La locura se desencadenó a las 11:25 de la mañana, después de que Telefónica comunicase a sus empleados que se encontraban sometidos a un ataque informático a gran escala, después de que cientos de profesionales empezasen a ver las pantallas en azul o con notificaciones de ransomware. La compañía llegó a notificar la situación por megafonía a sus trabajadores.
El Centro Nacional de Criptografía, adscrito al CNI, señaló horas después que el ataque de ransomware ha afectado a varias organizaciones españolas y que se aprovecha de una vulnerabilidad de Microsoft que ya había sido parcheada pero para la que no están protegidos los ordenadores con Windows 7.
Según el Centro de Capacidad de Respuesta a incidentes de Seguridad de la Información del Ministerio de Energía, Turismo y Agenda Digital y del Ministerio del Interior, "el malware que ha infectado al 'paciente 0', para el caso de las organizaciones, ha llegado a través de un adjunto, una descarga aprovechando una vulnerabilidad de un ordenador. La versión del malware según los análisis es un WanaCrypt0r, una variante de WCry/WannaCry.
Según la información comunicada a empleados de Telefónica y confirmada por el CNI y por el Ministerio, no afectaría a los clientes de la operadora ni a las redes de comunicaciones. Fuentes oficiales de la compañía señalaron que se trata de "un simple virus", que afecta a "cientos de ordenadores" de la red corporativa y que en ningún caso afecta a las operaciones del grupo. Desde Tuenti confirmaron que la sede de Gran Vía no se ha visto afectada.
La Oficina de Seguridad del Internauta del Incibe alertó sobre el pago de las sumas solicitadas: "se trata de ciberdelincuentes y no existe garantía alguna de recuperar los datos una vez efectuado el pago".
Los primeros rumores han mencionado que podría tratarse de un ataque con origen en China. Los responsables pidieron un rescate en Bitcoins, especialmente tras correr pos las redes un pantallazo en el que se da un plazo de tres días a la compañía para hacer el pago, hasta el próximo día 12 de mayo.
"Los ordenadores infectados, simplemente, se formatearán y se perderán los datos", señalaron fuentes internas del grupo, que señalaron que es un virus de rápida extensión que ha infectado todo lo que ha podido. "Este tipo de ataques lo que hacen normalmente es cifrar el ordenador y pedir un rescate en bitcoins, dispositivo por dispositivo", explicaron a EL ESPAÑOL fuentes del sector de la ciberseguridad.
Pese a los rumores que circulan por Internet, fuentes de Vodafone, Orange, BBVA, Capgemini, Inditex y KPMG afirmaron que, hasta el momento, no han sufrido ataques propiamente dichos.
Quien sí han sufrido ataques, por ejemplo, ha sido el medio online Voz Populi, que fue el primero en publicar información sobre los mismos.
Alerta máxima
Fuentes próximas al sector de la ciberseguridad señalaron que, efectivamente, hay una alerta máxima sobre esta cuestión y que se están realizando labores de prevención en todas las grandes empresas españolas. Iberdrola, por ejemplo, confirmó que ha apagado por prevención sus dispositivos.
Los empleados de la Telefónica, también los de las filiales, recibieron órdenes de apagar sus ordenadores para evitar daños mayores.
Se les ha notificado que recibirán un correo a través del móvil cuando la situación esté normalizada y que se informará en las entradas de los edificios sobre el acceso a la red. Los empleados recibieron instrucciones de que debían desconectar del wifi los móviles pero no apagarlos.