El ataque de ¡®ransomware¡¯ se extiende a escala global
Espa?a, Portugal, Reino Unido y Rusia, entre los afectados. Estos virus inform¨¢ticos cifran la informaci¨®n de los ordenadores a cambio de un rescate
Un enorme ciberataque ha golpeado sistemas inform¨¢ticos en decenas de pa¨ªses. El virus, conocido como ransomware, afect¨®, entre otros, a los equipos de la sede de Telef¨®nica en Madrid, al sistema de salud brit¨¢nico o el ministerio del Interior ruso. El ransomware causa un secuestro expr¨¦s de datos y pide un rescate para liberar el sistema. En un tuit, Costin Raiu, el director global del equipo de investigaci¨®n y an¨¢lisis de Kaspersky Lab, empresa de seguridad inform¨¢tica, estim¨® que ayer se hab¨ªan registrado m¨¢s de 45.000 ataques en 74 pa¨ªses. De momento, ninguna infraestructura cr¨ªtica ha resultado afectada.
So far, we have recorded more than 45,000 attacks of the #WannaCry ransomware in 74 countries around the world. Number still growing fast.
— Costin Raiu (@craiu) May 12, 2017
?Ese tipo de virus, que al ser ejecutado aparenta ser inofensivo e imita a otras aplicaciones, es el m¨¢s habitual y representa el 72,75% del malware, de los ataques maliciosos, seg¨²n los ¨²ltimos informes de las compa?¨ªas Kaspersky Lab y PandaLab. Los an¨¢lisis del Instituto Nacional de Ciberseguridad (Incibe) de Espa?a recog¨ªan que el softwaremalicioso que provoc¨® el ciberataque a nivel global es un WanaCrypt0r, una variante de WCry/WannaCry. Tras instalarse en el equipo, ese virus bloquea el acceso a los ficheros del ordenador afectado pidiendo un rescate para permitir el acceso, y puede infectar al resto de ordenadores vulnerables de la red. WanaCrypt0r cifra archivos del disco duro con extensiones como .doc .dot .tiff .java .psd .docx .xls .pps .txt o .mpeg, entre otros, y aumenta la cuant¨ªa del rescate a medida que pasa el tiempo. ¡°El cifrado de los archivos prosigue tras la aparici¨®n de la nota de extorsi¨®n, al contrario que en otros ataques, que no muestran la nota hasta que el cifrado se ha completado¡±, explicaba Agust¨ªn M¨²?oz-Grandes, CEO de s21Sec.
Jaime Blasco, director de los laboratorios de Alienvault en San Francisco, aport¨® algo de luz y tranquilidad. El ataque se par¨® tras la difusi¨®n de un parche de Windows por parte de Microsoft. El origen el ataque fue un exploit, como se denomina a los softwares enmascarados que corrompen el sistema. Se filtr¨® como parte de shadow brokers, supuestamente los mismos archivos que Wikileaks acusaba a la NSA de usar en su ¨²ltima denuncia.
36,000 detections of #WannaCry (aka #WanaCypt0r aka #WCry) #ransomware so far. Russia, Ukraine, and Taiwan leading. This is huge. pic.twitter.com/EaZcaxPta4
— Jakub Kroustek (@JakubKroustek) May 12, 2017
Microsoft, preocupada por la difusi¨®n de este agujero, no hab¨ªa dado una respuesta oficial, pero s¨ª contempla que la industria se replantee los criterios y formas en que se actualizan los programas para que la protecci¨®n frente a vulnerabilidades no dependa tanto de voluntad humana, como de automatismos. Uno de los afectados en Londres explicaba en un hilo de los foros de Reddit, la situaci¨®n: ¡°Citas, tratamientos, resultados... Los responsables han ido a por miles de personas vulnerables y deben ser tratados como terroristas¡±.
