El Gobierno confirma un ciberataque masivo a empresas españolas.
Un virus que pide un rescate provoca la detención de varios equipos del centro corporativo de Telefónica y otras compañías, aunque no afecta al servicio ni a los usuarios.
Un virus malicioso (malware, en concreto del tipo ransomware) ha afectado esta mañana a los equipos del personal de Telefónica que trabaja en la sede central de la operadora en el Distrito C de Las Tablas, en Madrid. El virus provoca la detención del ordenador, cuya pantalla se vuelve azul, inutilizando el equipo. Horas después, el Centro Criptológico Nacional (CCN), dependiente del Centro Nacional de Inteligencia (CNI), ha confirmado en una nota que se trata de un virus que afecta a un "elevado número de organizaciones".
"Se ha alertado de un ataque masivo de ramsomware a varias organizaciones que afecta a sistemas Windows cifrando todos sus archivos y los de las unidades de red a las que estén conectadas, e infectando al resto de sistemas Windows que haya en esa misma red", dice el organismo.
También el Ministerio de Industria, del que depende el Instituto Nacional de Ciberseguridad de España (Incibe), ha reconocido en un comunicado que "el ataque ha afectado puntualmente a equipos informáticos de trabajadores de varias compañías", pero "no afecta ni a la prestación de servicios, ni a la operativa de redes, ni al usuario de dichos servicios".
El Incibe confirma que se trata de un un malware del tipo ramsonware, que actúa sobre la vulnerabilidad de los componentes de ofimática de los PCs, y que, tras instalarse en el equipo, bloquea el acceso a los ficheros del ordenador afectado y pide un rescate. No compromete la seguridad de los datos ni se trata de una fuga de datos, insiste el organismo. El responsable de Big Data e Innovación de Telefónica, Chema Alonso, ha reconocido en un tuit en su cuenta personal este ataque de ramsonware. Alonso, anteriormente un hacker, es también el Responsable Global de Ciberseguridad y Datos, según aparece en su propio Linkedin, aunque en este caso, ha asegurado que "la seguridad interna de Telefónica" no está entre sus responsabilidades directas.
El ciberataque no ha tenido ninguna incidencia en los sistemas que controlan los servicios de Telefónica de Internet y telefonía fija y móvil para sus más de 15 millones de clientes, dice la compañía. Telefónica ha reconocido que sobre las doce del mediodía de este viernes se ha detectado "un incidente de ciberseguridad" que ha afectado los PCs de algunos empleados de la red corporativa interna. "De forma inmediata se ha activado el protocolo de seguridad para este tipo de incidencias con la intención de que los ordenadores afectados funcionen con normalidad lo antes posible", aseguran fuentes oficiales de la operadora.
El ciberataque no ha tenido ninguna incidencia en los sistemas que controlan los servicios de Telefónica de Internet y telefonía fija y móvil para sus más de 15 millones de clientes, dice la compañía. Telefónica ha reconocido que sobre las doce del mediodía de este viernes se ha detectado "un incidente de ciberseguridad" que ha afectado los PCs de algunos empleados de la red corporativa interna. "De forma inmediata se ha activado el protocolo de seguridad para este tipo de incidencias con la intención de que los ordenadores afectados funcionen con normalidad lo antes posible", aseguran fuentes oficiales de la operadora.
Los creadores del ataque contra Telefónica se basaron en filtración de Wikileaks Vault 7, según fuentes de la ciberseguridad española. El portal publicó el pasado marzo documentos que mostraban las tácticas de la CIA para espiar a través de tabletas, teléfonos o televisores. Incluía datos de los denominados fallos de seguridad para realizar los ataques Día Cero (Zero Day) que exprimen errores en la programación para infiltrarse. La mayor parte de las actualizaciones de los fabricantes son para poner un parche en estos agujeros abren la puerta a los hackers a penetrar en los sistemas Windows, Mac e incluso Linux. Fuentes del Centro Criptológico Nacional aseguran que Telefónica ha detectado “de forma muy rápida” la agresión, del que se desconoce todavía la procedencia. “Ha sido un ciberataque corto pero muy serio”, añaden estas fuentes, informa Joaquín Gil.
El criptolocker, un tipo de virus que encripta e inutiliza los documentos, puede haber sido lanzado desde China, y no tenía como objetivo únicamente a Telefónica, aunque la operadora haya sido la primera afectada, según fuentes de la investigación, aunque este extremo no ha sido confirmado por el CCN.
José Rosell socio director de S2 grupo, empresa experta en seguridad informática, ha señalado que en los últimos dos años se están produciendo miles de ataques tanto a empresas como a particulares de ramsomware. En este caso, han empleado un método para que el virus se propague muy rápidamente aprovechando las redes corporativas de las empresas.
Marcos Gómez, subdirector de servicios de ciberseguridad del Incibe, explica que los hackers piden el rescate en bitcoins, la moneda virtual de Internet, para impedir que se encuentren los pagos, ya que la moneda virtual de Internet hace muy difícil seguir el rastro de los criminales. El Incibe ha detectado en los últimos meses ataques parecidos por parte de ciberdelincuentes que aprovechan la falsa identidad corporativa de entidades como la Agencia Tributaria o Correos para pedir un rescate, infectando los ordenadores.
