Un ataque informático masivo con 'ransomware' afecta a medio mundo

CARMEN JANÉ / BARCELONA

Por qué confiar en El PeriódicoPor qué confiar en El Periódico Por qué confiar en El Periódico

El viernes ha vuelto a ser día de pánico para los administradores de sistemas de medio mundo. Si hace tres décadas los temores se producían por Viernes 13, un virus que permanecía latente y se activaba cada viernes 13, el considerado día de la mala suerte anglosajón, en esta ocasión ha sido el programa ‘Wanna Cry' (quiero llorar, en inglés), un ‘ransomware’ que ha encriptado ordenadores de medio mundo en un ataque indiscriminado que ha afectado sobre todo a las grandes empresas.

Ha habido casos de infección en grandes empresas en España, incluida Catalunya, en la red de hospitales del Reino Unido, en universidades de Italia (Milán), en Estados Unidos y entre empresas y particulares en Rusia, Portugal (la operadora Portugal Telecom), Turquía, Vietnam, Ucrania y Taiwán. Según la empresa de seguridad informática Karspersky, habría más de 45.000 casos en 74 países, y el número sigue creciendo. El programa tiene versiones hasta en 28 idiomas, según la compañía de antivirus Avast.

La primera noticia del ataque del virus en España salió de Telefónica, donde ‘Wanna Cry’ obligó a apagar ordenadores de la red interna y a desconectar otros que pudieran haberse infectado con el programa malicioso, como admitió la compañía, que tuvo que enviar a muchos empleados a casa para revisar los ordenadores. En las redes sociales aparecieron otros nombres de grandes empresas del Ibex, como BBVA, Iberdrola y Banco Santander. La mayoría negaron haber recibido el virus pero otras fueron confirmando que estaban auditando sus sistemas para encontrar si podrían haber sido infectados.

A mediodía, el Centro Nacional de Seguridad, encargado de la ciberdefensa nacional, alertaba del ataque informático, confirmaba que había sido masivo y que se trataba de una variante del 'ransomware' 'Hdracrypt' llamada 'Wanna Cry', que tenía la capacidad de replicarse a sí mismo dentro de una red y que exigía el pago de un rescate de 300 dólares (275 euros) en bitcoins (una moneda a la que es muy difícil seguir el rastro) para desencriptar los archivos que el virus había cifrado.

El programa afecta a sistemas con sistema operativo o servidores Windows y se aprovecha de una vulnerabilidad que existe desde el 2009 y sobre la que Microsoft advirtió el pasado 14 de abril, cuando también publicó un parche que debía ser instalado para solucionar el problema. La actualización, de las consideradas “críticas”, es decir, obligatoria, afecta a todas las versiones de Windows desde Windows Vista SP2 y Windows Server 2008 SP2. Una de las afectadas es Windows 7, que ya no tiene soporte por parte de la empresa, por lo que esa versión permanece vulnerable, de momento.

ALERTA EN INFRAESTRUCTURAS CRÍTICAS

Según el Instituto Nacional de Ciberseguridad (Incibe), dependiente del Ministerio de Energía, el ataque afectó a ordenadores concretos y hubo pocas incidencias a niveles de toda una red, aunque sí se pararon varios sistemas informáticos y se desconectaron ordenadores por precaución. Según el Incibe, el 'ransomware' no ha afectado “ni a la prestación de servicios, ni a la operativa de redes, ni al usuario de dichos servicios”, ni hubo fuga de datos de usuarios. También se activaron las alertas ante posibles incidencias en las llamadas infraestructuras críticas, como ha ocurrido en los hospitales del Reino Unido, donde se han tenido que cerrar servicios y derivar pacientes.

En Catalunya, el Cesicat también ha lanzado una alerta y ha calificado la amenaza como "crítica". Según sus técnicos, el virus podía llegar como un adjunto en correos electrónicos con el asunto “fatura.js”. Solo que alguien lo abra, se activa la infección y el programa encripta archivos con las extensiones más habituales de imágenes, textos, presentaciones y documentos, prácticamente toda la información que guarda un usuario. Y se distribuye a través del protocolo para compartir archivos SMB que utiliza Windows para acceder a carpetas.

"Puede ocurrir que un ordenador que se conecta a la red no haya sido actualizado y se infecte, pero al conectarse a otras máquinas que sí estén actualizadas, la infección no traspase", afirma Manel Medina, director del máster en ciberseguridad de la Universitat Politècnica de Catalunya (UPC).

Ceder al chantaje, en estos casos, advierten los investigadores, no significa que los autores del ataque envíen las claves correctas para desencriptar los archivos. El procedimiento habitual suele ser cerrar la red, aislar el virus, localizar la fecha de entrada y restaurar todas las copias de seguridad anteriores a esa fecha. E instalar las actualizaciones, por supuesto.

{"zeta-legacy-despiece-horizontal":{"title":"Las claves del ataque","text":"Testeos y redes:\u00a0Por esa raz\u00f3n y por el coste que supone, las grandes empresas no suelen tener permanentemente actualizados los programas y los equipos, y es posible que convivan distintos sistemas operativos, seg\u00fan la fecha de compra. \u00a0Lo que hace que sean m\u00e1s vulnerables a ataques, aunque tambi\u00e9n que tengan m\u00e1s asumido el hacer copias de seguridad, algo que muchos usuarios particulares siguen sin hacer peri\u00f3dicamente."}}