El Gobierno confirma un ciberataque masivo a empresas espa?olas

Un virus malicioso (malware, en concreto del tipo ransomware) ha afectado esta ma?ana a los equipos del personal de Telef¨®nica que trabaja en la sede central de la operadora en el Distrito C de Las Tablas, en Madrid. El virus provoca la detenci¨®n del ordenador, cuya pantalla se vuelve azul, o lanza un mensaje pidiendo un rescate en bitcoins, inutilizando el equipo. Horas despu¨¦s, el Centro Criptol¨®gico Nacional (CCN), dependiente del Centro Nacional de Inteligencia (CNI), ha confirmado en una nota que se trata de un virus que afecta a un "elevado n¨²mero de organizaciones".

"Se ha alertado de un ataque masivo de ransomware a varias organizaciones que afecta a sistemas Windows cifrando todos sus archivos y los de las unidades de red a las que est¨¦n conectadas, e infectando al resto de sistemas Windows que haya en esa misma red", dice el organismo.

Tambi¨¦n el Ministerio de Industria, del que depende el Incibe, ha reconocido en un comunicado que "el ataque ha afectado puntualmente a equipos inform¨¢ticos de trabajadores de varias compa?¨ªas", pero "no afecta ni a la prestaci¨®n de servicios, ni a la operativa de redes, ni al usuario de dichos servicios".

El Incibe confirma que se trata de un un malware del tipo ransomware, que act¨²a sobre la vulnerabilidad de los componentes de ofim¨¢tica de los PCs, y que, tras instalarse en el equipo, bloquea el acceso a los ficheros del ordenador afectado y pide un rescate. No compromete la seguridad de los datos ni se trata de una fuga de datos, insiste el organismo.

A ¨²ltima hora de este viernes, el Incibe asegur¨® en un comunicado? que las primeras fases del ciberataque ya han sido mitigadas principalmente con la emisi¨®n de diferentes notificaciones y alertas hacia los afectados, as¨ª como a potenciales v¨ªctimas de la amenaza, basadas fundamentalmente en medidas de detecci¨®n temprana en los sistemas y redes, bloqueo del modus operandi del virus inform¨¢tico y la recuperaci¨®n de los dispositivos y equipos infectados. Muchas de las empresas afectadas han activado correctamente sus protocolos y procedimientos de seguridad ante estas situaciones y est¨¢n recuperando los sistemas y su actividad habitual, indic¨® el instituto. El Centro de Respuesta a Incidentes de Seguridad e Industria, operado de forma coordinada junto al Centro Nacional para la Protecci¨®n de Infraestructuras Cr¨ªticas, contin¨²a trabajando con las empresas afectadas.?

El Incibe se?ala que adicionalmente otras compa?¨ªas susceptibles a este tipo de amenaza han tomado ya medidas preventivas que impedir¨ªan la propagaci¨®n del malware, y se han puesto en contacto con el CERTSI para disponer de nuevas acciones y medidas a adoptar.

La amenaza, que ha sido ya detectada en m¨¢s de 10 pa¨ªses, podr¨ªa estar afectando a m¨¢s de 40.000 dispositivos y equipos, entre ellos Rusia, Ucrania y Reino Unido, no estando Espa?a entre los pa¨ªses m¨¢s afectados, fuera de este top 10, seg¨²n el Incibe.

Ataque a Telef¨®nica

El responsable de Big Data e Innovaci¨®n de Telef¨®nica, Chema Alonso, ha reconocido en un tuit en su cuenta personal este ataque de ransonware. Alonso, anteriormente un hacker, es tambi¨¦n el Responsable Global de Ciberseguridad y Datos, seg¨²n aparece en su propio Linkedin, aunque el directivo de Telef¨®nica ha asegurado que "la seguridad interna de Telef¨®nica" no est¨¢ entre sus responsabilidades directas, provocando una pol¨¦mica en las redes sociales.

Seg¨²n la nota del CCN, hab¨ªa un parche disponible para la vulnerabilidad de Windows, pero se? desconoce por qu¨¦ Telef¨®nica no actualiz¨® sus sistemas. "La virulencia del ataque se debe probablemente a que algunas organizaciones no hab¨ªan actualizado el parche hecho p¨²blico por Microsoft", dice Alan Woodward, de la Universidad de Surrey, a la agencia SMC. Telef¨®nica no ha querido responder a este asunto.

