Las autoridades de seguridad británicas en las noticias en español alrededor del mundo creen que los hackers en Corea del Norte estaban detrás del ataque cibernético que paralizó partes del NHS y otras organizaciones en todo el mundo el mes pasado, según ha sabido la BBC.

El Centro Nacional de Seguridad Cibernética de Gran Bretaña (NCSC) lideró la investigación internacional.

Fuentes de seguridad han dicho a la BBC que el NCSC cree que un grupo de hacking conocido como Lazarus lanzó el ataque.

El Equipo de Respuesta de Emergencia Informática de Estados Unidos también ha advertido sobre Lazarus.

Se cree que el mismo grupo se ha dirigido a Sony Pictures en 2014.

El hack de Sony se produjo cuando la compañía planeaba lanzar la película The Interview, una sátira sobre el liderazgo de Corea del Norte protagonizada por Seth Rogen. La película fue dada una liberación limitada después de un retraso inicial.

El mismo grupo también se cree que ha estado detrás del robo de dinero de los bancos.

NHS éxito

En mayo, el ransomware llamado WannaCry barrió el mundo, bloqueando computadoras y exigiendo el pago para que se desbloquearan. El NHS en el Reino Unido fue particularmente mal golpeado.

Funcionarios del Centro Nacional de Seguridad Cibernética de Gran Bretaña (NCSC) comenzaron su propia investigación y concluyeron su evaluación en las últimas semanas.

El ransomware no se dirigió a Gran Bretaña o el NHS específicamente, y bien podría haber sido un esquema de ganar dinero que se salió de control, sobre todo porque los hackers no parecen haber recuperado nada del dinero de rescate hasta ahora.

Aunque el grupo está basado en Corea del Norte, el papel exacto del liderazgo en Pyongyang en ordenar el ataque es menos claro.

Trabajo de los forenses cibernéticos

Investigadores de seguridad cibernética del sector privado de todo el mundo comenzaron a separar el código para tratar de entender quién estaba detrás del ataque poco después.

Adrian Nish, que dirige el equipo de inteligencia de amenazas cibernéticas en BAE Systems, vio superposiciones con el código anterior desarrollado por el grupo Lazarus.

“Parece estar vinculado a la misma base de código y los mismos autores”, dice Nish. “Los superposiciones de código son significativas”.

Los investigadores de ciberseguridad del sector privado realizaron una ingeniería inversa en el código, pero la evaluación británica realizada por el NCSC parte de la agencia de inteligencia GCHQ, probablemente se haya hecho sobre la base de un conjunto más amplio de fuentes.

La NSA de Estados Unidos también ha hecho recientemente el enlace con Corea del Norte, pero no se cree que su evaluación se basara en una investigación tan profunda como la del Reino Unido, en parte porque los Estados Unidos no fueron golpeados por el incidente.

Funcionarios dicen que no han visto ninguna evidencia significativa que apoye a otros posibles culpables.

Hackeo del Banco central

Los piratas informáticos de Corea del Norte han estado vinculados a ataques financieros en el pasado, como el robo de 81 millones de dólares del banco central de Bangladesh en 2016.

Este sofisticado ataque implicó la realización de transferencias a través del sistema de pago Swift, que en algunos casos fueron lavadas a través de casinos en Filipinas.

“Fue uno de los mayores atracones bancarios de todos los tiempos en el espacio físico o en el ciberespacio”, dice Nish, quien dice que se ha observado más actividad en los bancos de Polonia y México.

El grupo de Lazarus también se ha relacionado con el uso de ransomware incluso contra una cadena surcoreana de supermercados.

Otros analistas dicen que vieron señales de Corea del Norte investigando el método de pago bitcoin en los últimos meses.

Golpe en 2017

El ataque de mayo de 2017 fue indiscriminado en lugar de objetivo. Su propagación era global y sólo pudo haber sido ralentizada gracias al trabajo de un investigador británico que fue capaz de encontrar un “interruptor para retrasarlo”.

Los ataques causaron grandes daños en el corto plazo, pero también pueden haber sido un fracaso estratégico para el grupo detrás de él.

Los investigadores de Elliptic, una empresa con sede en el Reino Unido que sigue los pagos de bitcoin, dicen que no han visto retiradas de las carteras en las que se pagó dinero, aunque la gente sigue pagando.

Los que están detrás del ataque no esperaban que se hubiera extendido tan rápido como lo hizo.

Una vez que se dieron cuenta de que su comportamiento estaba atrayendo la atención global, los riesgos de mover el dinero pueden haber sido visto como demasiado altos.

La revelación del vínculo con Corea del Norte planteará preguntas difíciles sobre lo que se puede hacer para responder o disuadir tal comportamiento en el futuro.