la primera y la segunda versión de Petya era que NotPetya (Petya V2) tenía como objetivo inutilizar completamente un sistema. Se pagara o no el rescate, no había cura. El ciberataque cifraba de forma permanente la tabla maestra de archivos (MFT) y el registro maestro de arranque (MBR) de un ordenador.
Entonces, ¿cuál es la factura de EternalBlue y quién la paga? La respuesta empieza por miles. Es decir, miles de millones, y las personas que lo pagan van desde individuos como usted, tanto directamente como a través de los impuestos, hasta corporaciones multinacionales
Las estimaciones sitúan el coste de NotPetya en más de 10 000 millones de dólares en daños y el de WannaCry en unos 4 000 millones de dólares en daños
Algunos nombres importantes sufrieron un golpe bastante fuerte. La mayor empresa naviera del mundo, Maersk, perdió 300 millones de dólares; la empresa de reparto FedEx, 400 millones; y la farmacéutica Merck (conocida como MSD fuera de Norteamérica) perdió 870 millones de dólares después de que 15 000 de sus equipos Windows sucumbieran a NotPetya en tan solo 90 segundos.
Una pérdida más profunda, no tan cuantificable en dólares, fue la pérdida de datos y de acceso para los hospitales y las instituciones sanitarias
Cuando una red se bloquea en un hospital, los médicos no pueden ver la información sobre cirugías de vida o muerte que deberían llevarse a cabo. Tampoco pueden registrar o acceder a los cambios de la medicación. Los hospitales pueden incluso perder las señales de GPS para localizar las ambulancias, como ocurrió en Ucrania durante el ciberataque NotPetya.
Son este tipo de pérdidas no monetarias las que hacen que los ciberataques sean tan peligrosos para la sociedad en general.
La respuesta corta es, sí, EternalBlue sigue vivo y coleando. Aunque WannaCry y NotPetya hicieron la mayor parte de su daño a principios de 2017, otros ataques que explotan EternalBlue siguen, por desgracia, con fuerza. En mayo de 2019, había cientos de miles de intentos de ataque de EternalBlue diariamente.
De hecho, en junio de 2020, Avast sigue bloqueando alrededor de 20 millones de intentos de ataque de EternalBlue cada mes.
Casi un millón de equipos continúan usando el protocolo vulnerable SMBv1 y permanecen en línea. Este hecho por sí solo garantiza la persistencia de EternalBlue. Mientras los equipos no se parcheen y permanezcan en línea, seguirán desprotegidos
La amenaza más profunda, sin embargo, puede estar en los exploits sin utilizar que también se liberaron durante el ataque a la NSA a manos de Shadow Brokers. EternalBlue fue solo uno de tantos.
La amenaza más peligrosa que se vislumbra en el horizonte se ha bautizado como EternalRocks, y está a punto de desarrollarse. A diferencia de WannaCry, que hizo uso de dos de los exploits expuestos en ataque a la NSA, se dice que EternalRocks usa siete exploits, entre los que se encuentran EternalBlue, EternalRomance, EternalSynergy, EternalChampion, ArchiTouch y SMBTouch. Las amenazas potenciales incluyen shellcode que se ejecuta justo después de los exploits Eternal, como DoublePulsar.
Quizás
Pero la buena noticia es que existen herramientas sólidas para ayudarle a protegerse. Aunque la amenaza de EternalBlue sigue existiendo, puede defenderse mediante parches de seguridad como el MS17-010 y software antivirus gratuito.
Recomendamos a todos los usuarios de Windows que apliquen el parche de seguridad disponible de Microsoft en MS17-010. Todo lo que tiene que hacer es actualizar su software a la última versión de Windows. Si no lo hace, estará tratando de combatir problemas del presente con herramientas del pasado. El protocolo SMBv1 debe quedar obsoleto, por lo que todos los usuarios de Windows deben aplicar el parche.
Aporte su granito de arena actualizando su ordenador con las últimas actualizaciones de software disponibles y siga estos cinco consejos para conseguir la máxima seguridad y privacidad en Internet.
¿Quiere ver si su PC es vulnerable a un ciberataque de EternalBlue? Nuestro Inspector de Wi-Fi puede comprobarlo ahora mismo.
Los ciberatacantes van en serio, pero nosotros también. Por eso Avast ha creado un potente software antivirus para bloquear ataques de ransomware dañinos como WannaCry y Petya. Utilizamos la inteligencia artificial basada en la nube para proporcionar seis capas de protección contra el malware y otras amenazas, incluidas las que usan la vulnerabilidad SMBv1. Además, nuestra función Inspector de Wi-Fi comprobará inmediatamente si es vulnerable a los ataques de EternalBlue.
Aunque haya instalado el parche de seguridad de Microsoft, Avast Free Antivirus le protegerá de futuras amenazas, ya sea EternalRocks, EternalBlue o cualquier otra cosa que se les ocurra a esos despreciables piratas informáticos.