Qué es y cómo funciona el 'ransomware', el ataque informático sufrido por la SER y otras empresas

David Sarabia

7 de noviembre de 2019 23:15 h

La Cadena SER, entre otras empresas, está siendo atacada por un virus informático de tipo ransomware. Las emisiones de radio locales y regionales han sido interrumpidas y cuatro días después, la actividad rutinaria de la redacción sigue muy trastocada, con dificultades para hacer conexiones en directo e incluso reproducir sonido desde su sistema digital de redacción y edición de contenidos. La radio, de pronto, ha vuelto a ser mucho más analógica.

¿Qué ha pasado?

El lunes, la SER confirmaba a través de un comunicado en su página web que había sido víctima de un ciberataque. Fue el equipo de madrugada el que, a eso de las 2 de la mañana, descubrió que algunos ordenadores mostraban un código de error en sus pantallas. “Al principio pensaron que se trataba de una caída pero ya pintaba feo. A las 8 de la mañana se dio la orden de desactivar todos los equipos”, explican a este diario fuentes de la Cadena SER. Poco se sabe sobre el virus a excepción de que parece programado originalmente en Rusia, según cuenta El País. “Es un virus superpotente y ni comparable al que atacó Telefónica en 2016”, cuentan las mismas fuentes a eldiario.es.

El ataque sufrido por la emisora de radio es un ransomware, un tipo de virus que cifra los archivos del ordenador, bloqueándolos, y que pide después un rescate para liberarlos. Es un chantaje: si no pagas, te quedas sin el funcionamiento informático de tu empresa y sin los datos que puedan tener los servidores. La Cadena SER no fue la única afectada: en nuestro país, la consultora multinacional Everis también fue uno de los objetivos. Aunque a comienzos de la semana se especuló con que otras consultoras como Accenture y KPMG habían sido infectadas, ambas compañías lo desmintieron posteriormente.

¿Cómo se activa el virus?

Un ransomware puede infectar al equipo por tres vías diferentes. La más común es a través del correo: como ya ocurrió en el caso de WannaCry en 2017, los ciberatacantes lanzan campañas de phising a través del correo electrónico en las que adjuntan archivos infectados esperando que algún trabajador despistado pinche en ellos. Cuando eso ocurre, y como todos los equipos están conectados a la misma red de trabajo, el ransomware se contagia rápidamente y en cuestión de segundos por todos los ordenadores.

“El virus puede estar hibernando en el ordenador y llegar un momento en el que, por lo que sea, se activa: los hackers están pendientes de lo que tú estás haciendo y cuando encuentran el agujero, entran”, señalan fuentes de la Cadena SER a este medio. El correo no es la única vía de entrada, ya que el malware también puede estar esperando en una página web no segura e incluso en archivos descargables. La experiencia nos ha enseñado que ni la tienda oficial de Google ni la de Apple son 100% efectivas detectando y eliminando las apps que contienen estos 'gusanos'.

¿Por qué se habla de “secuestro”?

No por nada el ransomware se sitúa como la primera amenaza a nivel mundial: llevar a cabo los ataques no cuesta mucho dinero, con pocos medios se consigue una gran difusión y hay mucho por ganar. La característica principal de este tipo de malware es su capacidad de cifrar los archivos del disco duro del ordenador y dejarlos inservibles. Tras infectar el equipo de la víctima, el troyano se destruye y solo deja un aviso en pantalla indicando la dirección del monedero bitcoin al que hay que remitir el pago con una cuenta atrás. Si esta llega a su fin, el virus borra todo lo que cifró, por eso los ciberatacantes hacen hincapié en que es mejor pagar antes de que llegue a 0. Sin embargo, los expertos en ciberseguridad recomiendan no desembolsar ni un céntimo por los datos y denunciar el incidente ante las autoridades: nadie puede tener la certeza de que la persona al otro lado devolverá la información intacta.

Los ciberatacantes prefieren cobrar en bitcoin porque es muy difícil rastrear el origen y el destino del dinero. Este completo artículo de J.M Costa ya explicó cómo funciona un ransomware hace tres años, cuando este tipo de amenaza apenas se conocía en nuestro país.

¿Es la primera vez que pasa?

No. En realidad, este tipo de ataques son los más comunes y también los más dirigidos contra empresas. Solo en 2016, el INCIBE (Instituto Nacional de Ciberseguridad) gestionó más de 2.000 incidentes similares. A pesar de ello, poca gente en nuestro país sabía lo que era un ransomware hasta que en mayo del 2017 WannaCry infectó a cientos de empresas de más de 179 países diferentes. En España, Telefónica fue la compañía más afectada aunque WannaCry tocó de refilón a otras como Movistar, Vodafone, Iberdrola e incluso Gas Natural. Pedía un rescate de 300 euros en bitcoin y daba una semana para pagar antes de perder todos los archivos.

¿Cómo prevenirlo?

No hay ningún método infalible para protegernos ante un ataque así. En general, mantener los equipos actualizados con las últimas versiones de cada programa suele ser una medida efectiva. También lo es tener copias de seguridad de los archivos para que en caso de sufrir un ataque así, la información pueda ser recuperada sin tener que ceder al chantaje. En el caso de la Cadena SER, el archivo histórico permanece sano y salvo precisamente porque estaba guardado en una copia de seguridad. Además, fuentes de la emisora señalan que “el sistema de emisión nunca funcionó en una red abierta: no es vulnerable, ya que son ordenadores que no están conectados a nada”.

En último lugar, los empleados de las compañías juegan un papel importante a la hora de infectar y transmitir las amenazas: el factor humano sigue siendo clave, por eso es necesario formar al personal para que identifiquen cuándo un archivo o un correo puede ser sospechoso de contener un virus.