El ciberataque no ha tenido ninguna incidencia en los sistemas que controlan los servicios de Telef¨®nica de Internet y telefon¨ªa fija y m¨®vil para sus m¨¢s de 15 millones de clientes. La compa?¨ªa ha reconocido que a media ma?ana de este viernes se ha detectado "un incidente de ciberseguridad" que ha afectado los PCs de algunos empleados de la red corporativa interna. "De forma inmediata se ha activado el protocolo de seguridad para este tipo de incidencias con la intenci¨®n de que los ordenadores afectados funcionen con normalidad lo antes posible", aseguran fuentes oficiales de la operadora.

Los creadores del ataque contra Telef¨®nica se basaron en filtraci¨®n de Wikileaks Vault 7, seg¨²n fuentes de la ciberseguridad espa?ola. El portal public¨® el pasado marzo documentos que mostraban las t¨¢cticas de la CIA para espiar a trav¨¦s de tabletas, tel¨¦fonos o televisores. Inclu¨ªa datos de los denominados fallos de seguridad para realizar los ataques D¨ªa Cero (Zero Day) que exprimen errores en la programaci¨®n para infiltrarse. La mayor parte de las actualizaciones de los fabricantes son para poner un parche en estos agujeros abren la puerta a los hackers a penetrar en los sistemas Windows, Mac e incluso Linux. Fuentes del Centro Criptol¨®gico Nacional aseguran que Telef¨®nica ha detectado ¡°de forma muy r¨¢pida¡± la agresi¨®n, del que se desconoce todav¨ªa la procedencia. ¡°Ha sido un ciberataque corto pero muy serio¡±, a?aden estas fuentes, informa Joaqu¨ªn Gil.

El criptolocker, un tipo de virus que encripta e inutiliza los documentos, puede haber sido lanzado desde China, y no ten¨ªa como objetivo ¨²nicamente a Telef¨®nica, aunque la operadora haya sido la primera afectada, seg¨²n fuentes de la investigaci¨®n, aunque este extremo no ha sido confirmado por el CCN.

Los creadores del ataque contra Telef¨®nica se basaron en filtraci¨®n de Wikileaks Vault 7, seg¨²n fuentes de la ciberseguridad espa?ola

Jos¨¦ Rosell socio director de S2 grupo, empresa experta en seguridad inform¨¢tica, ha se?alado que en los ¨²ltimos dos a?os se est¨¢n produciendo miles de ataques tanto a empresas como a particulares de ransomware. En este caso, han empleado un m¨¦todo para que el virus se propague muy r¨¢pidamente aprovechando las redes corporativas de las empresas.

Marcos G¨®mez, subdirector de servicios de ciberseguridad del Incibe, explica que los hackers piden el rescate en bitcoins, la moneda virtual de Internet, para impedir que se encuentren los pagos, ya que la moneda virtual de Internet hace muy dif¨ªcil seguir el rastro de los criminales. El Incibe ha detectado en los ¨²ltimos meses ataques parecidos por parte de ciberdelincuentes que aprovechan la falsa identidad corporativa de entidades como la Agencia Tributaria o Correos para pedir un rescate, infectando los ordenadores. El miembro del Incibe puntualiza que la procedencia del virus puede ser simulada artificialmente, por lo que no es un asunto crucial, en referencia a las informaciones que apuntan a una procedencia china.

Mensajes de rescate

Las pantallas de los ordenadores de algunos empleados de Telef¨®nica se han bloqueado con mensaje pidiendo un rescate de 300 d¨®lares en bitcoins, y dando de plazo hasta el 19 de mayo para pagarlo si no se desea que se borren los archivos. En otros equipos las pantallas se han tornado azules, con mensajes del sistema en letras blancas, haciendo inoperativos los equipos.?

En compa?¨ªas como Vodafone, Iberdrola o Gas Natural han pedido a sus empleados que apaguen el ordenador

En cuanto a la incidencia, en fuentes de la operadora se habla de en torno a ¡°un centenar de equipos¡±, de los 40.000 ordenadores instalados, aunque en otras fuentes no oficiales, se se?ala que ha afectado a muchos m¨¢s.?

