Tiempo de lectura: 5 minutos

Las escenas vividas esta mañana en la sede central de Telefónica en Madrid han debido ser cuanto menos, espectaculares: la empresa ha pedido por megafonía a sus trabajadores que apaguen y desenchufen sus equipos, las regletas eléctricas y el resto de equipos, así como las VPN (redes de trabajo internas). Los trabajadores de Telefónica tampoco podrán sacar equipos informáticos del edificio, y todo ello a causa de un ataque que puede comprometer la seguridad de los datos de la mayor operadora de telefonía de nuestro país: un ransomware.

Qué es un ransomware

Al igual que otros tipos de ciberataques el ransomware está basado en un software malicioso que compromete la seguridad de los sistemas infectados, y que pueden llegar a bloquear (e incluso) eliminar los datos que manejan a no ser que (Al más puro estilo Hollywood) sus responsables accedan a pagar un rescate a cambio.

En concreto, tal y como ha explicado en Twitter Chema Alonso, responsable de seguridad informática de la compañía, el ataque se corresponde con una versión de Wannacry, que afecta a los equipos, cifrando todos sus archivos, y no afectaría solo a Telefonica, sino a “un elevado número de organizaciones españolas”.

De hecho, el Centro Criptológico Nacional ha activado su mayor nivel de alerta (muy alto) y ha publicado este comunicado:

Se ha alertado de un ataque masivo de ransomware a varias organizaciones que afecta a sistemas Windows cifrando todos sus archivos y los de las unidades de red a las que estén conectadas, e infectando al resto de sistemas Windows que haya en esa misma red.

El ransomware, una versión de WannaCry, infecta la máquina cifrando todos sus archivos y, utilizando una vulnerabilidad de ejecución de comandos remota a través de SMB, se distribuye al resto de máquinas Windows que haya en esa misma red.

Los sistemas afectados son:
Microsoft Windows Vista SP2
Windows Server 2008 SP2 and R2 SP1
Windows 7
Windows 8.1
Windows RT 8.1
Windows Server 2012 and R2
Windows 10
Windows Server 2016

Microsoft publicó la vulnerabilidad el día 14 de marzo en su boletín y hace unos días se hizo pública una prueba de concepto que parece que ha sido el desencadenante de la campaña.

Se recomienda actualizar los sistemas a su última versión o parchear según informa el fabricante:

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Para los sistemas sin soporte o parche, como Windows 7, se recomienda aislar de la red o apagar según sea el caso.

Entre las reacciones de las principales empresas del país destacan Prisa, que ha asegurado haber recibido intentos de ataque, o Vodafone que ha pedido a sus empleados que extremen las precauciones. Otras, como Capgemini , se han apresurado a desmentir que hayan resultado afectadas.

//platform.twitter.com/widgets.js

¿Qué rescate piden los atacantes?

300 dólares. En bitcoins. Esa es la sorprendente cantidad que los atacantes piden a Telefónica a cambio de liberar a sus sistemas del ataque. De lo contrario, los archivos afectados del gigante de las telecomunicaciones podrían verse en serio peligro de ser eliminados.  En cualquier caso, la cifra es lo de menos: lo relevante es que los atacantes hayan conseguido invadir sus sistemas . El reto actual de Telefonica está en securizarse de nuevo para eliminar el ransomware y que no pueda volver a entrar

Según medios como El Confidencial, los empleados de la compañía habrían también recibido un eMail con las instrucciones a seguir: “El equipo de seguridad ha detectado un ingreso en la red de Telefónica de un malware que afecta a tus datos y ficheros. Por favor, avisad a todos tus compañeros de la situación. Apaga el ordenador y ya no vuelvas a encenderlo hasta nuevo aviso (desconecta el móvil de la red wifi pero no hace falta que lo apagues). Te enviaremos un correo que podrás leer a través de tu móvil cuando la situación ya esté normalizada. Además, el martes informaremos en las entradas de los edificios sobre el acceso a la red. Ante cualquier duda contacta con la mesa de ayuda”.

Actualización (13/05/2017)

Un “héroe accidental” detiene la propagación del ataque de ransomware, pero advierte que aún no ha terminado: La propagación del ataque se detuvo repentinamente, y un investigador británico de ciberseguridad twitteo el siguiente mensaje:

El héroe incidental, que se identificó sólo como , es un joven de 22 años del suroeste de Inglaterra que trabaja para Kryptos logic, una compañía de inteligencia de amenazas, descubrió un “interruptor” que permitió desactivar el malware.

Como si se tratara de una historia digna de una película, este joven identificó un nombre de dominio en internet con el que el malware trataba de contactar sin éxito, y sin pensarlo, lo compró.

Encontré una muestra del malware que estaba detrás del ataque, y vi que se estaba conectando a un dominio específico, que no estaba registrado. Así que lo cogí sin saber lo que pasaría”, comentó el joven héroe.

El malware fue codificado de inicio con un Kill Switch (interruptor de apagado) en caso de que el creador quisiera detener la propagación.

Es así como el virus malicioso realizaba una petición a este dominio, y si la petición vuelve (demostrando que el dominio existe) se activa el kill switch y se detiene la propagación. El dominio costó 10,69 dólares (9,77 euros) y se redirigió el tráfico a un servidor de  Los Ángeles.

De inmediato se comenzaron a notar de cinco a seis mil conexiones por segundo, pero esto no ha terminado.

De acuerdo a estos expertos, hay un 100% de posibilidades de que lanzarán un nuevo y rediseñado malware y se podrán infectar los ordenadores que no estén actualizados, pero se tendrá más tiempo para desarrollar inmunidad al ataque mediante el parcheo de los sistemas.

La reacción en redes sociales

Por supuesto, el ataque a Telefónica se ha vuelto inmediatamente trending topic, generando reacciones de todo tipo… humor incluido.

//platform.twitter.com/widgets.js

//platform.twitter.com/widgets.js

//platform.twitter.com/widgets.js

//platform.twitter.com/widgets.js

//platform.twitter.com/widgets.js

//platform.twitter.com/widgets.js

Nosotros también hemos hecho nuestra modesta contribución a estas reacciones: