Una variación del WannaCry provoca un ciberataque a escala mundial


  • Un grupo conocido como The Shadow Brokers, que recientemente afirmó haber robado herramientas de hackeo a la NSA de EE.UU, principal sospechoso. También se especula con una herramienta de la NSA que se haya ido de las manos. 

  • 74 países, entre ellos España, se han visto afectados por los 45.000 ataques registrados, según Kaspersky Lab. Rusia, el más afectado aunque el ataque a España ha sido severo.

El virus WannaCry ha afectado a ordenadores de todo el mundo, como refleja esta captura del Botnet tracker de MalwareTech

El virus WannaCry ha afectado a ordenadores de todo el mundo, como refleja esta captura del Botnet tracker de MalwareTech

Pocos olvidarán la llegada del #WannaCry. Un ciberataque "de dimensión nunca antes vista" que logró este viernes bloquear el acceso a los sistemas informáticos de instituciones estatales alrededor del mundo. 74 países, entre ellos España, se han visto afectados por los 45.000 ataques registrados, según el presidente de la compañía de seguridad informática Kaspersky Lab

¿Qué ha provocado el ataque? Un grupo conocido como The Shadow Brokers, que recientemente afirmó haber robado herramientas de hackeo a la NSA de EE.UU, principal sospechoso. También se especula con una herramienta de la NSA que se haya ido de las manos. No en vano, Rusia es uno de los principales afectados. 

Esta misma empresa ha valorado el primer impacto en cada uno de las compañías afectadas en 500.000 euros, y eso sin saber aún de forma específica todos los daños causados y las prevenciones que se deberán poner en marcha a partir de ahora. Esto sí que provocará que los costes sean millonarios y una pérdida importante de reputación.

La campaña masiva de ransomware, un ataque en el que los perpetradores piden dinero a cambio de liberar el acceso, cerró los sistemas informáticos en instituciones de Reino Unido (afectó al Servicio Nacional de Salud de Reino Unido), EE.UU. China, Rusia, España, Italia, Vietnam y Taiwán, entre otros. Aún no está claro si esas intrusiones están relacionadas entre sí. El Gobierno español ya ha pedido que nadie pague porque estamos ante ciberdelincuentes.  Según el MalwareHunterTeam, al que cita expresamente Forbes, "WannaCry se ha propagado como el infierno". Rusia ha sido el más afectado, pero España también parece ha sufrido un ataque severo. 

Apagar los equipos, la primera solución

El 'ransomware' Wannacry tiene la particularidad de que en determinadas condiciones se propaga solo, como ha apuntado el socio director de S2 Grupo, José Rosell. Esto significa que el 'malware', al igual que otros similares, necesita una vía de acceso, un 'email' por ejemplo, pero una vez ha infectado el sistema, se propaga solo por el resto de equipos a través de la Red.

Esto hace que la recomendación de no pinchar en 'emails' sospechosos no sea suficiente, dado que no es necesario que todos los miembros de la empresa pinchen en correo para su difusión, sino que una vez ha conseguido entrar, lo que lo frena es bien apagar los equipos bien desconectar la Red. De hecho, los equipos pueden seguir encendidos si no están conectados a la Red."Este es un ataque cibernético importante, que impacta organizaciones de toda Europa a una dimensión nunca antes vista", dijo el experto en seguridad Kevin Beaumont. Entre las empresas españolas afectadas está Telefónica, que confirmó que estaba lidiando con un "incidente de seguridad cibernética", pero aseguró que sus clientes no se habían visto afectados. Las compañías energéticas Iberdola y Gas Natural también registraron problemas en sus sistemas aunque lograron prevenir el ataque.

En Italia, las computadoras de un laboratorio universitario quedaron bloqueadas por el mismo programa. Varios expertos han relacionado los ataques a las vulnerabilidades dadas a conocer por un grupo conocido como The Shadow Brokers, que recientemente afirmó haber robado herramientas de hackeo a la Agencia de Seguridad Nacional de EE.UU.

Un parche para reparar la vulnerabilidad fue liberado por Microsoft en marzo, pero muchos sistemas pueden no haber tenido la actualización instalada, según los expertos.

El CNI investiga el ataque

El CNI está investigando el ataque con un software malicioso sufrido por varias compañías españolas, siendo Telefónica la más afectada y que ha provocado que se enciendan todas las alarmas en algunas de las empresas más importantes del país como Vodafone, Iberdrola, Gas Natural e Indra que han decidido tomar medidas preventivas. La primera de ellas ha sido apagar todos los ordenadores hasta tener resuelta la situación.

Microsoft informó hace semanas, según el CNI, de la posibilidad de sufrir un ataque, al detectar un problema de seguridad y el Centro Criptológico Nacional informó de la existencia de un parche de seguridad del propio Microsoft que fue superado por los hacker. Algunas de las empresas atacadas aseguran que "este no fue suficiente".

Así recoge el ataque el Centro Criptológico Nacional: Se ha alertado de un ataque masivo de ransomware a varias organizaciones que afecta a sistemas Windows cifrando todos sus archivos y los de las unidades de red a las que estén conectadas, e infectando al resto de sistemas Windows que haya en esa misma red.