¡°Este tipo de ataques afecta a todo el mundo, pero hemos visto c¨®mo los delincuentes tratan de ir a por empresas, ya que poseen informaci¨®n valiosa por la que est¨¢n dispuestos a pagar un rescate¡±, indica el estudio de Panda. Algunos expertos en ciberseguridad, como Jakub Kroustek, afirmaban en las redes sociales que hab¨ªan rastreado hasta 50.000 ataques de WannaCry. Este mismo experto asegur¨® en el blog de su compa?¨ªa, Avast, que observaron la primera versi¨®n de este virus en febrero y que hab¨ªan encontrado el mensaje de rescate escrito en 28 idiomas.
Ataque en Portugal
Se ha registrado un ataque inform¨¢tico en Portugal que se ha centrado en empresas de comunicaci¨®n y en la banca, y seg¨²n fuentes de la investigaci¨®n, incluye a PT, Caixa Geral de Dep¨®sitos y BPI, aunque las entidades no lo han admitido, informa Javier Mart¨ªn desde Lisboa. Pese a que el ataque es muy amplio, tan solo Portugal Telecom ha admitido sufrirlo: "Todos los equipos t¨¦cnicos est¨¢n asumiendo las diligencias necesarias para resolver la situaci¨®n, habi¨¦ndose activado todos los planes de seguridad. La red de los servicios de comunicaci¨®n fija, m¨®vil, internet y televisi¨®n no fueron afectados", dice la operadora. Los atacantes piden rescate para el desbloqueo de los ordenadores bloqueados, y lo quieren en moneda virtual, bitcoin, que en esto d¨ªas precisamente ha llegado a su cotizaci¨®n r¨¦cord, 1.800 d¨®lares, y cuyas transacciones no dejan rastro. El mensaje en portugu¨¦s advierte que la cifra de rescate (300 d¨®lares) se duplicar¨¢ a los tres d¨ªas y que si antes de siete d¨ªas no pagan, los ficheros quedar¨¢n destruidos. Seg¨²n la empresa de seguridad S21Sec, el ataque afecta a ordenadores con versiones de Windows y programas muy populares, como Word y Excel, tambi¨¦n de Microsoft, y los expertos recomiendan utilizar "de manera inmediata" el parche de seguridad MS17-010.
Seg¨²n Eusebio Nieva, director t¨¦cnico de Check-Point en Espa?a y Portugal, el ransomware es la estrategia m¨¢s utilizada para atacar a las grandes empresas. ¡°Los hackers piden que el rescate se realice a trav¨¦s de un pago digital que no se pueda rastrear¡±, dec¨ªa Nieva. El experto explica que ese software maligno puede llegar a un sistema de manera simple, desde un correo electr¨®nico con una factura falsa, por ejemplo, hasta una t¨¦cnica conocida como watering hole, que en el caso de las grandes compa?¨ªas, infecta una p¨¢gina (generalmente de la red intranet) a la que los trabajadores o usuarios acceden con frecuencia. ¡°Esa es la forma m¨¢s r¨¢pida para una distribuci¨®n masiva¡±, afirm¨®.
Rescate sin garant¨ªas
El experto se?alaba, sin embargo, que el pago de un rescate no es garant¨ªa de que se pueda recuperar la informaci¨®n cifrada por el virus: ¡°La posibilidad es de entre un 30% y un 40%¡±. Pero, ?c¨®mo es posible protegerse de esos ataques? El experto sostiene que, en la era en que los malware han dejado de ser obra de atacantes individuales para convertirse en una red industrializada que genera dinero, los tradicionales programas de antivirus ya no son suficientes. Los m¨¢s punteros de protecci¨®n, seg¨²n Nieva, son los programas de anti-APP o sandbouxing, que rastrean el comportamiento del sistema o de la red de informaci¨®n, identifican cualquier software malicioso y lo eliminan.
