sábado, 13 de mayo de 2017

Telefónica y el sistema de salud británico, víctimas de un ataque informático mundial

Pantallazo al ataque


Al menos 74 países, afectados por WCry, el ransomware que este viernes ha atacado Telefónica


Los hackers han tomado el control de los ordenadores de la compañía para mostrar un mensaje que pide dinero a cambio de liberarlos


El mismo tipo de malware ha afectado a los ordenadores del Servicio de Salud británico


El CNI ha alertado en su web de que se trata de "un ataque masivo de ransomware que afecta a un elevado número de organizaciones españolas"


El Gobierno comunica que el ataque "no afecta ni a la prestación de servicios, ni a la operativa de redes, ni al usuario de dichos servicios"


Lo que sabemos del virus que ha atacado a Telefónica


David Sarabia



Un ataque masivo de ransomware ha infectado a varias compañías y organismos de hasta 74 países. Entre los afectados confirmados están Telefónica en España y los hospitales de la NHS, la seguridad social de Reino Unido.

En la sede de Telefónica en Madrid, un grupo de hackers ha tomado el control de varios ordenadores infectados con este tipo de malware, bloqueándolos y mostrando después un mensaje que pide dinero a cambio de liberar los dispositivos. La cantidad exigida son 300 dólares en bitcoins, una moneda virtual.

Estos ataques "se basan en oleadas o campañas que buscan a través del correo electrónico infectar una red y, a partir de ahí, lograr acceso al resto de los equipos", explica a eldiario.es Marcos Gómez, subdirector del servicio de ciberseguridad del INCIBE (Instituto Nacional de Ciberseguridad).

"Una vez infectado un equipo, [el ransomware] busca alguna vulnerabilidad de la red que ataca para buscar más equipos vulnerables y sabotearlos", continúa Gómez, que no esconde que haya varias empresas españolas afectadas, aunque rechaza dar nombres sobre el resto de compañías a las que el INCIBE está prestando soporte.

El dato de que hay varias compañías que han sufrido el ataque en España ha sido también confirmado por el CNI, que en la web del Centro Criptográfico Nacional ha alertado de "un ataque masivo que afecta a un elevado número de organizaciones españolas", sin detallar cuáles.

La vulnerabilidad que ha provocado este ataque fue parcheada en marzo por la compañía de Bill Gates. El INCIBE también menciona otra vulnerabilidad de este mismo mes, ya parcheada también.
45.000 ataques en 74 países

El ransomware WCry utilizado en los ataques es un tipo de malware que se caracteriza por el secuestro del ordenador, donde se "bloquean" todos los archivos del disco duro y se pide un rescate por ellos.

España no es el único país afectado. El ataque a nivel mundial ha golpeado también a los hospitales del NHS de Reino Unido, según ha confirmado  el periódico The Guardian. Muchos centros han tenido que desviar a los pacientes de urgencias a otros centros cercanos. Los ordenadores de los hospitales han recibido un mensaje igual que el de Telefónica, que exigía la misma cantidad de dinero por liberar el equipo.

De momento, al menos 74 países se habrían visto afectados por WCry,  según Costin Raiu, responsable del equipo de investigación de la firma de seguridad Karspersky. Advierte que por el momento han registrado más de 45.000 ataques de este ransomware y que  el número sigue creciendo.

So far, we have recorded more than 45,000 attacks of the ransomware in 74 countries around the world. Number still growing fast.


Cuenta Motherboard que Rusia suma el mayor número de amenazas con 29. En segundo lugar se sitúa Taiwán y en tercero está España.
Telefónica, la compañía española más afectada

El Gobierno ha emitido un comunicado en el que dice estar trabajando "con las empresas afectadas con el objetivo de solucionar cuanto antes la incidencia". El ministerio de Energía, Turismo y Agenda Digital señala que el ataque "no afecta ni a la prestación de servicios, ni a la operativa de redes, ni al usuario de dichos servicios".


Error de disco provocado por el ransomware

Aunque el caso de Telefónica es el único que ha trascendido, la alerta, sin embargo, se ha extendido a otras grandes compañías que trabajan con conexión Movistar como Iberdrola o Vodafone, que han pedido a sus trabajadores que no usen sus equipos conectados a Internet.

Fuentes de Gas Natural explican a este diario lo siguiente: "Hemos desconectado los ordenadores de forma preventiva, pero aún no sabemos daños. Las unidades críticas de negocio funcionan con normalidad, porque van por otras plataformas, no por Wifi".

En el Grupo Prisa piden a sus empleados, a través de un correo interno, que "cuando acabe su jornada laboral, apague su estación" y les recuerdan que no deben "abrir ni ejecutar documentos o archivos adjuntos o hacer 'clic' en vínculos de correo electrónico o de publicaciones de redes sociales".
¿Cómo ha sido el ataque?

Sobre las 12 de la mañana, "han empezado a salir pantallazos azules" -error de disco- en los equipos de los trabajadores de Telefónica en la sede en Madrid, según han relatado fuentes internas. Las mismas fuentes han añadido que, a continuación, la compañía ha avisado por megafonía que debían desconectar inmediatamente los ordenadores. La alerta por los altavoces solo suena en casos de evacuación del edificio.

Según empleados de Telefónica, "se han desenchufado los ordenadores, las regletas eléctricas y el resto de equipos" así como las VPN (redes de trabajo internas), y se ha pedido que no se saquen equipos informáticos del edificio.

Captura del aviso de Telefónica a sus trabajdores
En varias capturas de pantalla a las que ha tenido acceso eldiario.es, se ve un mensaje típico de los ataques de ransomware, en el que los hackers 'secuestran' los equipos, avisan de que los archivos han sido cifrados y piden una cantidad económica para liberarlos.

En este caso, los atacantes han dado un plazo de unas horas para liberar los archivos previo pago de 300 dólares en bitcoins, lo que al cambio son 0,1675 btc. Si no se hace, el 15 de mayo subirán el precio del rescate y el 19 de mayo serán eliminados definitivamente. El virus podría haber afectado a archivos internos de la compañía.

Fuentes oficiales de Telefónica han rebajado la importancia del suceso. Según aseguran a este diario, habría afectado a unos cien ordenadores de un total de 40.000 y no afecta al servicio que presta la compañía.

Un trabajador de la compañía ha explicado a este diario que solo en su planta "hay unos 100 o 150 ordenadores" y que el ataque ha afectado "a todo el edificio". En la sede de Telefónica de Madrid trabajan unas 15.000 personas.
Fuente: eldiario.es

No hay comentarios:

Publicar un comentario

Seguidores