Lo que en un principio parecía una amenaza local en España se ha convertido en un ciberataque a nivel mundial que se ha extendido por el sistema de salud de Reino Unido y que ahora está afectando en distintos niveles a EEUU, Canadá, Rusia, China, Italia o Taiwan. Varios expertos cifran en 74 el número de países afectados hasta ahora.
Según Jakub Kroustek, experto en antivirus de la compañía Avast, se han detectado hoy en todo el mundo más de 57.000 ataques.
La empresa rusa de seguridad informática Kaspersky estimaba a media tarde en más de 45.000 los ciberataques, informa Efe. "Hasta el momento hemos registrado 45.000 ataques (...) en 74 países. Las cifras siguen aumentando inusitadamente", escribió Costin Raiu, director global del equipo de Investigación Análisis del Laboratorio Kaspersky, en su cuenta de Twitter.
Raiu agregó que el mensaje que encabeza el ciberataque, que ha afectado a países como España, el Reino Unido, Turquía, Ucrania y la propia Rusia, está escrito en rumano, pero no por un nativo.
WannaCry es un programa informático cuyo objetivo es secuestrar archivos una vez se ha ejecutado en un ordenador para posteriormente exigir un rescate al afectado. Es el tipo de virus que más quebraderos de cabeza está dando actualmente a las grandes empresas a nivel mundial.
Según las primeras informaciones, este ataque ha aprovechado una conocida brecha de seguridad que permite tomar el control de un ordenador con Windows. Pese a que Microsoft avisó el pasado 14 de marzo de esta incidencia, los responsables de este ataque (todavía por identificar) lo han utilizado con éxito.
España ha sido uno de los primeros objetivos de este ataque a escala global. Telefónica ha sido quien ha recibido el mayor golpe, pero otras compañías como Iberdrola o Gas Natural se han visto afectadas por el ataque, como ha podido saber el diario EL MUNDO.
El Centro Criptológico Nacional (CNN), adscrito al Centro Nacional de Inteligencia (CNI) no ha dado nombres concretos, pero sí ha reconocido que el ataque ha afectado a varias empresas nacionales.
"La seguridad total no existe", advierte el experto en antimalware David Sancho, quien recuerda que hace décadas las actualizaciones de antivirus se hacían cada ciertos meses y manualmente, mientras hoy se efectúan cada hora y aún así "son insuficientes", informa Efe.
Según el socio director de la empresa de ciberseguridad S2Grupo, Jose Rosell, para evitar este tipo de ataques se debe tener el nivel de parcheo adecuado, el bloqueo de las comunicaciones locales, efectuar copias de seguridad extraordinarias y apagar los equipos no esenciales, de cuyo uso se pueda prescindir.
Todos los expertos consultados creen que 2017 registrará un incremento de este tipo de ataques que serán cada vez "más sofisticados" y que afectarán tanto a empresas como a particulares, y, probablemente, llegará a los 'smartphones' (teléfonos inteligentes), que hasta ahora no se ven afectados por este tipo de secuestros.
España, Portugal, Reino Unido y Rusia, entre los afectados. Estos virus informáticos cifran la información de los ordenadores a cambio de un rescate
El virus informático (conocido como malware) que ha atacado en la mañana de este viernes los equipos de la sede de Telefónica en Madrid ha llegado ya a varias decenas de países. El software del tipo ransomware, que realiza el secuestro exprés de datos y pide un rescate para liberar el sistema, ha infectado diferentes empresas e instituciones en España, Taiwan, Rusia, Portugal, Ucrania, Turquía y Reino Unido —en ese último, el virus ha colapsado el Servicio Nacional de Salud—, según informan las compañías de ciberseguridad s21sec y Check-point. En Estados Unidos Fedex es una de las empresas afectadas. En un tuit, Costin Raiu, el director global del equipo de investigación y análisis de Kaspersky Lab, una empresa de seguridad informática, afirma que se han registrado más de 45.000 ataques en 74 países. Hasta el momento, el ataque no ha afectado a infraestructuras críticas.
Ese tipo de virus, que al ser ejecutados aparentan ser inofensivos e imitan a otras aplicaciones, es el más habitual y representa el 72,75% del malware, según los últimos informes de las compañías Kaspersky Lab y PandaLab . Los análisis del Instituto Nacional de Ciberseguridad (Incibe) demuestran que el software malicioso que ha provocado el ciberataque a nivel global es un WanaCrypt0r, una variante de WCry/WannaCry. Tras instalarse en el equipo, ese virus bloquea el acceso a los ficheros del ordenador afectado pidiendo un rescate, y puede infectar al resto de ordenadores vulnerables de la red. WanaCrypt0r cifra archivos del disco duro con extensiones como .doc .dot .tiff .java .psd .docx .xls .pps .txt o .mpeg, entre otros, y aumenta la cuantía del rescate a medida que pasa el tiempo. "El cifrado de los archivos prosigue tras la aparición de la nota de extorsión, al contrario que en otros ataques, que no muestran la nota hasta que el cifrado se ha completado", explica Agustín Múñoz-Grandes, CEO de s21Sec.
Jaime Blasco, director de los laboratorios de Alienvault en San Francisco, aporta algo de luz y tranquiliza. El ataque ya está parado tras la difusión de un parche de Windows por parte de Microsoft. El origen el ataque ha sido un 'exploit', como se denomina a los softwares enmascarados que corrompen el sistema. Se filtró como parte de shadow brokers, supuestamente los mismos archivos que Wikileaks acusaba a la NSA de usar en su última denuncia.
