Un ataque informático masivo con ‘ransomware’ afecta a medio mundo

En España, el virus ha llegado a grandes compañías como Telefónica, que han tenido que apagar ordenadores o desconectarlos de la red. El programa, que pide un rescate en bitcoins, se aprovecha de una vulnerabilidad de Windows ya solucionada.

El viernes ha vuelto a ser día de pánico para los administradores de sistemas de medio mundo. Si hace tres décadas los temores se producían por Viernes 13, un virus que permanecía latente y se activaba cada viernes 13, el considerado día de la mala suerte anglosajón, en esta ocasión ha sido el programa ‘Wanna Cry’ (quiero llorar, en inglés), un ‘ransomware’ que ha encriptado ordenadores de medio mundo en un ataque indiscriminado que ha afectado sobre todo a las grandes empresas.

Ha habido casos de infección en grandes empresas en España, incluida Catalunya, en la red de hospitales del Reino Unido, en universidades de Italia (Milán), en Estados Unidos y entre empresas y particulares en Rusia, Portugal (la operadora Portugal Telecom), Turquía, Vietnam, Ucrania y Taiwán. Según la empresa de seguridad informática Karspersky, habría más de 45.000 casos en 74 países, y el número sigue creciendo. El programa tiene versiones hasta en 28 idiomas, según la compañía de antivirus Avast.

La primera noticia del ataque del virus en España salió de Telefónica, donde ‘Wanna Cry’ obligó a apagar ordenadores de la red interna y a desconectar otros que pudieran haberse infectado con el programa malicioso, como admitió la compañía, que tuvo que enviar a muchos empleados a casa para revisar los ordenadores. En las redes sociales aparecieron otros nombres de grandes empresas del Ibex, como BBVA, Iberdrola y Banco Santander. La mayoría negaron haber recibido el virus pero otras fueron confirmando que estaban auditando sus sistemas para encontrar si podrían haber sido infectados.

A mediodía, el Centro Nacional de Seguridad, encargado de la ciberdefensa nacional, alertaba del ataque informático, confirmaba que había sido masivo y que se trataba de una variante del ‘ransomware’ ‘Hdracrypt’ llamada ‘Wanna Cry’, que tenía la capacidad de replicarse a sí mismo dentro de una red y que exigía el pago de un rescate de 300 dólares (275 euros) en bitcoins (una moneda a la que es muy difícil seguir el rastro) para desencriptar los archivos que el virus había cifrado.

El programa afecta a sistemas con sistema operativo o servidores Windows y se aprovecha de una vulnerabilidad que existe desde el 2009 y sobre la que Microsoft advirtió el pasado 14 de abril, cuando también publicó un parche que debía ser instalado para solucionar el problema. La actualización, de las consideradas “críticas”, es decir, obligatoria, afecta a todas las versiones de Windows desde Windows Vista SP2 y Windows Server 2008 SP2. Una de las afectadas es Windows 7, que ya no tiene soporte por parte de la empresa, por lo que esa versión permanece vulnerable, de momento.

ALERTA EN INFRAESTRUCTURAS CRÍTICAS

Según el Instituto Nacional de Ciberseguridad (Incibe), dependiente del Ministerio de Energía, el ataque afectó a ordenadores concretos y hubo pocas incidencias a niveles de toda una red, aunque sí se pararon varios sistemas informáticos y se desconectaron ordenadores por precaución. Según el Incibe, el ‘ransomware’ no ha afectado “ni a la prestación de servicios, ni a la operativa de redes, ni al usuario de dichos servicios”, ni hubo fuga de datos de usuarios. También se activaron las alertas ante posibles incidencias en las llamadas infraestructuras críticas, como ha ocurrido en los hospitales del Reino Unido, donde se han tenido que cerrar servicios y derivar pacientes.

En Catalunya, el Cesicat también ha lanzado una alerta y ha calificado la amenaza como “crítica”. Según sus técnicos, el virus podía llegar como un adjunto en correos electrónicos con el asunto “fatura.js”. Solo que alguien lo abra, se activa la infección y el programa encripta archivos con las extensiones más habituales de imágenes, textos, presentaciones y documentos, prácticamente toda la información que guarda un usuario. Y se distribuye a través del protocolo para compartir archivos SMB que utiliza Windows para acceder a carpetas.

“Puede ocurrir que un ordenador que se conecta a la red no haya sido actualizado y se infecte, pero al conectarse a otras máquinas que sí estén actualizadas, la infección no traspase”, afirma Manel Medina, director del máster en ciberseguridad de la Universitat Politècnica de Catalunya (UPC).

Ceder al chantaje, en estos casos, advierten los investigadores, no significa que los autores del ataque envíen las claves correctas para desencriptar los archivos. El procedimiento habitual suele ser cerrar la red, aislar el virus, localizar la fecha de entrada y restaurar todas las copias de seguridad anteriores a esa fecha. E instalar las actualizaciones, por supuesto.

Las claves del ataque

Qué es el ransomware: Son programas diseñados para encriptar determinados tipos de archivos (normalmente los más preciados por el usuario como textos, fotos, bases de datos y presentaciones) con un protocolo de cifrado aleatorio que precisa una clave para ser revertido. Los delincuentes suelen pedir el rescate por facilitar esa clave.

El chantaje del pago: La mayoría de los programas ransomware fijan un plazo para que el usuario pague (normalmente en bitcoins porque así no puede rastrearse la dirección de pago) y van elevando el importe conforme pasan los días. Todo está automatizado y el pago no supone necesariamente que los archivos se puedan recuperar.

La necesidad de actualizar: La mayoría de las actualizaciones de software se realizan por fallos encontrados en los programas. La industria y la comunidad de programadores están constantemente informando de fallos y corrigiéndolos. Los usuarios particulares suelen programar que se actualice el equipo de forma automática pero muchas grandes empresas prefieren testear antes el parche para evitar que puedan dar problemas a otros programas, sobre todo en el caso de soluciones a medida.

Testeos y redes: Por esa razón y por el coste que supone, las grandes empresas no suelen tener permanentemente actualizados los programas y los equipos, y es posible que convivan distintos sistemas operativos, según la fecha de compra.  Lo que hace que sean más vulnerables a ataques, aunque también que tengan más asumido el hacer copias de seguridad, algo que muchos usuarios particulares siguen sin hacer periódicamente.

Fuente: http://www.elperiodico.com/es/sociedad/20170512/un-ataque-informatico-masivo-infecta-a-las-grandes-empresas-de-espana-6033534

Visitas: 5