WannaCry

Un ciberataque a escala mundial sacude a múltiples empresas españolas

España es el tercer país más afectado por un masivo secuestro de datos, a cambio de una cantidad en bitcoins

Lo que apuntaba en un principio a ser un viernes tranquilo se convirtió ayer en una pesadilla digital a nivel mundial. En España, un alto número de empresas españolas tuvieron que paralizar sus jornadas laborales por un ciberataque masivo. El nuestro es el tercer país más afectado, por detrás de Rusia y Taiwán, por un ciberataque que ha resultado tener dimensión global y que los expertos han calificado de «muy virulento». Los expertos creen que se ha extendido hasta en 74 países, llegando a paralizar y afectar en distinto grado a sistemas sanitarios, como los de Reino Unido y Estados Unidos.

La empresa rusa de seguridad informática Kaspersky había estimado al cierre de esta edición en más de 45.000 los ciberataques perpetrados por el virus del tipo «ransomware» solo durante la jornada de ayer, que golpeó a infraestructuras básicas en multitud de países. «Las cifras siguen aumentando inusitadamente», apuntó Costin Raiu, director de Investigación de Análisis del Laboratorio Kaspersky.

En España y hasta que se confirmó que el ataque era a escala mundial, la propagación de un virus informático recibido por correo electrónico a la sede central de Telefónica fue letal. Resultó ser una de las empresas españolas más afectadas por el ataque de «malware» y obligó a apagar su red interna mientras se resolvía el problema, sacudiendo a decenas de proveedores y clientes. Los ciberdelincuentes, de origen chino según las primeras hipótesis, lograron bloquear numerosos ordenadores por un ataque de «ransomware» o secuestro digital de datos, que exige un rescate en bitcoins, conocida moneda virtual. Además de la teleoperadora, múltiples empresas españolas, algunas del Ibex 35 como Iberdrola e Iberia, según pudo confirmar este periódico, se vieron afectadas por el ataque voraz.

Aviso interno

En consecuencia, el ciberataque afectó a un centenar de ordenadores conectados a la red interna, apuntaron fuentes de la operadora española a ABC, las mismas que aseguraron que, ni los servicios de los abonados (como internet y televisión) ni los ficheros de sus clientes con sus datos personales, se vieron comprometidos. Tras detectar la amenaza, la firma española activó el protocolo de seguridad de inmediato. Informó a todos los trabajadores, apagó la red de ordenadores y de dispositivos conectados a la red inalámbrica de su sede central, ubicada en el Distrito C en el madrileño barrio de Las Tablas, en Madrid. «No ha puesto en compromiso los servicios de los clientes», afirmaron con rotundidad desde la operadora española.

«Lo que ha pasado es que estábamos trabajando y ha aparecido un mensaje en el que se informaba que los archivos iban a ser encriptados si no pagábamos 300 dólares en bitcoins», confirmaron a este diario fuentes de la compañía, que reconocieron que tuvieron que abandonar sus puestos de trabajo tras recibir una circular y un aviso por megafonía en el que se instaba a los trabajadores a que apagaran «urgentemente» sus ordenadores. En él se informaba de que el equipo de seguridad de Telefónica había detectado el ingreso de un «malware» que afectaba a sus archivos y ficheros.

El Centro Criptológico Nacional (CCN), adscrito al Centro Nacional de Inteligencia (CNI), reconoció horas después que se había producido un «ataque masivo» de «ransomware» a varias organizaciones, aprovechando una vulnerabilidad localizada en algunas versiones de Windows, el sistema operativo de mayor uso en las empresas. Microsoft, empresa desarrolladora, ya advirtió de un agujero de seguridad hace solo un mes.

«El ataque cifra todos sus archivos y los de las unidades de red a las que estén conectadas, e infecta al resto de sistemas Windows que haya en esa misma red», informaron fuentes del organismo de seguridad. El impacto, según el Ministerio de Interior, fue menor de lo que cabría esperar. El ciberataque afectó «puntualmente» a equipos informáticos de trabajadores de varias compañías. No ha tocado «ni a la prestación de servicios, ni a la operativa de redes, ni al usuario de dichos servicios», recalcaron en un comunicado, en el que aseguraban que «no compromete la seguridad de los datos ni se trata de una fuga de datos».

Una técnica habitual

Por su parte, en aras de evitar su propagación, el Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC) activó el protocolo de comunicación con los operadores críticos en España y el de gestión de incidentes, a través de los Centros de Respuesta a Incidentes Cibernéticos nacionales.

El ciberataque, «indiscriminado», según los expertos, combinó un «malware» con un sistema de propagación para aprovechar un fallo técnico de la plataforma de Microsoft. La técnica es muy común y de sobras conocida para los especialistas. En suma, un ataque de «ransomware» consiste en introducir o enviar un virus con código malicioso que bloquea los equipos de manera remota y solicita el pago de una cantidad de dinero en bitcoins para recuperarlos. Conforme el plazo se acerca, la cantidad reclamada se incrementa.

Es una técnica tan habitual que se ha incrementado en un 45% en el primer trimestre del año solo en España. Además, dada su naturaleza, este virus infecta el equipo cifrando todos sus archivos y, utilizando una vulnerabilidad, se distribuye al resto de ordenadores Windows que haya en esa misma red, provocando el temido «efecto dominó».

Pudo evitarse con un parche

Los expertos en seguridad informática creen que los ciberdelincuentes enviaron el archivo que infectó a miles de ordenadores a través de un archivo adjunto. La versión del «malware», según los primeros análisis, es un WanaCryptor, una variante de WannaCry, en el argot informático. Pero pudo pararse si las empresas afectadas hubieran actualizado sus sistemas informáticos. Microsoft informó de esta vulnerabilidad el pasado 14 de marzo y desde hace unos días se hizo pública una prueba de concepto que corregía los fallos.«Es una vulnerabilidad reciente de la que sí existe un parche de seguridad», asegura Yago Jesús, experto en seguridad informática y miembro de «Security by Default».

Los motivos de ser infectados pueden ser varios, y van desde algún tipo de engaño al usuario por parte del ciberlincuente, instándole a abrir un documento comprometido o aprovechando una vulnerabilidad existente en el sistema operativo de los equipos informáticos. Como en el caso de Telefónica, por ejemplo, el ataque ha afectado a consultores que utilizan la arquitectura de la compañía y que se encontraban trabajando en ese momento en otras empresas, pero conectados a la red interna de la empresa de telecomunicaciones, obligándoles a apagar sus ordenadores e interrumpir sus labores de consultoría.

Ministerios y organismos dependientes de la Administración General del Estado adoptaron como medida preventiva la desconexión de todos sus equipos informáticos. Para algunos El ataque sufrido a nivel mundial «es significativo, pero no sorprende, no es ni será el último caso», señala el experto en ciberseguridad, Deepak Daswani.

comentarios