En resumen: En mayo de 2017, el investigador británico Marcus Hutchins registró un dominio web por 10,69 dólares que funcionaba como interruptor de emergencia dentro del ransomware WannaCry. Ese único registro detuvo la propagación global de un ataque que había infectado más de 230.000 sistemas en 150 países en menos de 24 horas.
Un investigador de ciberseguridad registró un dominio por 10,69 dólares y, sin quererlo, desactivó WannaCry, el ransomware que paralizó hospitales y empresas en 150 países en 2017.
¿Qué es WannaCry y qué lo hizo tan devastador?
WannaCry es un ransomware —un tipo de malware que cifra los archivos de una computadora y exige dinero para devolverlos— que en mayo de 2017 se convirtió en el ciberataque más destructivo de la historia hasta ese momento. En menos de un día, infectó sistemas de hospitales, telecomunicadoras, bancos y gobiernos en 150 países. No discriminaba: si tu Windows era vulnerable, eras un objetivo.
La razón por la que se propagó tan rápido fue EternalBlue, un exploit desarrollado por la NSA (Agencia de Seguridad Nacional de EE.UU.) que aprovechaba una vulnerabilidad en el protocolo SMB de Windows. Ese exploit había sido robado a la NSA y filtrado públicamente semanas antes del ataque. Los atacantes lo usaron para que WannaCry se moviera solo de red en red, sin necesitar que nadie hiciera clic en nada.
El golpe más visible lo sufrió el NHS (Servicio Nacional de Salud del Reino Unido), que tuvo que cancelar miles de citas médicas y desviar ambulancias porque sus sistemas quedaron inutilizables. El daño económico global se estima en más de 4.000 millones de dólares.
¿Por qué está sonando ahora?
La historia del dominio de 10 dólares que detuvo WannaCry resurge periódicamente porque sigue siendo uno de los casos más extraordinarios de la ciberseguridad moderna. Cada vez que hay un ciberataque masivo en las noticias, miles de personas buscan este episodio para entender cómo funcionan estos ataques y si existe algún mecanismo similar que los detenga.
El caso también sigue siendo relevante porque su protagonista, Marcus Hutchins —conocido online como MalwareTech—, tuvo un final agridulce que da mucho que pensar. Hutchins tenía 22 años cuando frenó el ataque más grande de la historia trabajando desde su cuarto en el Reino Unido. Meses después, el FBI lo arrestó por cargos completamente distintos: haber creado malware bancario años antes, cuando era adolescente.
Esa paradoja —el héroe que también había sido villano— convirtió su historia en algo que trasciende la tecnología. En 2019 se declaró culpable, pero no recibió pena de prisión. Hoy sigue trabajando en ciberseguridad.
¿Por qué debería importarte?
Porque WannaCry no fue un ataque sofisticado dirigido a grandes corporaciones: explotó el descuido más común del mundo, que es no actualizar el software. Microsoft había publicado el parche que corregía la vulnerabilidad de EternalBlue en marzo de 2017, dos meses antes del ataque. Los 230.000 sistemas infectados simplemente no lo habían aplicado.
Dicho de otra forma: la mayoría de las víctimas podían haberlo evitado con un clic en «actualizar». Eso sigue siendo igual hoy. Los ataques de ransomware no han disminuido —según el informe de Verizon Data Breach Investigations Report 2023, el ransomware estuvo presente en el 24% de todas las brechas de seguridad analizadas ese año.
La lección no es técnica. Es de hábitos: las actualizaciones automáticas no son un fastidio, son la primera línea de defensa real.
Lo que necesitas saber
El kill switch de WannaCry fue un accidente afortunado que no se va a repetir de la misma manera. Aquí van los puntos clave para entender qué pasó y qué significa hoy:
- El kill switch era una trampa de diseño: WannaCry consultaba un dominio sin registrar antes de infectar cada equipo. Si el dominio respondía, el malware se detenía. Los analistas creen que el grupo norcoreano Lazarus —atribuido oficialmente por EE.UU. y el Reino Unido en diciembre de 2017— lo incluyó como mecanismo de control propio, por si el ataque se salía de sus manos.
- Hutchins no sabía lo que hacía al principio: Registró el dominio por 10,69 dólares a través de su empresa Kryptos Logic casi como rutina de investigación, para analizar hacia dónde apuntaba el malware. Solo después entendió que ese registro había desactivado el ataque globalmente.
- El parche existía desde antes: Microsoft lanzó el boletín MS17-010 en marzo de 2017. Dos meses después, el ataque aprovechó que millones de sistemas seguían sin aplicarlo. Organizaciones que dependían de Windows XP —ya sin soporte— fueron las más vulnerables.
- No todos los sistemas se salvaron con el kill switch: Las redes corporativas con cortafuegos que bloqueaban el tráfico saliente no recibían la respuesta del dominio, así que WannaCry seguía ejecutándose dentro de esas redes. El kill switch funcionó mejor en equipos domésticos y redes abiertas.
- WannaCry sigue circulando: Variantes del ransomware original todavía infectan sistemas no actualizados. No es historia antigua.
La conclusión práctica es incómoda pero clara: la ciberseguridad de un hospital que atiende miles de pacientes dependió, durante horas críticas, de que un joven de 22 años tuviera curiosidad y menos de 11 dólares disponibles. El sistema falló antes de que Hutchins lo arreglara. Eso merece más atención que el golpe de suerte en sí.
Preguntas frecuentes sobre el dominio de 10 dólares que detuvo WannaCry
¿Cómo paró un dominio de 10 dólares el ataque de WannaCry?
WannaCry llevaba programado un kill switch: antes de infectar cada equipo, consultaba un dominio específico. Si ese dominio respondía, el malware interpretaba que estaba en un entorno controlado y se desactivaba. Marcus Hutchins registró ese dominio por 10,69 dólares y lo puso online, haciendo que el ransomware dejara de propagarse de forma global casi de inmediato.
¿Quién es Marcus Hutchins y qué pasó con él después?
Marcus Hutchins, conocido como MalwareTech, era un investigador británico de 22 años cuando frenó WannaCry desde su habitación en el Reino Unido. Meses después, el FBI lo arrestó en Las Vegas por haber creado malware bancario años atrás —cuando era adolescente—. En 2019 se declaró culpable de dos cargos, pero no recibió pena de prisión. Hoy sigue activo en la comunidad de ciberseguridad.
¿Por qué WannaCry tenía ese interruptor de apagado tan fácil de activar?
Los analistas creen que el kill switch fue diseñado por los propios creadores del malware como mecanismo de control interno. El grupo norcoreano Lazarus, señalado oficialmente por EE.UU. y el Reino Unido en diciembre de 2017, habría incluido ese interruptor para poder detener el ataque si perdían el control. Nadie anticipó que un investigador externo lo identificaría y activaría en cuestión de horas.
¿Puede pasarme algo similar a mí o a mi empresa hoy?
Sí, y la defensa más efectiva sigue siendo la misma: mantener el software actualizado. WannaCry explotó EternalBlue, una vulnerabilidad que Microsoft había parcheado en marzo de 2017, dos meses antes del ataque. Los más de 200.000 sistemas infectados simplemente no habían aplicado esa actualización. El ransomware sigue siendo una de las amenazas más activas: representó el 24% de todas las brechas de seguridad documentadas en el informe Verizon DBIR 2023.
