Un cibertaque especialmente virulento provoca el pánico a nivel mundial

La alerta saltó a media mañana de ayer cuando varios ordenadores de la red de Telefónica se vieron afectados por un un malware del tipo ransomware. El virus, un WanaCryptor, se instala en el ordenador, encripta y secuestra todos sus ficheros para pedir luego un rescate en bitcoin. Este cibertaque obligó a la compañía a apagar todos lo equipos de su sede central en Madrid mientras grandes empresas e instituciones, incluido Gobierno Vasco y Diputaciones, decidieron tomar medidas de blindaje y precaución como el cierre de correos electrónicos corporativos y el acceso a internet.

El Centro Criptológico Nacional (CCN), adscrito al Centro Nacional de Inteligencia (CNI), alertó de un ataque masivo de ransomware a varias organizaciones. En el caso de Telefónica, la compañía reconoció que a media mañana de ayer se detectó un “incidente de ciberseguridad” que afectó los ordenadores de algunos empleados de la red corporativa interna de la compañía. “De forma inmediata se ha activado el protocolo de seguridad para este tipo de incidencias con la intención de que los ordenadores afectados funcionen con normalidad lo antes posible”.

En un mensaje interno enviado a la plantilla con el asunto “Urgente; Apaga tu ordenador ya”, según informa Europa Press, la compañía comunicó a sus empleados que el equipo de seguridad había detectado el ingreso a la red de Telefónica de un malware que afectaba a los datos y ficheros, y solicitaba a los trabajadores que apagaran el ordenador y no vuelvan a encenderlo “hasta nuevo aviso”. Además, les recomendó que desconectaran el móvil de la red de WiFi.

Un bitcoin vale más de 1.600 euros Según explica el ingeniero informático Juan de la Herrán, cuando el virus ransomware entra en los ordenadores afectados “sale una página en la que se les pide pagar un rescate en bitcoins, una moneda virtual y que no se rastrea”. Ayer, cada bitcoin se cambiaba por 1.622,34 euros. “Si el usuario afectado hace ese ingreso se les manda una clave de descriptación de los ordenadores y se vuelve a recuperar la información que están en esos ordenadores”, señala.

Sobre cómo consiguieron lanzar ese ataque tan masivo, De la Herrán explica que se puede hacer de dos maneras: “A través del correo electrónico que se haya enviado un archivo ejecutable -por eso pedimos tanto que se miren bien los archivos que abrimos- o mediante un software malicioso. En el primer caso, el usuario no nota nada pero el vurus empieza a encriptar la información que almacenamos en el ordenador hasta que sale ese mensaje. En el segundo caso, los antivirus los pueden detectar fácilmente”.

“Cuando el ataque afectada a una gran compañía como Telefónica, instituciones y empresas han tenido que tomar precauciones adicionales, porque puede afectar a otros ordenadores y así sucesivamente. Si están encendidos y hasta que el cortafuegos le impida entrar se van infectando”, señala. No obstante, Juan De la Herrán no cree que los clientes de la compañía tengan que estar preocupados por sus datos: “En principio, la alerta que de este virus no afecta, como sí pudiera pasar en otro tipo de virus. En este caso, aunque ha sido un ataque muy importante el objetivo es bloquear los ordenadores, no recoge información. Al menos de momento. Lo que ha hecho Telefónica o Vodafone es enviar a los trabajadores a casa para que dejen los ordenadores apagados porque de esta manera provocaría que afectaría a más y más ordenadores. El objetvo es encriptar la información para ganar dinero de forma inmediata”. Este experto también advierte de que “los ordenadores encriptados no se pueden recuperar, pero en una compañía grande la información que almacenan es muy limitado, ya que la fundamental se encuentra en la nube y esos servidores en principio no han sido afectados”. De la Herrán explica que “el ciudadano corriente no está afectado por este tipo de virus pero sí lo puede recibir si le manda algo de un amigo que trabaja por ejemplo en Telefónica y lo abre. Entonces le pasaría lo mismo.”

Estos ataques empiezan a ser ya algo habitual. “Yo he visto casos en Bilbao, aunque si no afecta a los servidores de la empresa no pasa nada grave”, señala. Proceden habitualmente de Rusia o China y Juan De la Herrán sospecha que “los gobiernos están detrás de esto. No es algo anecdótico, es como un secuestro express”, advierte.

En el caso de Telefónica, pese al problema de seguridad que sufrió la red interna, la red externa de la compañía no se vio afectada y el servicio prestado a sus clientes funcionó correctamente y no provocó ninguna incidencia. En su cuenta de Twitter, el director del negocio de datos de Telefónica, Chema Alonso, recalcó que las noticias que se han publicado sobre este asunto son “exageradas” y los trabajadores de seguridad están trabajando para solucionarlo y colaborando con otras compañías.

Precaución en las instituciones El ataque masivo de este software malicioso provocó que otras grandes empresas adoptaran inmediatamente medidas preventivas, entre las que se incluía apagar los equipos. Asimismo, el Gobierno Vasco cortó el acceso a internet y el correo electrónico como medida de precaución, aunque las aplicaciones y servicios internos se mantuvieron activos.

El Ejecutivo en cuanto tuvo conocimiento del ciberataque puso en marcha una “alerta activa”, un protocolo de seguridad que afecta a servicios relacionados con Educación, Seguridad, Justicia, Osakidetza y Administración general. Los servicios informáticos de Lakua consideran que el “huracán ha pasado” pero que todavía queda la “cola” del mismo, por lo que el Gobierno mantendrá activos todos los protocolos de precaución hasta que la amenaza se considere superada.

Por su parte, la Diputación Foral de Bizkaia, por precaución, también cortó el correo electrónico corporativo para evitar una posible infección y sus servicios informáticos establecieron un protocolo de vigilancia, aunque no se detectó ningún fallo que haga sospechar que hayan podido ser víctimas del ciberataque.