Madrid
Telefónica ha sufrido un ataque de ramsonware en la mañana de este viernes en su sede corporativa. El grave incidente ha obligado a la operadora a avisar por megafonía a sus empleados de que apagaran los ordenadores por un problema de vulnerabilidad. En los avisos, que se han ido reiterando a lo largo de toda la mañana, la compañía ha pedido también a los trabajadores que desconectasen sus teléfonos móviles de las redes wifi de la empresa.
Al parecer, el problema ha sido causado por un ramsonware, un tipo de programa informático malintencionado que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción. Fuentes internas de la teleco aseguran que los autores del ciberataque habrían pedido ya a la operadora un rescate para eliminar las restricciones a los archivos y equipos secuestrados. El pago se exige en bitcoin y, según ha precisado la empresa de seguridad Sophos, los ciberdelincuentes habrían solicitado en un principio un pago de 300 dólares por ordenador hackeado. Una cifra que iría aumentando según la empresa dejase pasar las horas.
La alarma se disparó en todo el mundo. El software malicioso de tipo ramsonware, que también había afectado a otras grandes empresas españolas, se había extendido a escala global. Jakub Kroustek, especialista de Avast indicó en su blog que se habían detectado 57.000 ataques del WanaCrypt0r 2.0 en todo el mundo, con Ucrania, Rusia y Taiwán como principales objetivos. También Costin Raiu, director global del equipo de investigación de Karspesky Lab, señaló en Twitter que su empresa había detectado 45.000 ataques ramsonware en 74 países alrededor del mundo. Entre los principales afectados, la sanidad pública británica (NHS) donde el virús dejó paralizado a 16 hospitales.
En España el Centro Criptológico Nacional (CCN Cert), dependiente del Gobierno (CNI), ha emitido un comunicado en el que se alerta de un ataque masivo de ramsonware a varias organizaciones españolas que afecta a sistemas Windows, cifrando todos sus archivos, y los de las unidades de red que estén conectadas, infectando al resto de equipos con este sistema operativo que haya en esa misma red. Los sistemas afectados son Windows 7, 8.1, 10, Server 2016, Vista SP2, Server 2008 SP2 y Server 2012. El organismo ha calificado la alerta de "nivel muy alto" y ha recomendado actualizar los sistemas a su última versión o parchear según informa Microsoft, fabricante de Windows.
En este sentido, el organismo español recuerda queMicrosoft ya informó de esta vulnerabilidad el día 14 de marzo en su boletín y que hace unos días se hizo pública una prueba de concepto que parece que ha sido el desencadenante de la campaña.
Alta tensión en Telefónica
El ataque sufrido por Telefónica ha afectado tanto a la corporación como a las instalaciones de otras filiales del grupo que tienen su sede en el Distrito C. En principio, se sospecha que el agujero de seguridad se habría producido tras abrir un empleado un link que no debía en un correo electrónico. A partir de ahí, el virus se habría extendido por la compañía.
Ante esta situación, que ha generado un estado de alta tensión en algunas dependencias, la compañía ha ordenado a los empleados que mantengan los ordenadores apagados hasta nueva orden y se marchen a su casa. Además, han insistido por megafonía que "de estos momentos y hasta nueva orden, no se podrán sacar equipos informáticos del complejo". La empresa ha indicado también a sus trabajadores que enviarán un correo electrónico a través del móvil cuando la situación se haya normalizado.
Sobre las 15:00 horas, la teleco confirmó la incidencia. En un comunicado, Telefónica dijo que a media mañana del día de hoy se ha detectado un incidente de ciberseguridad que ha afectado los PCs de algunos empleados de la red corporativa interna de la compañía. “De forma inmediata, se ha activado el protocolo de seguridad para este tipo de incidencias con la intención de que los ordenadores afectados funcionen con normalidad lo antes posible”, señaló la empresa. Esta insiste en que sus clientes no se han visto afectados.
Esta tarde Movistar Venezuela ha dicho a través de su cuenta oficial de Twitter que el Grupo Telefónica ha activado el protocolo mundial de seguridad informática por lo que “nuestros sistemas están temporalmente fuera de servicio”. La empresa indicó que la contingencia impedía procesar transacciones en los centros de servicio, call center y a través de la aplicación Mi Movistar. La operadora, no obstante, deja claro que los servicios funcionaron sin inconvenientes en todo el país.
Desconexiones preventivas
El ataque a la teleco española ha obligado a algunos clientes, entre ellas algunas empresas del Ibex 35, a tomar medidas drásticas y urgentes. Entre ellas figura Ferrovial, uno de los grandes clientes de Telefónica.
En un comunicado interno, Ferrovial asegura que "por una amenaza global de seguridad que ha afectado a Telefónica procedemos a cortar todos los accesos a internet así como el correo electrónico hacia y desde el exterior". La empresa señala que algunas aplicaciones también podrían verse afectadas. Ferrovial también advierte de que en cuanto se estabilice y se resuelva dicha amenaza procederá a restablecer los servicios. La compañía se disculpa y ha lamentado las molestias que esta situación pueda ocasionar.
A su vez, la consultora Everis ha ordenado a sus empleados que apaguen los ordenadores y no los enciendan hasta recibir noticias del departamento de seguridad. En un comunicado interno, Everis indica que se ha detectado un ataque de ramsonware en “varios de nuestros clientes”. La consultora señala que como medida preventiva “vamos a dar de baja los sistemas internos que puedan verse impactados o que puedan ser utilizados para la propagación”. La firma pide a los empleados que se mantengan conectados a través de sus smartphones o tabletas.
Ante el ataque, también Indra ha decidido tomar medidas y ha cortado a sus empleados la navegación por internet, y la entidad pública Red.es ha bloqueado los accesos externos de su red, además de indicar a sus empleados que trabajen solo con la red interna.