Al tener conocimiento del ataque, la compa?¨ªa ha remitido un correo interno a todos los empleados que trabajan en la sede en los que se les conmina a apagar el ordenador, ¡°y a no encenderlo hasta nueva orden¡±. En la sede de Telef¨®nica, trabajan unos 15.000 personas, entre trabajadores y visitantes.

En ese correo interno, el equipo de Seguridad de la compa?¨ªa reconoce que se "ha detectado el ingreso a la red de Telef¨®nica de un malware que afecta tus datos y tus ficheros", y se ruega al destinatario que avise a todos sus compa?eros de la situaci¨®n. Tambi¨¦n se aconseja a los afectados que desconecten sus m¨®viles de la red wifi corporativa pero no hace falta apagarlo. Tambi¨¦n se ha avisado a los empleados utilizando el servicio de megafon¨ªa, solo destinado a situaciones de emergencia.

Otras compa?¨ªas

Seg¨²n algunas informaciones, el mismo virus estar¨ªa afectando a los equipos del personal corporativo de otras compa?¨ªas como KPMG, BBVA, Santander, Iberdrola o Vodafone, han informado en varias cuentas de Twitter usuarios que dec¨ªan ser empleados de estas firmas. Algunos de ellos han confirmado, incluso, haber recibido peticiones de rescate de sus datos en bitcoins. No obstante, ninguna de las empresas ha reconocido esos ataques.

En el caso de Vodafone, "se han chequeado todos los sistemas y equipos y no se ha observado ninguna anomal¨ªa", inform¨® un portavoz de la operadora. No obstante, "y como medida preventiva", se ha ordenado a todos los empleados que salgan de Internet para evitar que, en caso de detectarse el virus, no se propague con facilidad.

BBVA ha desmentido "categ¨®ricamente" las informaciones, filtradas, dice una portavoz, por una web que ha publicado la informaci¨®n sin contrastar. El banco asegura que hay una "total normalidad" en sus sistemas. Santander asegura que tampoco ha tenido ning¨²n problema, informa ??igo de Barr¨®n. KPMG tambi¨¦n ha desmentido que est¨¦ sufriendo un ataque, y fuentes de CapGemini aseguran asimismo que no han detectado nada en sus sistemas y est¨¢n trabajando "con normalidad", informa Javier Salvatierra.

Fuentes de Iberdrola sostienen que la empresa no ha sufrido ning¨²n tipo de ataque y que han apagado los ordenadores y han enviado a casa a sus trabajadores por "medidas de precauci¨®n". "El ciberataque ha sido a Telef¨®nica. Nosotros, como otras empresas afectadas, somos clientes de su red. Hemos apagado el sistema para prevenir posibles da?os", afirma un portavoz de la empresa, informa Joana Oliviera. Indra, por su parte, asegura no haber recibido ning¨²n ataque y sus trabajadores siguen en sus puestos, pero ha cortado la navegaci¨®n por internet de forma preventiva.

No obstante, y en previsi¨®n de que el ciberataque a esas empresas se produzca en los pr¨®ximos d¨ªas, algunas de estas empresas se han puesto en contacto con Telef¨®nica para pedirles asesoramiento para frenar esos ataques. Y tambi¨¦n han solicitado a sus empleados que no se conecten a Internet. Fuentes del CNI asegura que, por el momento, ning¨²n organismo oficial se ha visto afectado.

Infraestructuras cr¨ªticas

El Centro de Respuesta a Incidentes Cibern¨¦ticos de Seguridad e Industria ha asegurado por su parte que, hasta el momento, la provisi¨®n de los servicios esenciales (energ¨ªa, transporte, servicios financieros, servicios TIC, etc¡­) no se ha visto afectada. "No obstante, el protocolo de comunicaci¨®n y de gesti¨®n de incidentes con los m¨¢s de 100 operadores que ya forman parte del Sistema de Protecci¨®n de Infraestructuras Cr¨ªticas se mantiene activo y en alerta, a la espera de nuevos datos", ha a?adido el Ministerio del Interior en una nota.