Microsoft, preocupada por la difusión de este agujero, todavía no ha dado una respuesta oficial, pero sí contemplan que la industria se replantee los criterios y formas en que se actualizan los programas para que la protección frente a vulnerabilidades no dependa tanto de voluntad humana, como de automatismos.
“Este tipo de ataques afecta a todo el mundo, pero hemos visto cómo los delincuentes tratan de ir a por empresas, ya que poseen información valiosa por la que están dispuestos a pagar un rescate”, indica el estudio de Panda. Algunos expertos en ciberseguridad, como Jakub Kroustek, afirman en las redes sociales que han rastreado hasta 50.000 ataques de WannaCry. Este mismo experto asegura en el blog de su compañía, Avast, que observaron la primera versión de este virus en febrero y que han encontrado el mensaje de rescate escrito en 28 idiomas.
Se ha registrado un ataque informático en Portugal que se ha centrado en empresas de comunicación y en la banca, y según fuentes de la investigación, incluye a PT, Caixa Geral de Depósitos y BPI, aunque las entidades no lo han admitido, informa Javier Martín desde Lisboa. Pese a que el ataque es muy amplio, tan solo Portugal Telecom ha admitido sufrirlo: “Todos los equipos técnicos están asumiendo las diligencias necesarias para resolver la situación, habiéndose activado todos los planes de seguridad. La red de los servicios de comunicación fija, móvil, internet y televisión no fueron afectados”, dice la operadora. Los atacantes piden rescate para el desbloqueo de los ordenadores bloqueados, y lo quieren en moneda virtual, bitcoin, que en esto días precisamente ha llegado a su cotización récord, 1.800 dólares, y cuyas transacciones no dejan rastro. El mensaje en portugués advierte que la cifra de rescate (300 dólares) se duplicará a los tres días y que si antes de siete días no pagan, los ficheros quedarán destruidos. Según la empresa de seguridad S21Sec, el ataque afecta a ordenadores con versiones de Windows y programas muy populares, como Word y Excel, también de Microsoft, y los expertos recomiendan utilizar "de manera inmediata" el parche de seguridad MS17-010.
Según Eusebio Nieva, director técnico de Check-Point en España y Portugal, el ransomware es la estrategia más utilizada para atacar a las grandes empresas. "Los hackers piden que el rescate se realice a través de un pago digital que no se pueda rastrear", dice Nieva. El experto explica que ese software maligno puede llegar a un sistema de manera simple, desde un correo electrónico con una factura falsa, por ejemplo, hasta una técnica conocida como watering hole, que en el caso de las grandes compañías, infectauna página (generalmente de la red intranet) a la que los trabajadores o usuarios acceden con frecuencia. "Esa es la forma más rápida para una distribución masiva", afirma.
El experto señala, sin embargo, que el pago de un rescate no es garantía de que se pueda recuperar la información cifrada por el virus: "La posibilidad es de entre 30% y 40%". Pero, ¿cómo es posible protegerse de esos ataques? El experto sostiene que, en la era en que los malware han dejado de ser obra de atacantes individuales para convertirse en una red industrializada que genera dinero, los tradicionales programas de antivirus ya no son suficientes. Los más punteros de protección, según Nieva, son los programas de anti-APP o sandboxing, que rastrean el comportamiento del sistema o de la red de información, identifican cualquier software malicioso y lo eliminan.
"El sandboxing es el que mejor funciona. Cuando llega un documento por correo, por ejemplo, el sistema lo abre en un entorno virtual y si detecta algo sospechoso, lo elimina antes de que llegue al usuario", explica el experto. El problema, según el experto, es que se trata de un modelo reciente y muchas empresas los utilizan simplemente como un sistema de detección en vez de protección.
El Gobierno de España ha emitido un comunicado en el que orienta a los posibles afectados a aplicar los últimos parches de seguridad publicados en los boletines de mayo.
Cómo recuperar los datos cifrados: El Incibe, a través del CERT de Seguridad e Industria (CERTSI), dispone de un servicio gratuito de análisis y descifrado de ficheros afectados por ciertos tipos de ransomware. La víctima puede contactar con el servicio a través del correo incidencias@certsi.es.
¿Pagar sirve para recuperar los archivos? El Incibe recomienda no pagar el rescate, porque no existen garantías de recuperar los datos y la víctima puede sufrir ataques posteriores. El Instituto también señala que esa práctica fomenta el negocio de los ciberdelicuentes, que pueden empezar a pedir cifras más altas, una vez efectuado el primer pago.
Cómo desinfectar el ordenador: Para eliminar la infección se podría utilizar cualquier antivirus o antivirus auto-arrancable actualizado. Es recomendable realizar un clonado previo de los discos (copia de la información del disco duro en otro soporte), según la importancia de los datos afectados. El clonado también es importante para interponer una denuncia, pues todos los archivos serán necesarios para la investigación, además es muy probable que exista alguna herramienta capaz de descifrarlos en el futuro.
Después de cifrar los ficheros del disco duro, WanaCrypt0r cambia el nombre de los nombres de las extensiones de los archivos afectados por .WNCRY. Después, el virus hace saltar a la pantalla el siguiente mensaje: "Ooops, tus archivos importantes están encriptados" y solicita el rescate de 300 dólares (274 euros, aproximandamente) en bitcoins (un tipo de moneda digital) para liberarlos. El mensaje incluye instrucciones sobre cómo realizar el pago y un cronómetro.
"Este ataque demuestra una vez más que el ransomware es un poderoso arma que puede utilizarse contra los consumidores y las empresas por igual. El virus se vuelve particularmente desagradable cuando infecta instituciones como hospitales, donde puede poner la vida de las personas en peligro", afirma Avast en un comunicado.
