Lo que no te cuentan: WannaCry: El Arma De La NSA Que Se Volvió Viral
Hilo sobre cómo el ransomware que paralizó hospitales usó un arma creada por la NSA, y cómo arrestaron al chico que lo detuvo. Spoiler: el ciberterrorismo viste de Corea del Norte, pero habla inglés con acento de Virgin…
Lo Que No Te Cuentan: Te acuerdas de esa vez que el ransomware paralizó el mundo
WannaCry, 2017. 230.000 ordenadores en 150 países. Y el arma que lo causó salió del armario de la propia NSA.
Te acuerdas de esa vez que no podías ir al hospital.
Mayo de 2017. El Servicio Nacional de Salud británico colapsó. Pantallas negras. Archivos cifrados. Citas médicas canceladas. Operaciones pospuestas. Ambulancias desviadas. Todo por un pop-up que pedía 300 dólares en Bitcoin para devolver tus archivos.
No fue solo el NHS.
Renault paró producción en Francia. Telefónica infectó el 85 % de sus equipos en España. FedEx perdió 300 millones de dólares. El metro de San Petersburgo dejó de funcionar. Un total de 230.000 ordenadores en 150 países quedaron inútiles en 72 horas.
El mundo se detuvo.
Y la culpa fue de Corea del Norte.
Así lo dijo la NSA. Así lo repitieron todos los medios. "Lazarus Group". "Hackers patrocinados por el Estado". "Ciberterrorismo de Pyongyang". El enemigo tenía nombre, rostro y bandera. Era fácil de odiar.
Pero había un detalle incómodo.
"El exploit EternalBlue no lo creó Kim Jong-un. Lo creó la propia NSA".
El arma que se filtró sola
EternalBlue era un exploit de día cero.
La NSA lo desarrolló para espiar. Para entrar en ordenadores Windows sin que nadie lo supiera. Para robar datos, interceptar comunicaciones, vigilar objetivos. Era una joya del ciberespionaje estadounidense. Un arma secreta.
Hasta que dejó de ser secreta.
En agosto de 2016, un grupo llamado Shadow Brokers filtró herramientas de la NSA. EternalBlue estaba ahí. Publicado. Gratis. Disponible para cualquiera con conexión a Internet y ganas de destruir.
Microsoft lanzó un parche en marzo de 2017. Dos meses antes de WannaCry. Pero millones de sistemas no se actualizaron. Hospitales con Windows XP obsoleto. Empresas con políticas de parcheo lentas. Gobiernos con presupuestos de TI del siglo pasado.
El ransomware no explotó una vulnerabilidad desconocida.
Explotó la negligencia de quienes tenían el parche y no lo instalaron. Y la arrogancia de quienes crearon el arma y no pudieron protegerla.
"Los gobiernos crean las armas. Los criminales las usan. Los ciudadanos pagan el precio".
La cacería del chivo expiatorio
WannaCry no fue un ataque sofisticado.
Era un worm básico que se propagaba solo. Sin intervención humana. Sin objetivo estratégico. Solo cifraba, pedía dinero y se movía al siguiente ordenador. Corea del Norte usó el exploit, sí. Pero cualquier grupo de ciberdelincuentes podría haberlo hecho.
La NSA necesitaba un culpable con nombre.
Corea del Norte era perfecto. Aislado, odiado, imposible de verificar. La atribución se basó en similitudes de código con ataques previos. En herramientas compartidas. En indicios circunstanciales. Nunca en evidencia concluyente.
Mientras tanto, Marcus Hutchins —un chico de 22 años de Devon, Inglaterra— encontró el kill switch de WannaCry. Un dominio web no registrado que, al ser activado, detenía la propagación. Lo registró. Paró el ataque. Se convirtió en héroe.
Tres meses después, el FBI lo arrestó en Las Vegas.
Lo acusaron de crear malware en 2014. Antes de WannaCry. Sin relación con el ransomware. Pero la narrativa necesitaba un cierre. Un héroe. Un villano. Una lección.
"Salvó al mundo de WannaCry. Luego el FBI lo arrestó por ser hacker".
La ironía no es casual. Es estructural.
El giro polémico
Aquí está el truco que nadie menciona.
WannaCry no fue un ataque. Fue un accidente de la guerra cibernética que los propios gobiernos declararon. La NSA desarrolló exploits como EternalBlue, EternalRomance, EternalSynergy. Decenas de armas digitales. Todas filtradas. Todas usadas contra objetivos civiles.
Nadie asumió responsabilidad.
La NSA no pidió perdón. No indemnizó a los hospitales. No explicó por qué guardaba exploits sin parchear en lugar de informar a Microsoft. El presupuesto de ciberseguridad de la NSA aumentó. Las leyes de vigilancia digital se endurecieron y tú perdiste privacidad por "protección".
La ironía definitiva: el ransomware que paralizó hospitales fue posible porque una agencia de inteligencia priorizó el espionaje sobre la seguridad colectiva. Luego culpó a Corea del Norte. Luego arrestó al chico que lo detuvo. Y tú aplaudiste.
Traducción: el ciberterrorismo no viene de Corea del Norte. Viene de Washington. Y el remedio que te venden —más vigilancia, menos libertad— es la enfermedad disfrazada de cura.
La pregunta que no te dejará dormir
Si mañana descubrieras que el próximo gran ataque ransomware usará otra arma creada por tu propio gobierno, y que la "solución" será otro paquete de leyes que te vigilen más —¿seguirías pidiendo protección?
¿O empezarías a exigir que dejen de fabricar armas digitales en tu nombre?