El 12 de mayo de 2017, en menos de 24 horas, WannaCry infectó más de 200.000 sistemas en 150 países. No fue un ataque quirúrgico ni una campaña dirigida: fue una tormenta automatizada que cifró indiscriminadamente hospitales, operadores de telecomunicaciones, ministerios gubernamentales y líneas de producción industrial. El NHS británico canceló cirugías urgentes. Telefónica activó protocolos de emergencia. Renault paró plantas enteras. Todo por no haber aplicado un parche que Microsoft había publicado meses antes.

WannaCry fue un despertar forzado para una industria que había subestimado sistemáticamente el riesgo del ransomware. Demostró, con números concretos y daños medibles, que ningún sector estaba a salvo y que la falta de higiene básica en la gestión de parches tenía consecuencias que iban mucho más allá de lo técnico.

¿Qué es WannaCry?

WannaCry es un malware de ransomware cryptoworm lanzado el 12 de mayo de 2017, dirigido a sistemas Microsoft Windows. Cifraba los datos del equipo infectado y reclamaba un rescate de 300 dólares en Bitcoin, que aumentaba a 600 si no se pagaba en el plazo establecido. Si tampoco se pagaba ese segundo monto, los archivos quedaban permanentemente inaccesibles.

La realidad es que el ransomware no rescataba los archivos en la mayoría de los casos incluso cuando se pagaba, porque el malware carecía de mecanismo técnico para verificar pagos individuales. El FBI y Europol recomendaron desde el primer día no pagar el rescate.

El vector de propagación fue EternalBlue, una vulnerabilidad en el protocolo SMBv1 de Windows descubierta y desarrollada como arma ofensiva por la NSA. En abril de 2017, el grupo Shadow Brokers la filtró públicamente. Microsoft había publicado el parche MS17-010 semanas antes de que ocurriera el ataque. Las organizaciones que no lo habían aplicado quedaron completamente expuestas.

WannaCry también se conoce como WannaCrypt, WCry o Wana Decryptor 2.0. Su código base incluye similitudes técnicas documentadas con malware previo atribuido al grupo Lázaro de Corea del Norte.

¿Cómo funciona WannaCry?

Una vez en el sistema, WannaCry ejecutaba una verificación contra un dominio específico codificado en su código. Si ese dominio respondía, el malware detenía su actividad. Si no respondía, el proceso de cifrado se iniciaba y el malware comenzaba a escanearse la red.

El mecanismo de propagación utilizaba EternalBlue para detectar dispositivos con el puerto TCP 445 abierto y el protocolo SMBv1 activo. Al encontrarlos, ejecutaba un desbordamiento de búfer para tomar control del sistema e instalar el componente ransomware. El proceso de cifrado combinaba AES para cifrar los archivos individuales y RSA para proteger la clave de descifrado, garantizando que sin el servidor remoto del atacante, la clave fuera irrecuperable.

El "kill switch" que detuvo el ataque global fue un dominio específico sin registrar incluido en el código del malware. Marcus Hutchins, investigador británico conocido como MalwareTech, lo descubrió mientras analizaba el código. Al registrar ese dominio por menos de 10 dólares, activó el interruptor de forma accidental y detuvo la propagación activa del virus. Sin ese hallazgo, el número de sistemas infectados habría sido significativamente mayor.

El impacto global: números y consecuencias reales

El caso más documentado fue el del NHS en el Reino Unido, con 70.000 dispositivos infectados. Hospitales y clínicas no podían acceder a registros médicos ni sistemas de gestión, lo que obligó a cancelar citas y cirugías urgentes. El Departamento de Salud del Reino Unido estimó las pérdidas directas en 92 millones de libras esterlinas.

Telefónica fue una de las primeras grandes organizaciones en reportar el incidente. FedEx, Nissan, Hitachi y Renault también resultaron gravemente afectados. El Ministerio del Interior ruso, que opera con Windows, no quedó inmune a pesar de que el gobierno ruso intentó distanciarse públicamente del ataque.

Según Kaspersky Lab, los países más afectados fueron Rusia, Ucrania, India y Taiwán, con un patrón de distribución que reflejaba directamente la concentración de sistemas Windows sin parches en infraestructuras críticas.

