El Ayuntamiento de Colmenar Viejo ha sufrido este miércoles un ciberataque con el virus WannaCry. El jueves, un día después, la mayoría de equipos siguen bloqueados. “Se ha ido todo el mundo a casa”, explica un trabajador a eldiario.es, que añade: “los informáticos se han ido a comer pero no sé si volverán”.
Desde el gabinete de prensa del Ayuntamiento confirman el ataque: “Apagamos automáticamente todos los ordenadores. Esto corre como la pólvora”. WannaCry ha secuestrado los equipos del consistorio, que ahora mismo se encuentran intentando ser restablecidos por los propios informáticos del Ayuntamiento. También ha llegado “un equipo de expertos para apoyarlos”.
“Ayer a las 6 de la mañana lanzaron un ataque contra el servidor del Ayuntamiento. A las 9:15, los informáticos se dieron cuenta de que había una actividad anormal en los servidores porque estaban encriptándose expedientes. Y en esas estamos”, explica Jorge García Díaz, alcalde de Colmenar Viejo, a eldiario.es.
“Estamos revisando todos los equipos para intentar detectar por dónde entró el ataque y restablecer todos los documentos que se han dañado con las copias de seguridad”, continúa Díaz. El alcalde prevé que los sistemas vuelvan a funcionar entre este viernes y el lunes de la semana que viene.
El ataque se ha dirigido contra el servidor central de Ayuntamiento, que administra y “presta el servicio de Internet al resto de edificios”. WannaCry solo afecta a los equipos que tengan Windows como sistema operativo. En marzo, Microsoft sacó un parche para arreglar el fallo de seguridad pero dos meses después pudimos comprobar que pocas empresas lo habían implementado. El ransomware afectó a empresas y organizaciones de casi 200 países.
“Los sistemas de seguridad se revisan constantemente y este servidor está en constante actualización de antivirus”, dice Díaz. Tres meses después de hacer el agosto, WannaCry vuelve a golpear en nuestro país. “El servidor, parcheado está. Estamos mirando a ver qué ha podido ser: si un fallo nuestro o de la empresa que da soporte al gestor documental”.
Según explica Díaz, el consistorio trabaja con una empresa que hace los registros de casas, padrones, etcétera. “Nosotros no trabajamos con la plataforma de facturas electrónicas del ministerio. Casi todos los ayuntamiento tenemos una propia”. El alcalde de Colmenar Viejo se muestra convencido de que WannaCry posiblemente “solo haya afectado a los documentos que se generaron ayer de 9 a 9:15”.
El municipio madrileño, además de contar con un servicio informático propio, también tiene otro externo “con la empresa que tenemos contratado todo el tema de la gestión de la administración electrónica, que es donde creemos que puede estar el fallo”, explica Díaz. Según el alcalde, esta empresa de gestión también está presente “en casi todos los ayuntamientos”.
“Todas las gestiones que se hacen telemáticamente a través de la sede electrónica del Ayuntamiento quedaron interrumpidas inmediatamente”, dice el consistorio madrileño. El servidor central al que se conectan todos los departamentos y servicios del Ayuntamiento también está infectado: “Deportes, bibliotecas, casa de la juventud... Todas las dependencias municipales”.
El consistorio, que asegura estar “trabajando de noche y de día para que esto se solucione cuanto antes”, ha optado por hacer las gestiones de forma manual: “Por ejemplo, si alguien quisiera hacer un certificado de empadronamiento, se le pone un sello en el registro y en el momento en que se pueda acceder al sistema informático se empieza la tramitación como habitualmente se hace”.
¿Qué es y cómo actúa WannaCry?
WannaCry saltó a la primera escena mundial el pasado mayo, cuando atacó a empresas y organizaciones de más de 200 países. En nuestro país, Telefónica vio como sus ordenadores quedaban bloqueados por el ransomware. En el Reino Unido, los hospitales de la seguridad social británica (NHS Trust) también fueron atacados.
El virus, que solo afecta a los sistemas operativos Windows, hace uso de una vulnerabilidad de ejecución de comandos remota a través del protocolo SMB (Server Message Block - Servidor de bloque de mensajes).
WannaCry se distribuye por correo. Al infectar un equipo, el ransomware escanea el resto de equipos de la red a los que está conectado el ordenador, propagando la infección. Se aprovecha de una vulnerabilidad de Windows, desde el 7 hasta el 10, pasando por Vista, XP, RT y Server (2008, 2012 y 2016).
Entra a través de los puertos 137, 138 UDP y 139, 445 TCP. Son los que utiliza el protocolo SMB, que sirve para compartir archivos, equipos, impresoras y demás dispositivos en una red de área local (LAN). Este tipo de redes son las que usan todas las empresas para trabajar internamente.
Este ataque llega un día después de que los ciberatacantes hayan comenzado a retirar el dinero recaudado de los rescates. Hasta ahora han sacado más de 26.000 dólares. Sus tres monederos albergaban un total de 142.361 dólares hasta el miércoles, según la cuenta de Twitter actual_ransom, dedicada a seguir los movimientos de entrada y salida de dinero de WannaCry.