La alarma saltó en los medios a mediodía en España, cuando Telefónica comenzó un agresivo protocolo, megafonía incorporada, para asegurarse de que los usuarios de su red corporativa apagasen sus ordenadores. Una cuenta atrás amenazaba con borrar todos los datos de los dispositivos si no se abonaban varios cientos de euros en bitcoins. Cientos de equipos se vieron afectados antes de que las medidas comenzasen a dar sus frutos.
El primer medio en hacerse eco, utilizando muchas referencias de usuarios de tuiter, fue Voz Populi que, paradójicamente, se vio afectada por el mismo virus a las pocas horas. A partir de entonces, infinidad de reportes de empresas cuyos empleados veían cómo sus técnicos de sistemas apagaban sus ordenadores. Pero ninguna confirmación oficial. Salvo Telefónica, el resto se escudaron en labores de prevención y otras excusas.
Sin embargo, la crisis había comenzado mucho más temprano. VirusTotal, el antivirus de antivirus online comprado por Google en 2012 confirmó a EL ESPAÑOL que sus sistemas analizaron el virus por primera vez a las 7:30. “VirusTotal lo utilizan muchas empresas y el ‘bicho’ llegó antes por otros lados y otros países”, asegura el fundador y manager de la compañía, Bernardo Quintero, descartando que el 'paciente cero' fuese la compañía que preside José María Álvarez-Pallete.
Y era un bicho escurridizo. Quintero asegura que sólo 11 de los 61 antivirus que conforman su plataforma eran capaces de detectarlo a la hora a la que llegó por primera vez.
Ataque multinacional
Marcos Gómez, portavoz oficial del Instituto Nacional de Ciberseguridad de España (Incibe), se mostró también proclive a defender la tesis del ataque multinacional. “Lo que se pretende es siempre llegar al mayor número posible de equipos, no nos parece ilógico que haya sido un lanzamiento colectivo”.
El virus, una vez abierto por el usuario, cifra el ordenador en cuestión, lanza una pantalla con una cuenta atrás en la que se da un plazo para pagar una suma de dinero en bitcoins e intenta ser contagiado a través de otras redes.
¿Por qué se pide el pago en bitcoins?
Se trata de una moneda digital o criptodivisa totalmente descentralizada. Es decir, no está apoyada por ningún gobierno ni depende de la confianza en un emisor central, lo que la convierte en idónea para este tipo de transacciones.
Incibe señaló que casos confirmados oficialmente hubo sólo uno, el de Telefónica, y aseguró que el organismo está “trabajando con todos los operadores estratégicos para que tomen medidas preventivas”.
Aseguró que las infraestructuras esenciales no se pueden ver afectadas. “Todos han recibido información preventiva de los canales, del tipo de amenaza para que puedan filtrarlo en sus sistemas y de la conveniencia de realizar copias de seguridad”, explicó Gómez.
Los ordenadores más vulnerables son los que tienen Windows 7, un sistema operativo de Microsoft que no ha recibido ningún parche para enfrentarse a esta amenaza. Aquellos dispositivos con Windows 10 actualizado están protegidos.
Atención al cliente de los hackers
El portavoz reconoció incluso que este tipo de empresas de ransomware tienen servicios de atención al cliente. “Si la víctima paga les conviene ayudarles a recuperar la información para asegurarse de que se vuelve a pagar. Pero no hay garantías, hemos visto casos en los que no se ha recuperado la información”, explicó el vicedirector de servicios de ciberseguridad del organismo.
Gómez recordó que su organismo tiene un servicio gratuito antiransomware. Los afectados entregan muestras de los ficheros afectados, se evalúa el cifrado y el tipo de bloqueo y se devuelven los ficheros con instrucciones.
Según el Centro de Capacidad de Respuesta a incidentes de Seguridad de la Información del Ministerio de Energía, Turismo y Agenda Digital y del Ministerio del Interior, "el malware que ha infectado al 'paciente 0', para el caso de las organizaciones, ha llegado a través de un adjunto, una descarga aprovechando una vulnerabilidad de un ordenador. La versión del malware según los análisis es un WanaCrypt0r, una variante de WCry/WannaCry.
A la chita callando
“Hay muchos afectados que no dicen que lo estén siendo. Hemos visto oleadas de cientos de miles de correos utilizando marcas como Agencia Tributaria o correos”, explicó el directivo, quien subrayó que buena parte del gancho para abrir los archivos infectados “es pura ingeniería social”.
En paralelo, un número indeterminado de hospitales británicos fueron también objeto de un ataque informático de la misma naturaleza. En Londres, al menos cinco centros han sido infectados. Las citas médicas han sido canceladas y las ambulancias y emergencias de importancia han sido derivadas a otros hospitales, informa Reuters.
El centro de ciberseguridad británica ya ha reconocido el ataque y ha puesto en marcha una investigación junto a la Policía y al NHS, el sistema de salud pública, para saber si estos ataques están conectados.
La BBC ha hablado ya de ataques similares en Italia, Rusia, Portugal, Vietnam, Kazajistán, Taiwán, China, EEUU y Ucrania. "Esto es enorme", señaló un investigación en antivirus a la cadena británica.