Ayer se produjo uno de los ataques cibernéticos más mediáticos de los últimos años, debido al alcance y viralidad del mismo. Un ataque masivo de ‘ransomware’ que comenzó tumbando a Telefónica y se extendió rápidamente, paralizando a medio planeta. Ya hay 74 países afectados.

Mapa de países afectados por el ciberataque con ‘ransomware’. (MalwareTech)

Por la mañana, de repente los empleados de Telefónica en la sede de Madrid recibieron un mensaje por megafonía que les informaba de apagar los PCs inmediatamente. Un ransomware Wanna Decryptor, que afecta a equipos con sistema operativo Windows, había entrado en la red de Telefónica y empezaba su expansión viral. Tan rápido comenzaba a infectar otros equipos como se propagaba la noticia en Twitter.

Alcance y estado de la infección

Es importante destacar que, como explicaremos más adelante, la vulnerabilidad que se ha utilizado ya era conocida, por lo que las empresas que han sido infectadas no mantenían sus sistemas operativos actualizados, lo cual es realmente temerario en el mundo en el que vivimos.

Un sistema operativo no es perfecto, siempre tiene puntos débiles, y por eso se lanzan actualizaciones con cada vez más frecuencia. Microsoft avisó con tiempo suficiente como para que las empresas actualizasen sus equipos. En el caso de Telefónica, la empresa todavía no ha dado una explicación de lo ocurrido, pero parece evidente que ha fallado el protocolo de seguridad interno de la operadora.

Chema Alonso, CDO (Chief Data Officer) de Telefónica, ha informado al Instituto Nacional de Ciberseguridad (INCIBE) que los equipos están ya controlados, mientras que las primeras fases del ataque han sido mitigadas.

Según Alonso, alcanzar el 100% de seguridad informática “es un hito solo al alcance la imaginación de los que no saben de seguridad”, por lo que solo cabe “seguir mejorando para minimizar el riesgo”, reducir el número de incidentes y conseguir que los clientes puedan seguir disfrutando de sus servicios.

Actualmente (11 de la mañana del sábado 13 de mayo), el alcance no está claro, más allá de que es de los mayores de los últimos años:

• Fuentes informales estiman que ya ha habido 45.000 incidentes en todo el mundo.
• Avast declara que podría estar en el orden de 57.000 ataques en 28 idiomas.
• MalwareTech cifra el impacto en 91.000 equipos (de ellos la gran mayoría, 89.800 estarían ya offline).

El incidente ha pasado a ser un ataque global masivo que ha afectado a cientos de firmas y organismos en decenas de países. Desde 40 hospitales en Reino Unido a corporaciones en todo el planeta: EEUU, Portugal, Rusia, China, Italia, Japón o Alemania.

Grandes empresas en España podían estar también bajo ataque (aún no tenemos confirmación oficial): Vodafone, Gas Natural, Capgemini, Iberdrola, Everis, Garrigues… así hasta conformar una lista de decenas de firmas de todos los sectores y tamaños.

Fuera de España la infección lleva mucho mayor alcance, destacando Rusia, donde el ataque está siendo de un alcance muy amplio. La segunda operadora de telefonía rusa, Megafon y el Ministerio de Interior del país han sido profundamente alcanzados.

“La propagación es tremenda, jamás había visto nada igual, es una locura” – Adam Kujawa, director de inteligencia de Malwarebytes

 

¿Cómo funciona el ataque?

El ataque aprovecha una vulnerabilidad de Windows en varias de sus versiones (Windows 7, 8.1, Windows 10, Windows Vista SP2, Windows Server 2008/2012/2016) para poder infectar a los equipos y posteriormente provocar la pérdida del control del mismo, teniendo el afectado que pagar una cantidad de dólares en bitcoins si quiere la clave para el desbloqueo de los datos.

