El viernes, 12 de mayo, nos hacíamos eco de una noticia que afectaba a varias empresas españolas, entre ellas, Telefónica. Esta teleoperadora, entre otras compañías, había sufrido un ciberataque en su red corporativa informática. Se trata del “ransomware” Wanna Cry, un virus informático malicioso tipo “malware”. Este virus ha afectado a más empresas, entre ellas, a la compañía aérea Iberia.
El ataque de “ransomware”
El Centro Criptológico Nacional (CCN), adscrito al Centro Nacional de Inteligencia (CNI), confirmó que a lo largo del día se produjo un “ataque masivo” de “ransomware” a varias organizaciones aprovechando una vulnerabilidad localizada en algunas versiones de Windows, que es el sistema operativo de mayor uso en las empresas.
Pero, ¿qué significa “ransomware”? El ataque de “ransomware” es un virus con código malicioso que bloquea los equipos de manera remota y solicita el pago de una cantidad de dinero en bitcoins para recuperarlos. Es decir, los autores del ataque pedían un rescate en bitcoin para recuperar los archivos bloqueados. Los ciberdelincuentes habrían solicitado en un principio un pago de 300 dólares por ordenador “hackeado”. A medida que el plazo se acerca, la cantidad reclamada se incrementa.
El caso más sonado en España ha sido el de Telefónica, que como decíamos, el viernes varios ordenadores de la red interna de la compañía se vieron afectados por este software malicioso (malware).
Os dejamos con una infografía en la que se ve claramente cómo es el proceso de infección del “ransomware”.
Las repercusiones para los usuarios de Telefónica
Pero, ¿qué consecuencias ha tenido esto para los usuarios de la compañía? Este ciberataque ha sido a nivel interno, por lo que aseguran que no se han visto comprometidos los servicios de los abonados ni los ficheros de sus clientes. Es decir, no tiene consecuencias para los clientes y usuarios de la compañía, según aseguraron desde la misma compañía. “Se ha alertado de un ataque masivo de ransomware a varias organizaciones que afecta a sistemas Windows cifrando todos sus archivos y los de las unidades de red a las que estén conectadas, e infectando al resto de sistemas Windows que haya en esa misma red”, informaron a través de un comunicado desde el CCN. “Por tanto, no afecta ni a la prestación de servicios, ni a la operativa de redes, ni al usuario de dichos servicios”, recalcan.
Telefónica ha hecho hincapié en que se trata de ordenadores de la red corporativa y que en ningún momento se ha visto afectado el negocio de la multinacional. Además, se aseguró de manera tajante que no afectaba a los usuarios de la compañía.
Al detectarse el ataque a la red interna, enseguida se puso en marcha el protocolo de seguridad: la teleoperadora española informó a los trabajadores de su sede central en Madrid para que apagaran los ordenadores hasta nuevo aviso.
Otras grandes empresas que a su vez son clientes de Telefónica, como es el caso de Iberdrola o Gas Natural Fenosa, también pidieron a sus trabajadores que apagaran los ordenadores para evitar riesgos.
Un ataque habitual
Los expertos en seguridad informática han asegurado que un ataque de este tipo es una técnica muy habitual entre los ciberdelincuentes. Y es que el número de incidentes en empresas se incrementó un 45% solo en el primer trimestre de 2017 en relación al mismo periodo del año anterior, según datos del Instituto Nacional de Ciberseguridad (INCIBE).
Son varios los motivos por los que puede pasar este tipo de ciberataque: el ciberdelincuente puede engañar al usuario instándole a abrir un documento, o puede aprovechar una vulnerabilidad existente en el sistema operativo de los equipos informáticos.
Situación controlada en Telefónica tras el ciberataque
Aún así, el ex hacker Chema Alonso, jefe de Datos de Telefónica, ha asegurado que los equipos infectados ya están controlados. Y es que según Alonso, la “crisis” generada por el ciberataque ha tenido más impacto mediático en las redes sociales que en la “realidad interna” de Telefónica. Además, recalca que “a pesar del ruido mediático”, el virus “no ha conseguido mucho impacto real”. Según ha relatado, el virus no tenía como objetivo robar datos, sino cifrar los archivos del equipo infectado para pedir un rescate en bitcoins equivalente a 300 dólares, y se distribuía a través de un enlace en un correo electrónico no detectado por los motores contra el software malicioso. Ese correo ‘spam’ remitido de forma masiva a las direcciones de correo electrónico de todo el mundo infectó los ordenadores, que a través de la red interna propagaban la infección a otros equipos.