WannaCry también expuso el problema estratégico detrás del arsenal ofensivo de la NSA: EternalBlue fue desarrollado con dinero público para operaciones de inteligencia, almacenado sin los controles adecuados y eventualmente robado. El 18 de diciembre de 2017, el gobierno de Estados Unidos acusó formalmente a Corea del Norte. Australia, Canadá, Nueva Zelanda, el Reino Unido y Japón respaldaron la acusación. Pyongyang lo negó.

El análisis forense que apuntó a Corea del Norte combinó varias fuentes: similitudes de código con malware del grupo Lázaro (involucrado en el hackeo a Sony Pictures en 2014), metadatos en archivos con zona horaria UTC+09:00, y el análisis lingüístico de las notas de rescate, que indicó redacción humana en chino y coreano versus traducción automática en el resto de idiomas.

¿WannaCry sigue activo en 2025?

Seamos claros: WannaCry sigue infectando organizaciones que no han parcheado EternalBlue. El parche MS17-010 lleva disponible de forma gratuita desde marzo de 2017. Aun así, según datos de Check Point Research, el número de organizaciones afectadas por variantes activas de WannaCry creció un 53% en 2021.

Un informe de 2019 reveló que el 40% de las organizaciones de salud y el 60% de los fabricantes habían sufrido al menos un ataque de WannaCry en los seis meses anteriores. Con la pandemia de COVID-19, los centros de salud se convirtieron en objetivos prioritarios y las variantes sin kill switch siguieron explotando la misma vulnerabilidad de 2017.

La razón de esta persistencia no es técnica: es operacional. Muchas organizaciones no actualizan sistemas legacy porque temen interrupciones en producción, porque carecen de procesos de gestión de parches formalizados, o simplemente porque nadie asignó la tarea a un responsable concreto.

Lo que WannaCry enseñó y muchas organizaciones aún no aplican

La lección más importante de WannaCry no fue técnica. Fue operacional. Microsoft había publicado el parche. La vulnerabilidad era conocida. El vector de propagación era predecible. El desastre ocurrió porque los procesos de actualización y parcheado no existían, o existían en papel pero no en la práctica.

Las medidas que habrían evitado la mayoría de las infecciones:

• Gestión de parches con prioridad crítica: el ciclo de aplicación de parches debe tener plazos máximos definidos para vulnerabilidades críticas, con verificación automatizada del estado de actualización en toda la red.
• Deshabilitar protocolos obsoletos: SMBv1 no tiene uso legítimo en entornos modernos. Mantenerlo activo es un riesgo sin contrapartida operacional.
• Backups aislados y verificados: los backups conectados en red fueron cifrados junto con el resto de los sistemas. Una estrategia de backup con copias fuera de línea y sin conexión a la red de producción habría permitido la recuperación sin pagar rescate ni depender del kill switch.
• Segmentación de red: limitar el movimiento lateral mediante VLAN y reglas de firewall que restrinjan el tráfico SMB entre segmentos habría contenido el impacto a subsistemas aislados.

La autenticación multifactor, la monitorización de tráfico anómalo en puertos 135-139 y 445, y los simulacros periódicos de respuesta a ransomware completan el marco mínimo que cualquier organización con infraestructura crítica debe tener en funcionamiento, no en el plan de proyecto.

Conclusión: el parche que no se aplica es la vulnerabilidad que prevalece

WannaCry no fue el ataque más sofisticado de la historia. Fue el más efectivo en exponer la brecha entre lo que las organizaciones saben que deben hacer y lo que realmente hacen. EternalBlue fue parcheado antes de que el ataque ocurriera. El kill switch estaba en el código. Las defensas existían en la mayoría de los entornos afectados, pero no se habían implementado.

El ransomware como categoría de amenaza ha evolucionado considerablemente desde 2017: los modelos RaaS, el doble rescate con exfiltración, los ataques a cadena de suministro. Pero la lección de WannaCry sigue siendo válida: la ciberseguridad operacional no es el ecosistema de herramientas que tienes, sino los procesos que ejecutas con ellas todos los días.