Sede de Telefónica - EFE

Virus WannaCryWannaCry: el ransomware que tiene «secuestrados» los sistemas de Telefónica y de otras empresas

Microsoft detectó una vulnerabilidad en marzo y aconsejó que se actualizaran los ordenadores Windows

MadridActualizado:

Esta mañana saltaron las alarmas en Telefónica y otras empresas a escala mundial porque un virus informático había atacado sus ordenadores. El culpable, una versión ransomware WannaCry que a cambio de liberar los sistemas pedía un rescate en bitcoins.

El ransomware es una técnica que utilizan los hackers para bloquear los dispositivos y exigir un rescate a cambio de que el usuario recupere el acceso. Este «secuestro informático» funciona de la siguiente manera, «coge todos los ficheros del ordenador, los cifra y pide dinero a cambio de devolverlos», como señalan fuentes consultadas por ABC.

En este caso, WannaCry tiene una particularidad. Solo hace falta que uno de sus archivos llegue al ordenador o la red para secuestrar por completo el sistema. Una vez el virus se libera, se extiende por el resto de los equipos Windows en determinadas condiciones. No necesita una mano humana que le guíe. Por tanto, la vía de entrada de este malware bien podría haber sido un archivo ejecutable en un email.

Una vez cifrados los archivos, bloquea el acceso a todas las carpetas y deja un documento de texto en el que da instrucciones al usuario sobre como puede recuperar los sistemas. El mismo documento dirigido a Telefónica en el que el secuestrado exige unos 300 bitcoins por liberar todos los equipos, más de medio millón de euros.

Otra de las particularidades de este malware es el tipo de ataque. Este tipo de cibersecuestros ocurren bastante a menudo, pero este tipo de infección a gran escala «da la sensación que se ha ejecutado de manera simultánea», como indica Víctor Escudero, ingeniero de seguridad en Necsia IT Consulting. Pues WannaCry está circulando de manera masiva en otros países también.

Captura de mapa interactivo sobre ataques de WannaCry
Captura de mapa interactivo sobre ataques de WannaCry- MalwareTech

El mes pasado, la vulnerabilidad de Windows llevó a Microsoft a realizar un comunicado recomendando actualizar el sistema operativo. El Centro Criptológico Nacional señala que hace unos días se hizo una prueba de concepto tras la publicación de dicho fallo de seguridad y, por tanto, ese puede haber sido el motivo por el cual se haya generado dicho ataque masivo ahora.

Pero, las actualizaciones de los servidores son más complicadas que las de los equipos porque empresas como Telefónica tienen programas hechos a medida para ellos. Por lo que actualizar su software requiere más tiempo.

Para versiones posteriores a Windows 7, Microsoft dispone de un parche de seguridad que evita que el equipo sea objeto de un cibersecuestro de datos a través de la actualización de su última versión. Pero los ordenadores con sistema Windows Vista o Windows 7 ya no cuentan con soporte técnico de Microsoft y están expuestos a muchas más vulnerabilidades.

Soluciones ante la infección

El problema con el ransomware es que la solución es a nivel preventino. Tras una infección, recuperar los sistemas es complicado y hay que sustuir aquellos que estén dañados por copias de seguridad. «Si han cifrado los ficheros, tienes que tirar de backups», como indica Escudero.

Por ello, tanto Telefónica como otras compañía se han decantado por apagar los ordenadores para que los equipos que no han sido infectados, no sean también secuestrados, ya que no habían encontrado la vía de entrada de WannaCry antes de que la infección se extendiese. Otra manera de evitar el contagio de WannaCry es desconectarse de la red para mantener el ordenador encendido. En cualquier caso, la infección solo ha atacado a la red interna de la empresa y no a los datos de los clientes.

Por tanto, cuando Telefónica recupere con copias de seguridad sus archivos deberá pedir a su proveedor de antivirus que le haga una actualización hecha a medida para su empresa. Antes de que el propio proveedor saque una definitiva.