El INCIBE investiga un ciberataque que afecta a varias empresas españolas
El Instituto Nacional de Ciberseguridad (INCIBE-CERT) investiga actualmente un ciberataque a través de 'ransomware', un tipo de virus que encripta los archivos y exige el pago de rescates para recuperarlos, que afecta este lunes a varias empresas españolas y que se ha relacionado con una campaña de 'spam' masivo.
INCIBE ha asegurado que su equipo de respuesta de ciberseguridad trabaja "en estos momentos en la mitigación y recuperación del incidente en coordinación con las empresas afectadas y las empresas de ciberseguridad que les dan soporte", así como con "el resto de organismos públicos nacionales", como ha confirmado en un comunicado la institución, dependiente del Ministerio de Economía y Empresa.
Para evitar este tipo de ataques, que cada vez resultan más rentables para los delincuentes, INCIBE recomienda no pagar nunca el rescate, ya que este no garantiza la recuperación de los archivos, sino reportarlo al correo incidencias@incibe-cert.es acompañado de capturas de pantalla y dos archivos infectados.
Además, si la incidencia afecta a datos de carácter personal, la empresa debe informar de ello a sus clientes en un plazo de 72 horas, como establece el Reglamento General de Protección de Datos (RGPD) que entró en vigor en mayo de 2018.
Posible campaña de spam
La compañía de ciberseguridad Panda Security ha comentado que para este "ataque masivo en España" existen tres posibles vías de entrada. El primero de ellos es que se trate de una campaña de 'spam'.
La empresa ha tenido acceso a la nota de rescate recibida por los clientes externos afectados, y ha asegurado que tiene un alto grado de similitud con la usada por el 'ransomware' BitPaymer, utilizado para campañas de envío de 'spam'.
"Las víctimas podrían ser empresas que se vieron afectadas por algunas de las campañas de SPAM que se lanzaron las semanas previas, cuyo objetivo era infectar las máquinas con el malware EMOTET", ha explicado Panda, aunque por el momento no dispone de confirmación.
Las otras dos posibilidades que se barajan es que el ataque se deba a la vulnerabilidad BlueKeep, que afecta a Procolo de Escritorio Remoto de Windows y que fue parcheada en mayo por Microsoft, o bien que se trate de una vulnerabilidad en Microsoft Teams, que usa el proceso para descargar y ejecutar un 'malware'.
Empresas afectadas
A través de un comunicado, la cadena SER ha confirmado que ha sido una de las afectadas y que ha sufrido una "afectación grave y generalizada de todos sus sistemas informáticos" a causa del virus, lo que le ha llevado a desconectarlos.
La consultora Accenture ha confirmado a Europa Press que no se ha visto afectada por el ataque a pesar de la existencia de rumores previos, algo que también ha hecho KPMG en Twitter.