Chema Alonso estaba “de vacaciones” durante el ciberataque masivo de ransomware que afectó a la operadora y a varias compañías españolas e internacionales el viernes. Pero Alonso ha tratado de restar importancia al ataque masivo, diciendo en Twitter que “las noticias son exageradas”. Estos son algunos de los tweets que Alonso ha publicado en los últimos días:
Países afectados por el virus Wanna Cry
Muchos han sido los países afectados por el virus Wanna Cry en todo el mundo. El masivo ciberataque global que comenzó el viernes provocó más de 200.000 afectados en 150 países. El software malicioso, además de en España, afectó a equipos informáticos en numerosos centros de salud en el Reino Unido, así como en empresas y organismos en Francia, Alemania y Rusia, entre otros.
Pero ayer, al comenzar la semana laboral, el virus Wanna Cry volvió a golpear en Asia, cuando la gente retomó su trabajo y utilizaron los ordenadores. Y es que en Asia ha habido cientos de miles de nuevos afectados. La empresa china de seguridad informática Qihoo 360 ha señalado que una enorme cantidad de ordenadores personales fueron afectadas ayer y que casi 30 mil instituciones recibieron el ataque del virus tipo “ransomware”.
Estaciones de trenes, hospitales, edificios gubernamentales y centros comerciales fueron afectados, ha asegurado Qihoo 360. Hong Kong se mantenía alerta aunque todavía no reportaba problemas. En Corea del Sur se reportaron nueve casos, aunque el gobierno no proporcionó detalles de las instituciones o empresas que podrían haber sido afectadas. En Japón fueron infectadas unos 2.000 ordenadores en 600 localidades, y empresas como Hitachi y Nissan tuvieron algunos problemas que aseguraron haber controlado.
La situación parece estable en Europa, pero en Asia, por el contrario, este virus del tipo “ransomware” que aprovecha una vulnerabilidad de un sistema operativo Windows que no está debidamente actualizado, estaría generando nuevamente víctimas, al tiempo que las empresas advierten a sus usuarios y al personal que no haga clic en archivos adjuntos o enlaces.
¿Cómo protegerse ante un “ransomware”?
Hay una manera de protegerse contra este malware. Y es que para asegurarse de no ser infectado, lo primero de todo es conveniente actualizar Windows: abrir Windows Update y asegurarse de forzar la actualización si es necesario.
Además, Microsoft ha decidido lanzar un parche de seguridad urgente para evitar la infección de WannaCrypt en equipos con Windows XP y otros sistemas obsoletos.
También tenemos que decir que ya existe un programa capaz de detectar y parar el funcionamiento de este tipo de virus. Se llama Anti Ransom y es usado por los investigadores de seguridad de todo el mundo. Es un programa de código abierto, por lo que se puede descargar de manera gratuita. En cuanto a su funcionamiento, se puede decir que crea una “trampa” para los ransomware: una carpeta que llena de archivos falsos. Cuando un proceso intenta cambiar uno de esos archivos (por ejemplo, para cifrarlo), este programa es capaz de detectarlo, identificarlo y avisarnos. Además de permitirnos parar el proceso, también nos permite buscar la clave de cifrado en la memoria RAM. Os dejamos el enlace para descargarlo:
Descarga Anti Ransom para Windows
Además de todo esto, para prevenir que pase un caso de este tipo, los expertos nos dan unos consejos:
- Hacer una copia de seguridad: Los expertos recomiendan hacer “backups” o copias de seguridad de manera periódica para evitar perder los archivos importantes y mantenerla fuera del entorno online ante posibles intromisiones ilegales.
- No abrir archivos adjuntos ni correos electrónicos sospechosos: En caso de desconocer la proveniencia del remitente o ante cualquier duda, no abrir el correo.
- Tener instaladas las actualizaciones del sistema operativo y de los antivirus: es necesario tener todo el software al día para evitar ataques.
Os dejamos con una infografía para ver cómo protegerse del virus “ransomware”:
Por último, simplemente decir que la mejor manera de evitar el malware es siendo responsables. Es decir, no hay que ejecutar programas desconocidos o archivos de gente que no conocemos. La piratería sigue siendo una de las principales vías de diseminación de ransomware y otros tipos de malware. Además, nunca está de más recordar que el usuario debe tener un antivirus siempre activo en su ordenador, acompañado de un software anti-malware como Malwarebytes.