Hay un par de certezas sobre el ciberataque WannaCry: Fue el más grande de la historia y un presagio de los terrores que vendrán. Todos tendremos que acostumbrarnos al término "ransomware", el programa informático malicioso que bloquea una computadora y que muestra un mensaje exigiendo el pago de un rescate para liberar los datos del usuario, pero hay algo que no está tan claro: si Corea del Norte tuvo algo que ver con el ciberataque global.
A pesar de las pruebas fragmentarias que apuntan a un posible vínculo norcoreano, los expertos dicen que ninguna es contundente y en cambio hay muchas razones para dudarlo.
Por ejemplo, ¿qué motivos tendría Pyongyang para llevar a cabo un gran ataque que perjudicara a sus dos socios estratégicos más que a cualquier otro país? Y por un botín aparentemente despreciable: la suma de los rescates pagados hasta el viernes no alcanzaba los 100.000 dólares.
Días después del ataque, las conocidas empresas de seguridad informática Symantec y Kaspersky insinuaron que existía un vínculo norcoreano. El investigador de Google Neel Mehta identificó similitudes de codificación entre WannaCry y programas maliciosos de 2015 vinculados con Corea del Norte. Adicionalmente, la prensa ha elaborado historias sobre la liga de hackers de Pyongyang, su participación en ciberataques y su búsqueda perenne de nuevas fuentes de ingresos, tanto legales como turbias.
Pero la identificación de los hackers que realizan ataques complejos es una tarea notoriamente difícil. Adicionalmente, más aún lo es demostrar que actúan bajo las órdenes explícitas de un estado nacional.
Cuando los expertos afirman que Corea del Norte está detrás de un ataque, suelen expresar la sospecha de que Pyongyang trabaja con o a través de un grupo llamado Lazarus. Se desconoce su naturaleza exacta, pero algunos creen que es una mezcla de hackers que operan en complicidad con "cibermercenarios" chinos siempre a disposición de Pyongyang.
Lazarus es un jugador importante en el mundo del ciberdelito.
Se lo califica de "amenaza persistente grave" y se ha descubierto su presencia en operaciones muy complejas, como un intento de violar la seguridad de decenas de bancos, un ataque al banco central de Bangladesh que le redituó 81 millones de dólares el año pasado, el ataque a Sony en 2014 y un ataque al gobierno y empresas surcoreanas llamado DarkSeoul.
"La actividad del grupo Lazarus abarca muchos años, se remonta al menos a 2009", dijo Kaspersky Labs en un informe el año pasado. "Su enfoque, victimología y tácticas de tipo guerrillero apuntan a una entidad maligna dinámica y ágil, capaz de destruir datos además de realizar operaciones convencionales de ciberespionaje".
Sin embargo, algunos expertos consideran que WannaCry constituye una anomalía.
WannaCry infectó unos 200.000 sistemas en más de 150 países y a cada víctima exigió un rescate de 300 dólares pagaderos en Bitcoins para liberar los archivos tomados como rehenes. Las víctimas recibieron advertencias en sus pantallas que si no pagaban el rescate en tres días, la suma se duplicaría. Si no se pagaba rescate, se borrarían los datos.
Hasta ahí, es un ataque con “ransomware” bastante típico, pero no es _o al menos hasta ahora no ha sido_ la manera como se cree que operan los hackers norcoreanos.