El ataque sufrido por Telefónica y otras compañías ha sido «indiscriminado», ha afectado a otros países como el Reino Unido, Taiwán, Ucrania, Rusia o Turquía, y es «especialmente virulento»
13 may 2017 . Actualizado a las 01:51 h.El ciberataque sufrido este viernes por Telefónica y otras compañías españolas ha sido «indiscriminado», ha afectado a otros países como el Reino Unido, Taiwán, Ucrania, Rusia o Turquía, y es «especialmente virulento» ya que combina un «malware» con un sistema de propagación que utiliza una vulnerabilidad detectada en Microsoft. Así lo asegura a Efe el director ejecutivo de S21sec, Agustín Muñoz-Grandes, una empresa española especializada en ciberseguridad, según los datos preliminares del ciberataque sufrido hoy por la compañía española y que podría haber afectado a otras entidades.
Las principales compañías de ciberseguridad han detectado ya más de 50.000 incidencias relacionadas con este virus, que ya se ha extendido a más de 70 países.
El «ransomware», en este caso una variación del denominado 'Wannacry', es un tipo de virus que se instala en un ordenador, «encripta y secuestra» todos sus ficheros, para, a continuación, pedir un rescate en 'bitcoin', una moneda virtual, que no se puede rastrear, explica.
Este tipo de virus suele llega habitualmente a través de correos electrónicos de «origen desconocido» que adjuntan un documento y que el usuario abre por error o desconocimiento. Según el socio director de la empresa de ciberseguridad S2Grupo, Miguel Juan, la singularidad del caso de Telefónica es que a priori parece que se ha producido una expansión del virus sin intervención aparente de usuarios.
La compañía Telefónica ha procedido a apagar los ordenadores de su red corporativa como medida preventiva después de detectar problemas en un centenar de dispositivos como consecuencia de un ataque informático. Según la información hecha pública por el Centro Criptológico Nacional, del CNI, se ha dado la alerta en España por un «ataque masivo de ransomware a varias organizaciones».
El ransomware es un virus que es capaz de bloquear un ordenador desde una ubicación remota y que secuestra sus archivos y no los libera hasta que consigue el pago de un rescate. El que ha desatado hoy la alerta afecta a sistemas que usen Windows. Y pone en riesgo todos los ficheros del equipo y de todas las unidades de red a los que esté conectado. Es capaz de propagarse a otros equipos.
En varios de los ordenadores afectados en la sede de Telefónica su sede central en Madrid aparecieron en las pantallas mensajes en las que se pedía un pago en bitcoins a cambio de liberar los equipos. El ransomware que ha causado esta alerta es del tipo WannaCry, aprovecha una vulnerabilidad de Windows publicada por Microsoft el día 14 de marzo en uno de sus boletines informativos. La compañía de Seattle recomienda actualizar todos los equipos a la última versión y, si se trata de ordenadores equipados con sistemas como Windows 7, que ya no tienen soporte, la solución propuesta es apagarlos o aislarlos de la red.
Esta información también fue reproducida en un tuit por el jefe de ciberseguridad de Telefónica, el exhacker Chema Alonso.
Según el Instituto Nacional de Ciberseguridad, el malware que ha causado la infección habría llegado a través de un fichero adjunto, de una descarga aprovechando una vulnerabilidad de un ordenador. El organismo recuerda que hay que tener mucha precaución y no abrir «adjuntos en correos de usuarios desconocidos o que no hayan sido solicitados».
Vodafone e Iberdrola y Gas Natural adoptan medidas preventivas
Según informa Europa Press, otras grandes empresas clientes de Telefónica han solicitado también de forma preventiva a sus trabajadores de oficina que apaguen sus ordenadores para evitar cualquier riesgo, como es el caso de Iberdrola, Indra o Gas Natural Fenosa. Por su parte, fuentes de Vodafone han asegurado que la compañía no ha sido atacada por ningún virús, pero han decidido cortar el acceso a Internet de los empleados también como medida preventiva.
Desde Orange señalan que mantienen operativas las comunicaciones de sus empleados y, en estos momentos, a la vista de lo sucedido en otras compañías, están «adoptando medidas preventivas» que garanticen la seguridad de sus comunicaciones.
Otras empresas en como BBVA, Santander o Capgemini han negado que hayan sufrido algún ataque o incidencia de estas características como se había publicado y afirman que están funcionando con total normalidad.
«Apaga tu ordenador»
El mensaje de Telefónica a sus empleados decía así: «Urgente: Apaga tu ordenador ya. El equipo de seguridad ha detectado el ingreso a la red de un malware que afecta a tus datos y ficheros... No vuelvas a encenderlo hasta nuevo aviso... Desconecta el móvil de la wifi».
En una declaración oficial, Telefónica ha señalado que «a media mañana del día de hoy se ha detectado un incidente de ciberseguridad que ha afectado los ordenadores personales de algunos empleados de la red corporativa interna de la compañía». «De forma inmediata se ha activado el protocolo de seguridad para este tipo de incidencias con la intención de que los ordenadores afectados funcionen con normalidad lo antes posible», añade la declaración.
Los ministerios y organismos dependientes de la Administración General del Estado han adoptado como medida preventiva la desconexión de equipos informáticos, tras el ataque que ha afectado puntualmente a varias compañías españolas. Fuentes del Ministerio de Energía, Turismo y Agenda Digital han indicado a Efe que se trata sólo de una medida de precaución, ya que en el caso de la Administración central no ha habido ningún incidente y lo único que han hecho es pedir al personal que desconecten sus ordenadores a fin de «garantizar que no haya riesgo».
Interior investiga si es un ataque con efecto cascada
El Ministerio del Interior ha señalado que, de momento, no se dispone de información que permita asegurar si los incidentes en la red informática de Telefónica han sido provocados por un único ataque con un «efecto en cascada» o si se trata de varios incidentes diferenciados.
Según han indicado a Efe fuentes del departamento de Interior, se trata de un incidente que cifra los datos en los ordenadores conectados a redes corporativas y que está afectando a distintas organizaciones a las que da servicio Telefónica. Las mismas fuentes han subrayado que los servicios esenciales «no se están viendo afectados». Han añadido que los equipos de respuesta a incidentes cibernéticos nacionales están en contacto con las organizaciones afectadas, así como el Centro Nacional para la Protección de las Infraestructuras Críticas del Ministerio del Interior.
Por el momento, las medidas que se están tomando son de carácter preventivo, aunque a lo largo de las horas se dará a conocer más información sobre el incidente, que está siendo gestionado por los centros correspondientes del Ministerio de Energía, y de Interior para todos aquellos operadores de servicios esenciales.