Regresan los ataques cibernéticos a las grandes empresas. Una decena de empresas españolas de servicios sufrieron este viernes un ciberataque masivo a través de un virus malicioso, de tipo randsomware, que bloquea los equipos y solicita un rescate para desbloquearlos. La compañía más afectada fue Telefónica, ya que varios centenares de ordenadores de su sede central del Distrito C de Madrid se vieron infectados.
El Gobierno reconoció el ataque y se puso en contacto con las empresas afectadas para evaluar el impacto del mismo. Tanto las compañías como la Administración lanzaron un mensaje de tranquilidad al asegurar que el virus solo ha afectado a equipos corporativos pero en ningún caso a los servicios de telecomunicaciones, banca, energía y seguros de los millones de clientes de las empresas atacadas.
“Se ha alertado de un ataque masivo de ramsomware a varias organizaciones que afecta a sistemas Windows cifrando todos sus archivos y los de las unidades de red a las que estén conectadas, e infectando al resto de sistemas Windows que haya en esa misma red”, dice el organismo.
Un virus malicioso (malware, en concreto del tipo ramsomware) ha afectado esta mañana a los equipos del personal de Telefónica que trabaja en la sede central de la operadora en el Distrito C de Las Tablas, en Madrid. El virus provoca la detención del ordenador, cuya pantalla se vuelve azul, inutilizando el equipo. Horas después, el Centro Criptológico Nacional (CCN), dependiente del Centro Nacional de Inteligencia (CNI), ha conformado en una nota que se trata de un virus que afecta a un “elevado número de organizaciones”.
También el Ministerio de Industria, del que depende el Instituto Nacional de Ciberseguridad de España (Incibe), ha reconocido en un comunicado que “el ataque ha afectado puntualmente a equipos informáticos de trabajadores de varias compañías”, pero “no afecta ni a la prestación de servicios, ni a la operativa de redes, ni al usuario de dichos servicios”.
El ciberataque no ha tenido ninguna incidencia en los sistemas que controlan los servicios de Telefónica de Internet y telefonía fija y móvil para sus más de 15 millones de clientes. En este sentido, la compañía ha reconocido que sobre las doce del mediodía de este viernes, se ha detectado “un incidente de ciberseguridad” que ha afectado los PCs de algunos empleados de la red corporativa interna. “De forma inmediata se ha activado el protocolo de seguridad para este tipo de incidencias con la intención de que los ordenadores afectados funcionen con normalidad lo antes posible”, aseguran fuentes oficiales de la operadora.
El responsable de Big Data e Innovación de Telefónica, Chema Alonso, ha reconocido en un twitt en su cuenta personal que se trata de un ataque ramsonware programas informáticos que secuestran el ordenador y datos y piden un rescate para liberarlos. Este tipo de malware, aunque con escasa incidencia en número, es el principal problema que sufren las compañías en el último año, según apuntan los expertos.
Los creadores del ataque contra Telefónica se basaron en filtración de Wikileaks Vault 7, según fuentes de la ciberseguridad española. El portal publicó el pasado marzo documentos que mostraban las tácticas de la CIA para espiar a través de tabletas, teléfonos o televisores. Incluía datos de los denominados fallos de seguridad para realizar los ataques Día Cero (Zero Day) que exprimen errores en la programación para infiltrarse. La mayor parte de las actualizaciones de los fabricantes son para poner un parche en estos agujeros abren la puerta a los hackers a penetrar en los sistemas Windows, Mac e incluso Linux. Fuentes del Centro Criptológico Nacional aseguran que Telefónica ha detectado “de forma muy rápida” la agresión, del que se desconoce todavía la procedencia. “Ha sido un ciberataque corto pero muy serio”, añaden estas fuentes, informa Joaquín Gil.
Mensajes de rescate
Las pantallas de los ordenadores de algunos empleados de Telefónica se han bloqueado con mensaje pidiendo un rescate de 300 dólares en bitcoins, la moneda virtual de Internet, y dando de plazo hasta el 19 de mayo para pagarlo si no se desea que se borren los archivos. En otros equipos las pantallas se han tornado azules, con mensajes del sistema en letras blancas, haciendo inoperativos los equipos.
En cuanto a la incidencia, en fuentes de la operadora se habla de en torno a “un centenar de equipos”, de los 40.000 ordenadores instalados, aunque en otras fuentes no oficiales, se señala que ha afectado a muchos más.
Al tener conocimiento del ataque, la compañía ha remitido un correo interno a todos los empleados que trabajan en la sede en los que se les conmina a apagar el ordenador, “y a no encenderlo hasta nueva orden”. En la sede de Telefónica, trabajan unos 15.000 personas, entre trabajadores y visitantes.
En ese correo interno, el equipo de Seguridad de la compañía reconoce que se “ha detectado el ingreso a la red de Telefónica de un malware que afecta tus datos y tus ficheros”, y se ruega al destinatario que avise a todos sus compañeros de la situación. También se aconseja a los afectados que desconecten sus móviles de la red wifi corporativa pero no hace falta apagarlo. También se ha avisado a los empleados utilizando el servicio de megafonía, solo destinado a situaciones de emergencia.
Otras compañías
Según algunas informaciones, el mismo virus estaría afectando a los equipos del personal corporativo de otras compañías como KPMG, BBVA, Santander, Iberdrola o Vodafone, han informado en varias cuentas de Twitter usuarios que decían ser empleados de estas firmas. Algunos de ellos han confirmado, incluso, haber recibido peticiones de rescate de sus datos en bitcoins. No obstante, ninguna de las empresas ha reconocido esos ataques.
En compañías como Vodafone, Iberdrola o Gas Natural pidieron a sus empleados que apaguen el ordenador
En el caso de Vodafone, “se han chequeado todos los sistemas y equipos y no se ha observado ninguna anomalía”, informó un portavoz de la operadora. No obstante, “y como medida preventiva”, se ha ordenado a todos los empleados que salgan de Internet para evitar que, en caso de detectarse el virus, no se propague con facilidad.
BBVA ha desmentido “categóricamente” las informaciones, filtradas, dice una portavoz, por una web que ha publicado la información sin contrastar. El banco asegura que hay una “total normalidad” en sus sistemas. Santander asegura que tampoco ha tenido ningún problema, informa Íñigo de Barrón. KPMG también ha desmentido que esté sufriendo un ataque, y fuentes de CapGemini aseguran asimismo que no han detectado nada en sus sistemas y están trabajando “con normalidad”, informa Javier Salvatierra.
Fuentes de Iberdrola sostienen que la empresa no ha sufrido ningún tipo de ataque y que han apagado los ordenadores y han enviado a casa a sus trabajadores por “medidas de precaución”. “El ciberataque ha sido a Telefónica. Nosotros, como otras empresas afectadas, somos clientes de su red. Hemos apagado el sistema para prevenir posibles daños”, afirma un portavoz de la empresa, informa Joana Oliviera. Indra, por su parte, asegura no haber recibido ningún ataque y sus trabajadores siguen en sus puestos, pero ha cortado la navegación por internet de forma preventiva.
No obstante, y en previsión de que el ciberataque a esas empresas se produzca en los próximos días, algunas de ellas se han puesto en contacto con Telefónica para pedirles asesoramiento para frenar esos ataques. Y también han solicitado a sus empleados que no se conecten a Internet. Fuentes del CNI asegura que, por el momento, ningún organismo oficial se ha visto afectado.
