Telefónica y el sistema de salud británico, víctimas de un ataque informático mundial

Un ataque masivo de ransomware ha infectado a varias compañías y organismos de hasta 179 países. Entre los afectados confirmados están Telefónica en España y los hospitales de la NHS, la seguridad social de Reino Unido.

En la sede de Telefónica en Madrid, un grupo de hackers ha tomado el control de varios ordenadores infectados con este tipo de malware, bloqueándolos y mostrando después un mensaje que pide dinero a cambio de liberar los dispositivos. La cantidad exigida son 300 dólares en bitcoins, una moneda virtual.

Estos ataques “se basan en oleadas o campañas que buscan a través del correo electrónico infectar una red y, a partir de ahí, lograr acceso al resto de los equipos”, explica a eldiario.es Marcos Gómez, subdirector del servicio de ciberseguridad del INCIBE (Instituto Nacional de Ciberseguridad). 

“Una vez infectado un equipo, [el ransomware] busca alguna vulnerabilidad de la red que ataca para buscar más equipos vulnerables y sabotearlos”, continúa Gómez, que no esconde que haya varias empresas españolas afectadas, aunque rechaza dar nombres sobre el resto de compañías a las que el INCIBE está prestando soporte.

El dato de que hay varias compañías que han sufrido el ataque en España ha sido también confirmado por el CNI, que en la web del Centro Criptográfico Nacional ha alertado de “un ataque masivo que afecta a un elevado número de organizaciones españolas”, sin detallar cuáles.

La vulnerabilidad que ha provocado este ataque fue parcheada en marzo por Microsoft, la compañía de Bill Gates. El INCIBE también menciona otra vulnerabilidad de este mismo mes, ya parcheada también.

Miles de ataques en 179 países

El ransomware WCry utilizado en los ataques es un tipo de malware que se caracteriza por el secuestro del ordenador, donde se “bloquean” todos los archivos del disco duro y se pide un rescate por ellos. 

España no es el único país afectado. El ataque a nivel mundial ha golpeado también a los hospitales del NHS de Reino Unido, según ha confirmado el periódico The Guardian. Muchos centros han tenido que desviar a los pacientes de urgencias a otros centros cercanos. Los ordenadores de los hospitales han recibido un mensaje igual que el de Telefónica, que exigía la misma cantidad de dinero por liberar el equipo.

Según The Guardian, 99 países se habrían visto afectados por WCry. El viernes, Costin Raiu, responsable del equipo de investigación de la firma de seguridad Karspersky advertía a las 19 horas que ya se habían registrado más de 45.000 ataques del ransomware y que el número crecería en las próximas horas.

Cuenta Motherboard que Rusia suma el mayor número de amenazas con 29. En segundo lugar se sitúa Taiwán y en tercero está España. 

Telefónica, la compañía española más afectada

El Gobierno ha emitido un comunicado en el que dice estar trabajando “con las empresas afectadas con el objetivo de solucionar cuanto antes la incidencia”. El ministerio de Energía, Turismo y Agenda Digital señala que el ataque “no afecta ni a la prestación de servicios, ni a la operativa de redes, ni al usuario de dichos servicios”.

Aunque el caso de Telefónica es el único que ha trascendido, la alerta, sin embargo, se ha extendido a otras grandes compañías que trabajan con conexión Movistar como Iberdrola o Vodafone, que han pedido a sus trabajadores que no usen sus equipos conectados a Internet.

Fuentes de Gas Natural explican a este diario lo siguiente: “Hemos desconectado los ordenadores de forma preventiva, pero aún no sabemos daños. Las unidades críticas de negocio funcionan con normalidad, porque van por otras plataformas, no por Wifi”.

En el Grupo Prisa piden a sus empleados, a través de un correo interno, que “cuando acabe su jornada laboral, apague su estación” y les recuerdan que no deben “abrir ni ejecutar documentos o archivos adjuntos o hacer 'clic' en vínculos de correo electrónico o de publicaciones de redes sociales”.

¿Cómo ha sido el ataque?

Sobre las 12 de la mañana, “han empezado a salir pantallazos azules” -error de disco- en los equipos de los trabajadores de Telefónica en la sede en Madrid, según han relatado fuentes internas. Las mismas fuentes han añadido que, a continuación, la compañía ha avisado por megafonía que debían desconectar inmediatamente los ordenadores. La alerta por los altavoces solo suena en casos de evacuación del edificio.

Según empleados de Telefónica, “se han desenchufado los ordenadores, las regletas eléctricas y el resto de equipos” así como las VPN (redes de trabajo internas), y se ha pedido que no se saquen equipos informáticos del edificio.

En varias capturas de pantalla a las que ha tenido acceso eldiario.es, se ve un mensaje típico de los ataques de ransomware, en el que los hackers 'secuestran' los equipos, avisan de que los archivos han sido cifrados y piden una cantidad económica para liberarlos.

En este caso, los atacantes han dado un plazo de unas horas para liberar los archivos previo pago de 300 dólares en bitcoins, lo que al cambio son 0,1675 btc. Si no se hace, el 15 de mayo subirán el precio del rescate y el 19 de mayo serán eliminados definitivamente. El virus podría haber afectado a archivos internos de la compañía. 

Fuentes oficiales de Telefónica han rebajado la importancia del suceso. Según aseguran a este diario, habría afectado a unos cien ordenadores de un total de 40.000 y no afecta al servicio que presta la compañía.

Un trabajador de la compañía ha explicado a este diario que solo en su planta “hay unos 100 o 150 ordenadores” y que el ataque ha afectado “a todo el edificio”. En la sede de Telefónica de Madrid trabajan unas 15.000 personas.