Unos ¡®hackers¡¯ bloquean 400.000 archivos de Ifema
Los autores del ataque exig¨ªan un rescate, pero la instituci¨®n solucion¨® el problema sin hacer ning¨²n pago
Cuando, a finales del pasado enero, un empleado de la Instituci¨®n Ferial de Madrid (Ifema) recibi¨® un correo electr¨®nico, no sab¨ªa la debacle que estaba a punto de provocar. El mensaje conten¨ªa un virus inform¨¢tico que bloque¨® en cuesti¨®n de un minuto m¨¢s de 400.000 documentos de los servidores. Los atacantes ped¨ªan un rescate para acabar con el encriptado, pero al final la soluci¨®n lleg¨®, sin realizar pago ninguno, de las propias copias de seguridad de la entidad ferial y gracias a la intervenci¨®n de los especialistas del Cuerpo Nacional de Polic¨ªa.
Aquellos d¨ªas circulaba un falso correo que llevaba un archivo adjunto muy peligroso. Lleg¨® a miles de usuarios bajo la apariencia que lo hab¨ªa enviado el organismo p¨²blico Correos. ¡°Todo ten¨ªa muy buena apariencia y ten¨ªa una verosimilitud que hizo que muchos usuarios lo abrieran¡±, explican fuentes del sector inform¨¢tico.
Algunas empresas lo detectaron y enviaron un correo de alerta a sus empleados para que no abrieran esos mensajes, por las graves consecuencias que eso traer¨ªa para todo el sistema.
Un trabajador recibi¨®
Pero se col¨® en Ifema. Un empleado recibi¨® el famoso correo en el que se le informaba de que hab¨ªa recibido un paquete a su nombre y que para recogerlo ten¨ªa que abrir el archivo adjunto. El trabajador lo abri¨® pensando que se trataba de un documento PDF. Y esa fue la versi¨®n que le sali¨® en la pantalla, pero detr¨¢s hab¨ªa mucho m¨¢s.
Al darle a descargar el archivo, el usuario hab¨ªa descargado un virus llamado CryptoLocker, un troyano dirigido a los ordenadores que trabajan con el sistema operativo Windows y que se populariz¨® a finales de 2013. Cuando se descarga este virus, cifra ciertos tipos de archivos almacenados en discos locales y en unidades de red p¨²blica por las que se mueve el empleado. El usuario sigue viendo en todo momento ese documento. Nunca se percata de lo que hay detr¨¢s.
Lo siguiente que hizo este virus fue a¨²n m¨¢s sorprendente. Menos de un minuto fue lo que tard¨®, en el caso de Ifema, en encriptar todos los documentos. ¡°Afect¨® a varios departamentos, como compras o gesti¨®n, pero no lleg¨® al ¨¢rea de clientes, que es mucho m¨¢s sensible. Estos datos estaban en otro servidor ajeno al de ese empleado¡±, explica la directora de Sistemas de Ifema, Mar¨ªa Mart¨ªnez.
La Polic¨ªa Nacional logr¨® el c¨®digo para acabar con el ataque en solo cuatro d¨ªas
La acci¨®n inmediata del CryptoLocker consiste en crear una pantalla con un mensaje muy claro. El programa instalado ofrece descifrar los archivos afectados. Eso s¨ª, para ello es necesario realizar un pago antes de una fecha l¨ªmite. A veces da un tiempo muy corto para que la persona afectada no reaccione y pague lo antes posible. En el mensaje se amenaza incluso con destruir la clave de descifrado en caso de que no se haga el pago, con el consiguiente riesgo de perder todos los documentos. ¡°Son bandas organizadas que trabajan muchas veces desde China, Rusia o Ruman¨ªa, y que mandan indiscriminadamente este virus hasta que algunos usuarios lo ejecutan. Es muy dif¨ªcil llegar hasta ellos, porque trabajan con servidores interpuestos¡±, relata Mart¨ªnez.
El empleado de Ifema alert¨® de inmediato a sus superiores y al departamento de Inform¨¢tica. De momento decidieron no pagar. Los responsables de la instituci¨®n llamaron a la Unidad de Investigaci¨®n Tecnol¨®gica (UIT). Estos especialistas del Cuerpo Nacional de Polic¨ªa aconsejaron que no se hiciera nada con el ordenador afectado. De hecho, se lo llevaron a sus dependencias y lo analizaron.
Ifema logr¨® recuperar en cuesti¨®n de un d¨ªa todos los archivos, ya que ten¨ªa copias de seguridad de todos los servidores. Adem¨¢s, eran muy recientes, por lo que no result¨® afectado ning¨²n documento importante. ¡°Los t¨¦cnicos del departamento que dirijo trabajaron a toda velocidad y restablecieron los servidores sin ning¨²n problema. Lo hicieron, adem¨¢s, en un tiempo r¨¦cord para la cantidad de informaci¨®n que result¨® afectada¡±, se?al¨® la directora de Sistemas de Ifema.
Los especialistas de la UIT lograron el c¨®digo para acabar con el encriptado. Realmente, ya no fue necesario porque Ifema estaba trabajando sin problemas y a pleno rendimiento. ¡°Una vez visto con lejan¨ªa, result¨® toda una experiencia, porque siempre se habla del riesgo de sufrir un ciberataque y de que los hackers [piratas inform¨¢ticos] est¨¢n al acecho o de que hay que aumentar las medidas de seguridad, pero nunca te crees que eso le pueda pasar a uno mismo¡±, a?ade Mar¨ªa Mart¨ªnez.
La responsable de Sistemas de Ifema saca una lecci¨®n de este ataque: ¡°Hay que educar y reeducar a los usuarios de inform¨¢tica para que no abran cosas raras que reciban en el correo electr¨®nico. Muchas veces basta acceder a las cuentas privadas de los empleados para que el virus se descargue y se ejecute en la red¡±. Tambi¨¦n apuesta por hacer copias de seguridad continuas y evitar las posibles p¨¦rdidas de informaci¨®n.
Tu suscripci¨®n se est¨¢ usando en otro dispositivo
?Quieres a?adir otro usuario a tu suscripci¨®n?
Si contin¨²as leyendo en este dispositivo, no se podr¨¢ leer en el otro.
FlechaTu suscripci¨®n se est¨¢ usando en otro dispositivo y solo puedes acceder a EL PA?S desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripci¨®n a la modalidad Premium, as¨ª podr¨¢s a?adir otro usuario. Cada uno acceder¨¢ con su propia cuenta de email, lo que os permitir¨¢ personalizar vuestra experiencia en EL PA?S.
En el caso de no saber qui¨¦n est¨¢ usando tu cuenta, te recomendamos cambiar tu contrase?a aqu¨ª.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrar¨¢ en tu dispositivo y en el de la otra persona que est¨¢ usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aqu¨ª los t¨¦rminos y condiciones de la suscripci¨®n digital.