El ransomware, una versión de WannaCry, infecta la máquina cifrando todos sus archivos y, utilizando una vulnerabilidad de ejecución de comandos remota a través de SMB, se distribuye al resto de máquinas Windows que haya en esa misma red.

Los sistemas afectados son: Microsoft Windows Vista SP2, Windows Server 2008 SP2 and R2 SP1, Windows7, Windows 8.1, Windows RT 8.1, Windows Server 2012 y R2, Windows10, Windows Server 2016.

Telefónica, la más afectada

Todo ocurría en unos instantes. Varios ordenadores de la red interna de Telefónica se vieron afectados por un software malicioso que llevó a la compañía a solicitar a todos los empleados de su sede central en Madrid que apagaran sus ordenadores.

Fuentes de la compañía explicaban que tras detectarse problemas de seguridad informática en varios ordenadores habían optado por apagar todos los equipos de la intranet del edificio del Distrito Telefónica como medida preventiva.

Tras muchos rumores Telefónica confirmaba que había sido víctima de un ataque de "ramsonware", un virus que es capaz de bloquear un ordenador desde una ubicación remota y que secuestra sus archivos y no los libera hasta que consigue el pago de un rescate. El gobierno ya ha dejado claro que no se deben pagar rescates porque estamos ante ciberdelincuentes y no existe garantía alguna de recuperar los datos una vez efectuado el pago.

El ataque afectaba puntualmente a equipos informáticos de trabajadores de varias compañías, algunas de las cuales lograron frenarlos. Telefónica quiso dejar claro que el ataque no afectaba ni a la prestación de servicios, ni a la operativa de redes, ni a los usuarios.

El encargado de confirmarlo fue Chema Alonso, uno de los hacker más famosos, fichado como jefe de datos de la compañía el año pasado.  Lo que sí ha trascendido es que en varios de los ordenadores afectados, en la pantalla se pedía en pago de una cantidad en bitcoins.

"El ataque no ha sido tan brutal como en un principio parecía y aún no se sabe con exactitud de dónde viene. Encontrar el origen no está siendo fácil", señalan fuentes de la investigación. "Lo primero es garantizar la seguridad de todas las empresas, aunque la mayoría ha sido capaz de prevenir el ataque".

Así vivieron el ataque en Telefónica

Trabajadores de la compañía relataban que el primer síntoma del ataque fue la aparición en los ordenadores de una pantalla azul, mientras que otros mostraban un mensaje de infección. De forma inmediata se les informó de que quitaran las baterías de los portátiles. Ninguno podía llevarse el ordenador a casa.

Todo el problema de seguridad lo ha sufrido Telefónica en su red interna. La red externa de Telefónica no fue afectada y el servicio prestado a sus clientes funcionaba correctamente.

Los trabajadores continuaron desempeñando sus funciones trabajando con dispositivos móviles. El negocio de la multinacional no se vio afectado en ningún momento por los ataques, aunque las empresas especializadas en ciberataques consideran que los gastos para una empresa que sufre un ataque de estas dimensiones puede llegar a 500.000 euros, porque obliga a hacer una revisión y plantear una serie de estrategias y comprobaciones.Desde Telefónica han dejado claro que los trabajadores han seguido desempeñando sus funciones desde los operativos móviles y que su operatividad no se ha visto afectada de cara al cliente.

Otras empresas afectadas

El impacto de la noticia hizo que otras empresas, usuarias de la red de la operadora, como Iberdrola apagaran los ordenadores como medida de carácter preventivo, siempre dejando claro que no han sufrido ningún ciberataque. Gas Natural, en la misma tesitura, esta mañana han activado un protocolo en el que por megafonía les han anunciado que los ordenadores iban a apagarse y a estas horas siguen en esa misma situación.

Tres de los principales bancos españoles, Santander, BBVA y Caixabank están operando con normalidad, según confirman a lainformacion.com. Idéntico caso es el del grupo energético Repsol.

Capgemini desmiente que haya sufrido algún ataque y asegura que toda la compañía funciona con normalidad.

Tampoco la red de ordenadores de Indra se ha visto afectada, pero la multinacional también ha tomado medidas preventivas, como cortar la navegación online.

Por su parte, Vodafone ha confirmado que su red de ordenadores no se ha visto afectada, pero que, como medida preventiva, han decidido cortar el acceso de los empleados a internet.

Desde Orange señalan que mantienen operativas las comunicaciones de sus empleados y, en estos momentos, a la vista de lo sucedido en otras compañías, están "adoptando medidas preventivas" que garanticen la seguridad de sus comunicaciones.

El sistema sanitario de UK, afectado

Los sistemas informáticos de los hospitales afectados parecen haber sido "atacados simultáneamente" por un virus que está desviando a muchos pacientes aquejados de emergencias. El SNS ha confirmado este ataque y dará una respuesta más detallada en las próximas horas, de acuerdo con el medio.

Según médicos afectados, los hospitales han recibido el mensaje de que "los sistemas están bajo control" de un grupo de secuestradores que "exigen a cambio cierta cantidad de dinero".