El ransomware es un malware informático que, como otros, se instala en los ordenadores de forma oculta al usuario, permanece “dormido”, como se dice en el argot. Cuando el atacante lo pone en funcionamiento de forma remota, lo despierta, y así comienza a cifrar muy rápidamente toda la información contenida en dicho equipo de forma que para poder acceder a dichos datos hay que introducir una contraseña, que en este caso no se encuentra de forma local en los ordenadores afectados sino en el ordenador del atacante. Se trata, por lo tanto, de una especie de secuestro de un PC. Una vez un equipo es capturado, resulta extremadamente difícil solucionar el problema.

La infección se propaga a través de correos con spam que contienen recibos o facturas falsas, advertencias de seguridad, avisos de correos no entregados u ofertas de trabajo. Se envía al usuario un fichero ZIP que cuando es descomprimido, comienza el proceso de infección. Cabe advertir que este tipo de malware no solo infecta a los PC con Windows sino que también puede afectar a dispositivos móviles, dejándolos totalmente inaccesibles.

Lo que ocurrió en Telefónica es que la propagación del malware se produjo a través de la Intranet, infectando a todos los ordenadores conectados a la misma.

Una vulnerabilidad que ya había sido identificada

El malware hace uso de la vulnerabilidad incluida en un boletín de seguridad de Microsoft el pasado 14 de marzo. Todo apunta a que el problema de seguridad que ha usado el ransomware tiene su origen en la Agencia Nacional de Seguridad de EE.UU (NSA), lo cual convierte en más compleja y esperpéntica la situación.

El origen de este agujero de seguridad parece estar en la NSA (lo cual es paradójico al ser el organismo que vela por la seguridad de los estadounidenses). Las vulnerabilidades son conocidas como MS17-010, CVE-2017-0146 y CV-2017-0147. Fueron descubiertas y usadas por la NSA durante años, para fines de espionaje y otros que están siendo puestos en entredicho desde hace tiempo.

Más tarde, el grupo de hackers The Shadow Brokers las “liberó”, aunque Microsoft las parcheó un mes antes, sin dar a conocer quién o quienes les informó del problema de seguridad. Para hacer más compleja la situación, este grupo de hackers está vinculado a Rusia.

Se ha criticado durante años que organizaciones de seguridad como NSA o FBI mantengan en su conocimiento vulnerabilidades de software importantes, como en Windows o el navegador Firefox, que usa como base para Tor, el navegador anónimo.

Edward Snowden señala a la NSA como principal culpable de lo ocurrido:

La importancia de la ciberseguridad

No paramos de recalcar en Puentes Digitales la importancia de adaptarse al Mundo Digital en el que vivimos. Nuestra sociedad, nuestro mundo, avanza a un ritmo frenético.

Los cambios que estamos viviendo están, en su vasta mayoría, mejorando la vida de toda la humanidad. Sin embargo, el miedo al cambio, la falta de educación digital o las malas intenciones de algunos individuos con malas intenciones (incluso criminales), pueden hacer daño a mucha gente.

Debemos fortalecer con ímpetu la educación digital. Debemos entre todos poner nuestro granito de arena en entender y adaptarnos a la nueva Era Digital. Debemos exigir a gobiernos e instituciones que tengan una hoja de ruta clara y que busquen la manera de potenciar la innovación y la tecnología en beneficio de todos.

Las empresas privadas deben ser conscientes del complejo entorno en el que operan. La ciberseguridad es uno de los asuntos más importantes que debe afrontar una empresa en la actualidad. Se tiene que tener claro que, igual que uno invierte en tener una mejor puerta en la oficina o barrotes para que los ladrones no entran por las ventanas, se debe hacer lo mismo en toda computadora, servidor o red. Debemos proteger nuestra infrestructura informática y digital tanto o más que lo demás.

Una pequeña inversión en seguridad puede ahorrarnos mucho dinero en el futuro. Esperamos que, a raíz de este terrible ataque, la sociedad tome más conciencia en la seguridad en el Mundo Digital.

Como en todo en la vida:

Prevención, Detección, Reacción

 

Vía: Computerhoy, ElPaís, ElMundo, Wired, Soydemac