Wiper: la nueva modalidad de Malware que ‘limpia’ o causa una pérdida permanente de datos
El malware Wiper es una clase de software malicioso relativamente nuevo pero altamente destructivo, que se observó por primera vez en Oriente Medio en 2012. Durante el conflicto entre Rusia y Ucrania en 2022, Wiper surgió como un arma cibernética popular elegida por los actores de amenazas.

A primera vista, este malware de limpieza comparte algunas similitudes con los ataques de ransomware, de la misma manera o más graves. Ambos tipos de malware implican hacer que los archivos y los datos sean inaccesibles para la víctima. Algunas variantes de malware de limpieza también pueden disfrazarse deliberadamente como ransomware al exigir tarifas de “rescate” de sus víctimas. Sin embargo, a diferencia del ransomware, que encripta los datos de su víctima, negando temporalmente el acceso hasta que se paga el rescate, el malware de limpieza generalmente tiene como objetivo la destrucción o causar una pérdida permanente
Por lo tanto, el uso de Wiper generalmente no tiene una motivación financiera: los expertos creen que los actores de amenazas utilizan principalmente este malware de limpieza para cubrir sus huellas después de filtrar información de una red, o para causar una interrupción total.
¿COMO FUNCIONA?
El malware Wiper se encuentra entre una de las clases de software malicioso más destructivas que pueden emplear los piratas informáticos. Dichos ataques a los sistemas de tecnología de la información (TI) de una organización podrían interrumpir ampliamente las operaciones comerciales dependientes de TI y provocar pérdidas de datos e información valiosos. Los ataques a los sistemas de tecnología operativa (OT), como los que sustentan los sistemas de transporte o las redes de energía, podrían causar un daño aún mayor al interrumpir los sistemas y equipos industriales, lo que tendría efectos devastadores y pondría vidas en peligro.
Existen dos técnicas empleados por los autores del malware de limpieza:
- Sobrescribir componentes del sistema, como el Registro de arranque maestro (MBR) o la Tabla de archivos maestros (MFT). Esto paraliza la operatividad de la computadora de la víctima y evita que se acceda a la información, aunque el contenido del archivo permanece intacto y aún puede recuperarse.
- Sobrescribir o cifrar archivos, junto con cualquier copia de seguridad que se encuentre en la computadora, para eliminar de forma permanente los datos y la información de la víctima.
Los actores de amenazas de hoy en día suelen incorporar una combinación entre los dos enfoques para lograr el mayor daño en el menor tiempo posible.
Algunos tipos de malware de limpieza están diseñados con la capacidad de propagarse de forma autónoma (o ‘gusano’) a través de una red comprometida mediante la propagación de copias de sí mismo de una computadora a otra sin interacción humana. Estas variantes son particularmente peligrosas, ya que son extremadamente difíciles de contener una vez que se sueltan y pueden tener efectos de gran alcance en todo el mundo.
Un ejemplo del potencial destructivo del malware de limpieza que se propaga a sí mismo se puede ver en NotPetya. En 2017, los investigadores comenzaron a notar que este malware de limpieza autopropagante se infiltraba en las redes de las organizaciones cranianas. NotPetya se había disfrazado de ransomware exigiendo tarifas de “rescate” a los usuarios, pero en realidad carecía de un mecanismo de recuperación de rescate. Con su capacidad para infiltrarse en diferentes sistemas a través de una vulnerabilidad en el sistema de Windows, NotPetya se extendió rápidamente más allá de sus objetivos originales y finalmente paralizó a algunas de las corporaciones más grandes del mundo, incluidos los gigantes del transporte internacional Maersk y FedEx, la compañía farmacéutica Merck y la empresa constructora Saint Gobain. Según estimaciones de la Casa Blanca, los daños totales deNotPetya en 2017 alcanzó los 10.000 millones de dólares, lo que lo convierte en el ataque cibernético más dañino desde el punto de vista financiero hasta la fecha .

Figura 2. Una captura de pantalla de la “nota de rescate” de NotPetya, que establece que los usuarios pueden recuperar sus datos después de realizar un pago de rescate. En realidad, esto no era cierto, ya que NotPetya era un malware de limpieza que carecía de un mecanismo de descifrado. (Fuente: CrowdStrike)
La creciente prevalencia de nuevas variantes de malware Wiper durante el conflicto entre Rusia y Ucrania representa una amenaza cibernética potencial para las organizaciones de todo el mundo. El malware Wiper es destructivo: puede causar estragos al paralizar los sistemas y destruir datos valiosos. Crea daños permanentes en los sistemas: los archivos dañados por el malware del limpiador no se pueden recuperar. También puede afectar a los sistemas de forma indiscriminada cuando el malware posee mecanismos de autopropagación. A medida que los piratas informáticos liberan más variantes nuevas de malware de limpieza en el ecosistema, existe el riesgo de que una de las variantes se propague fuera de control, dejando tras de sí un rastro global de destrucción devastadora (como en el caso de NotPetya).
Se alienta a las organizaciones a tomar las medidas de precaución necesarias para defenderse contra los ataques de malware de limpieza en medio de su uso intensivo. Estas medidas son similares a las de defensa contra el ransomware. Por ejemplo, las organizaciones pueden considerar:
- Hacer cumplir las mejores prácticas, como la creación de copias de seguridad regulares fuera de línea y fuera del sitio; y
- Imponer el monitoreo de la red y revisar los registros del sistema para garantizar la detección rápida de anomalías y evitar daños generalizados en caso de que ocurra una infracción.
