La alarma saltó en los medios a mediodía en España, cuando Telefónica comenzó un agresivo protocolo, megafonía incorporada, para asegurarse de que los usuarios de su red corporativa apagaban sus ordenadores. Una cuenta atrás amenazaba con borrar todos los datos de los dispositivos si no se abonaban varios cientos de euros en bitcoins. Cientos de equipos se vieron afectados antes de que las medidas comenzasen a dar sus frutos.
El primer medio en hacerse eco, utilizando muchas referencias de usuarios de tuiter, fue Voz Populi que, paradójicamente, se vio afectada por el mismo virus a las pocas horas. A partir de entonces, infinidad de reportes de empresas cuyos empleados veían cómo sus técnicos de sistemas apagaban sus ordenadores. Pero ninguna confirmación oficial. Salvo Telefónica, el resto se escudaron en labores de prevención y otras excusas.
Sin embargo, la crisis había comenzado mucho más temprano. VirusTotal, el antivirus de antivirus online comprado por Google en 2012 confirmó a EL ESPAÑOL que sus sistemas analizaron el virus por primera vez a las 7:30. “VirusTotal lo utilizan muchas empresas y el ‘bicho’ llegó antes por otros lados y otros países”, asegura el fundador y manager de la compañía, Bernardo Quintero, descartando que el 'paciente cero' fuese la compañía que preside José María Álvarez-Pallete.
Y era un bicho escurridizo. Quintero asegura que sólo 11 de los 61 antivirus que conforman su plataforma eran capaces de detectarlo a la hora a la que llegó por primera vez.
Chantajear a hospitales
En paralelo, un número indeterminado de hospitales británicos fueron también objeto de un ataque informático de la misma naturaleza. En Londres, al menos cinco centros se vieron sido infectados. Las citas médicas han sido canceladas y las ambulancias y emergencias de importancia fueron derivadas a otros hospitales.
El centro de ciberseguridad británica reconoció el ataque y puso en marcha una investigación junto a la Policía y al NHS, el sistema de salud pública, para saber si estos ataques están conectados. La conclusión fue que sí lo estaban.
La BBC comenzó a hablar de ataques similares en Italia, Rusia, Portugal, Vietnam, Kazajistán, Taiwán, China, EEUU y Ucrania. "Esto es enorme", señaló un investigación de la empresa de antivirus Avast la cadena británica.
Más de 70 países
La firma de ciberseguridad Kaspersky comenzó a hablar de 74 países afectados y a un número cada vez mayor. No está claro cuanto dinero habrán recaudado los chantajistas en estas horas.
¿Más compañías afectadas? FedEx lo reconoció, si bien no indicó en qué territorios fue afectada. Portugal Telecom también dio la cara y señaló, como Telefónica, que sus servicios no se fueron afectados. Otra operadora, Megafon, la segunda más grande de Rusia, confirmó la infección.
Marcos Gómez, portavoz oficial del Instituto Nacional de Ciberseguridad de España (Incibe), explicó los motivos de un ataque multinacional. “Lo que se pretende es siempre llegar al mayor número posible de equipos, no nos parece ilógico que haya sido un lanzamiento colectivo”.
El virus, una vez abierto por el usuario, cifra el ordenador en cuestión, lanza una pantalla con una cuenta atrás en la que se da un plazo para pagar una suma de dinero en bitcoins e intenta ser contagiado a través de otras redes.
¿Por qué se pide el pago en bitcoins?
Se trata de una moneda digital o criptodivisa totalmente descentralizada. Es decir, no está apoyada por ningún gobierno ni depende de la confianza en un emisor central, lo que la convierte en idónea para este tipo de transacciones.
Incibe señaló que casos confirmados en España oficialmente hubo sólo uno, el de Telefónica, y aseguró que el organismo estaba “trabajando con todos los operadores estratégicos para que tomen medidas preventivas”.
Aseguró que las infraestructuras esenciales no se pueden ver afectadas. “Todos han recibido información preventiva de los canales, del tipo de amenaza para que puedan filtrarlo en sus sistemas y de la conveniencia de realizar copias de seguridad”, explicó Gómez.
El ciberataque aprovechó una vulnerabilidad del sistema operativo de Microsoft filtrada por un grupo de hackers el mes pasado y para la que la compañía tecnológica lanzó una actualización de seguridad en marzo.
Según informó The New York Times, la vulnerabilidad EternalBlue, utilizada por los autores del ataque para propagar un ransomware llamado WannaCry, fue filtrada en abril por el grupo de hackers Shadow Brokers, que ha estado aireando en Internet herramientas supuestamente empleadas por la Agencia Nacional de Seguridad (NSA).
Microsoft, que describió esta vulnerabilidad en el boletín de seguridad MS17-010, dijo que sus ingenieros añadieron este viernes "detección y protección contra el nuevo software malicioso, conocido como Ransom:Win32.WannaCrypt".
Atención al cliente de los hackers
El portavoz reconoció incluso que este tipo de empresas de ransomware tienen servicios de atención al cliente. “Si la víctima paga les conviene ayudarles a recuperar la información para asegurarse de que se vuelve a pagar. Pero no hay garantías, hemos visto casos en los que no se ha recuperado la información”, explicó el vicedirector de servicios de ciberseguridad del organismo.
Gómez recordó que su organismo tiene un servicio gratuito antiransomware. Los afectados entregan muestras de los ficheros afectados, se evalúa el cifrado y el tipo de bloqueo y se devuelven los ficheros con instrucciones.
Según el Centro de Capacidad de Respuesta a incidentes de Seguridad de la Información del Ministerio de Energía, Turismo y Agenda Digital y del Ministerio del Interior, "el malware que ha infectado al 'paciente 0', para el caso de las organizaciones, ha llegado a través de un adjunto, una descarga aprovechando una vulnerabilidad de un ordenador. La versión del malware según los análisis es un WanaCrypt0r, una variante de WCry/WannaCry.
“Hay muchos afectados que no dicen que lo estén siendo. Hemos visto oleadas de cientos de miles de correos utilizando marcas como Agencia Tributaria o correos”, explicó el directivo, quien subrayó que buena parte del gancho para abrir los archivos infectados “es pura ingeniería social”.