¡°El sandboxing es el que mejor funciona. Cuando llega un documento por correo, por ejemplo, el sistema lo abre en un entorno virtual y si detecta algo sospechoso, lo elimina antes de que llegue al usuario¡±, explica el experto. El problema, seg¨²n el experto, es que se trata de un modelo reciente y muchas empresas los utilizan simplemente como un sistema de detecci¨®n en vez de protecci¨®n.
Qu¨¦ hacer en caso de ciberataque
C¨®mo recuperar los datos cifrados:?El Incibe, ?a trav¨¦s del CERT de Seguridad e Industria (CERTSI), ?dispone de un servicio gratuito de an¨¢lisis y descifrado de ficheros afectados por ciertos tipos de ransomware. La v¨ªctima puede contactar con el servicio a trav¨¦s del correo incidencias@certsi.es.
?Pagar sirve para recuperar los archivos? El Incibe recomienda no pagar el rescate, porque no existen garant¨ªas de recuperar los datos y la v¨ªctima puede sufrir ataques posteriores. El Instituto tambi¨¦n se?ala que esa pr¨¢ctica fomenta el negocio de los ciberdelicuentes, que pueden empezar a pedir cifras m¨¢s altas, una vez efectuado el primer pago.
C¨®mo desinfectar el ordenador: ?Para eliminar la infecci¨®n se podr¨ªa utilizar cualquier antivirus o antivirus auto-arrancable actualizado. Es recomendable realizar un clonado previo de los discos (copia de la informaci¨®n del disco duro en otro soporte), seg¨²n la importancia de los datos afectados. El clonado tambi¨¦n es importante para interponer una denuncia, pues todos los archivos ser¨¢n necesarios para la investigaci¨®n, adem¨¢s es muy probable que exista alguna herramienta capaz de descifrarlos en el futuro.
El Gobierno de Espa?a emiti¨® ayer un comunicado en el que orientaba a los posibles afectados sobre c¨®mo aplicar los ¨²ltimos parches de seguridad publicados en los boletines de mayo.
Ciberataque global: ¨²ltimas noticias
EL PA?S ha recopilado una serie de art¨ªculos que explican el desarrollo y las consecuencias del ataque inform¨¢tico.
El virus tiene una particular forma de actuar. Despu¨¦s de cifrar los ficheros del disco duro, WanaCrypt0r cambia el nombre de los nombres de las extensiones de los archivos afectados por .WNCRY. Despu¨¦s, el virus hace saltar a la pantalla el siguiente mensaje: ¡°Ooops, tus archivos importantes est¨¢n encriptados¡± y solicita el rescate de 300 d¨®lares (274 euros, aproximadamente) en bitcoins (un tipo de moneda digital) para liberarlos. El mensaje incluye instrucciones sobre c¨®mo realizar el pago y un cron¨®metro.
¡°Este ataque demuestra una vez m¨¢s que el ransomware es una poderosa arma que puede utilizarse contra los consumidores y las empresas por igual. El virus se vuelve particularmente desagradable cuando infecta instituciones como hospitales, donde puede poner la vida de las personas en peligro¡±, afirmaba Avast en un comunicado.
Tu suscripci¨®n se est¨¢ usando en otro dispositivo
?Quieres a?adir otro usuario a tu suscripci¨®n?
Si contin¨²as leyendo en este dispositivo, no se podr¨¢ leer en el otro.
FlechaTu suscripci¨®n se est¨¢ usando en otro dispositivo y solo puedes acceder a EL PA?S desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripci¨®n a la modalidad Premium, as¨ª podr¨¢s a?adir otro usuario. Cada uno acceder¨¢ con su propia cuenta de email, lo que os permitir¨¢ personalizar vuestra experiencia en EL PA?S.
En el caso de no saber qui¨¦n est¨¢ usando tu cuenta, te recomendamos cambiar tu contrase?a aqu¨ª.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrar¨¢ en tu dispositivo y en el de la otra persona que est¨¢ usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aqu¨ª los t¨¦rminos y condiciones de la suscripci¨®n digital.