Pero ha habido muchas más empresas y bancos que se han visto salpicados por el ciberataque, como es el caso de Gas Natural Fenosa y de Iberdrola. Sobre las 12 de la mañana, los servicios de seguridad de ambas eléctricas han dado la orden de apagar los ordenadores, en reiterados mensajes a través de megafonía a sus empleados. Muchos se han marchado después a casa. Todavía a estas horas, mantienen apagados los equipos, "por prudencia", a la espera de la información de Telefónica.
Iberdrola y Gas Natural, que confirman que el ciberataque no ha afectado a sus centros de producción ni a la seguridad de suministro, aseguran que se trata de una acción contra Telefónica y no contra ellas, pero que les ha afectado indirectamente como usuarias de la red de la operadora. Casualmente, el consejero delegado de Gas Natural, Rafael Villaseca se encontraba en esos momentos dando una conferencia ante analistas de presentación de los resultados trimestrales.
Otras corporaciones podrían haberse visto afectadas por el ciberataque como BBVA, Santander, Cap Gemini, KPMG, Vodafone. No obstante, algunas lo han desmentido categóricamente. Es el caso del BBVA, KPMG y Capgemini. Un portavoz del BBVA ha asegurado a CincoDías que lo publicado por algunos medios es absolutamente falso. "Aquí la situación es de total normalidad. Nuestro centro de alerta temprana está siempre mirando cualquier contratiempo que pueda surgir, pero no ha detectado absolutamente nada".
También Capgemini ha enviado un comunicado en el que precisa que la compañía desmiente que haya sufrido algún ataque. "No hemos tenido ninguna incidencia de este tipo y toda la empresa está funcionando con total normalidad". Por su parte, fuentes de Vodafone han precisado a este periódico que la compañía no se ha visto afectada por el ataque. La operadora, no obstante, ha decidido tomar medidas preventivas para evitar contagios. Así, Vodafone ha decidido cortar el acceso a internet de los empleados. En esta misma línea, fuentes del sector aseguran que algunas grandes empresas han optado por llevar a cabo apagados preventivos de sus ordenadores para evitar contagios.
EL MINISTERIO TRABAJA CON LAS EMPRESAS AFECTADAS
El Ministerio de Energía, Turismo y Agenda Digital, a través del Instituto Nacional de Ciberseguridad (Incibe), está trabajando con las empresas afectadas con el objetivo de solucionar cuanto antes la incidencia. En un comunicado, el departamento que dirige Álvaro Nadal señala que “por la información disponible hasta el momento, el ataque ha afectado puntualmente a equipos informáticos de trabajadores de varias compañías”, si bien precisa que no afecta ni a la prestación de servicios, ni a la operativa de redes, ni al usuario de dichos servicios.
“Desde el Incibe, en coordinación con las diferentes administraciones, se ha elaborado un diagnóstico de lo ocurrido en las empresas afectadas”, indica el Ministerio, que añade que el instituto está ofreciendo ayuda para solucionar los problemas y se asesora a otras compañías en una labor de prevenión para que no se vean afectadas por este ataque.
Finalmente, indica que los equipos de respuesta a incidentes cibernéticos nacionales están en contacto con las organizaciones afectadas, así como el Centro Nacional para la Protección de las Infraestructuras Críticas del Ministerio del Interior.
CIBERCRIMINALES EN BUSCA DE BENEFICIO ECONÓMICO
“A día de hoy, los ataques de ransomware son uno de los más peligrosos porque buscan sacar un beneficio económico, y ello permite a las organizaciones que se dedican a crear este tipo de programas maliciosos estar muy profesionalizadas porque por esta vía logran obtener muchos recursos”, asegura a CincoDías Eusebio Nieva, director técnico de Check Point en España y Portugal.
Este experto explica que en la mayoría de los casos este tipo de software malicioso se introduce en las empresas por una vía muy simple. A través de un correo electrónico “aparentemente inocente” que se envía a un usuario. Dicho correo lleva adjunto un archivo que simula ser una factura, un curriculum, una carta de despido… cualquier cosa que pueda resultar curiosa para el usuario. "Cuando este intenta abrirlo, se desata el desastre porque el archivo lleva un pequeño programa que se encarga de descargar el malware y cifrar todos los archivos del disco del equipo. Y acto seguido pide un rescate".
Una anomalía adicional de este tipo de software malicioso es que es capaz de autorreplicarse en todos los equipos que estén en la misma red a través de una vulnerabilidad, en este caso conocida y ya parcheada por Microsoft. “De este modo, y sin que muchos usuarios tengan que pinchar el correo, logran infectar muchos equipos de una compañía. Y esto es lo que ha ocurrido a empresas como Telefónica. De ahí la medida drástica que ha tomado la compañía, porque la velocidad de contagio ha sido en este caso muy elevada”.
Nieva recomienda no pagar el rescate en estos casos para recuperar los archivos bloqueados. “Primero, por un tema moral, porque si no se da pie a los ciberdelincuentes a llevar a cabo más ataques. Y, en segundo lugar, porque no hay garantía de lograr liberar lo que han encriptado. Nuestros estudios muestran que solo se recupera lo perdido en el 30-40% de los casos”.
Para evitar este tipo de ataques, el experto de Check Point recomienda a las empresas tener unas medidas protectoras adecuadas que detecten este tipo de incidencias y tener planes de contingencia. “Es necesario tener back-up de todos los archivos y ficheros. Es verdad que es muy costoso tener copia de todo y que puedes perder un día de trabajo, pero al final recuperas los datos”.
No hay comentarios:
Publicar un comentario