Mensajes de rescate
Las pantallas de los ordenadores de algunos empleados de Telefónica se han bloqueado con mensaje pidiendo un rescate de 300 dólares en bitcoins, y dando de plazo hasta el 19 de mayo para pagarlo si no se desea que se borren los archivos. En otros equipos las pantallas se han tornado azules, con mensajes del sistema en letras blancas, haciendo inoperativos los equipos.
En cuanto a la incidencia, en fuentes de la operadora se habla de en torno a “un centenar de equipos”, de los 40.000 ordenadores instalados, aunque en otras fuentes no oficiales, se señala que ha afectado a muchos más.
Al tener conocimiento del ataque, la compañía ha remitido un correo interno a todos los empleados que trabajan en la sede en los que se les conmina a apagar el ordenador, “y a no encenderlo hasta nueva orden”. En la sede de Telefónica, trabajan unos 15.000 personas, entre trabajadores y visitantes.
Los creadores del ataque contra Telefónica se basaron en filtración de Wikileaks Vault 7, según fuentes de la ciberseguridad española
En ese correo interno, el equipo de Seguridad de la compañía reconoce que se "ha detectado el ingreso a la red de Telefónica de un malware que afecta tus datos y tus ficheros", y se ruega al destinatario que avise a todos sus compañeros de la situación. También se aconseja a los afectados que desconecten sus móviles de la red wifi corporativa pero no hace falta apagarlo. También se ha avisado a los empleados utilizando el servicio de megafonía, solo destinado a situaciones de emergencia.
Otras compañías
Según algunas informaciones, el mismo virus estaría afectando a los equipos del personal corporativo de otras compañías como KPMG, BBVA, Santander, Iberdrola o Vodafone, han informado en varias cuentas de Twitter usuarios que decían ser empleados de estas firmas. Algunos de ellos han confirmado, incluso, haber recibido peticiones de rescate de sus datos en bitcoins. No obstante, ninguna de las empresas ha reconocido esos ataques.
En el caso de Vodafone, "se han chequeado todos los sistemas y equipos y no se ha observado ninguna anomalía", informó un portavoz de la operadora. No obstante, "y como medida preventiva", se ha ordenado a todos los empleados que salgan de Internet para evitar que, en caso de detectarse el virus, no se propague con facilidad.
En compañías como Vodafone, Iberdrola o Gas Natural han pedido a sus empleados que apaguen el ordenador
BBVA ha desmentido "categóricamente" las informaciones, filtradas, dice una portavoz, por una web que ha publicado la información sin contrastar. El banco asegura que hay una "total normalidad" en sus sistemas. Santander asegura que tampoco ha tenido ningún problema, informa Íñigo de Barrón. KPMG también ha desmentido que esté sufriendo un ataque, y fuentes de CapGemini aseguran asimismo que no han detectado nada en sus sistemas y están trabajando "con normalidad", informa Javier Salvatierra.
Fuentes de Iberdrola sostienen que la empresa no ha sufrido ningún tipo de ataque y que han apagado los ordenadores y han enviado a casa a sus trabajadores por "medidas de precaución". "El ciberataque ha sido a Telefónica. Nosotros, como otras empresas afectadas, somos clientes de su red. Hemos apagado el sistema para prevenir posibles daños", afirma un portavoz de la empresa, informa Joana Oliviera. Indra, por su parte, asegura no haber recibido ningún ataque y sus trabajadores siguen en sus puestos, pero ha cortado la navegación por internet de forma preventiva.
No obstante, y en previsión de que el ciberataque a esas empresas se produzca en los próximos días, algunas de estas empresas se han puesto en contacto con Telefónica para pedirles asesoramiento para frenar esos ataques. Y también han solicitado a sus empleados que no se conecten a Internet. Fuentes del CNI asegura que, por el momento, ningún organismo oficial se ha visto afectado.
Infraestructuras críticas
El Centro de Respuesta a Incidentes Cibernéticos de Seguridad e Industria ha asegurado por su parte que, hasta el momento, la provisión de los servicios esenciales (energía, transporte, servicios financieros, servicios TIC, etc…) no se ha visto afectada. "No obstante, el protocolo de comunicación y de gestión de incidentes con los más de 100 operadores que ya forman parte del Sistema de Protección de Infraestructuras Críticas se mantiene activo y en alerta, a la espera de nuevos datos", ha añadido el Ministerio del Interior en una nota.
HACE DOS AÑOS ESTE TIPO DE VIRUS ATACÓ MI ORDENADOR Y ME ENCRIPTÓ 15.000 ARCHIVOS ME FUI A DENUNCIARLO A LA POLICÍA NACIONAL Y LLEVÉ EL TIPO DE VIRUS Y ME DIERON LARGAS SÓLO ME RECOMENDARON QUE NO PAGARA PORQUE NO HIBA SER SEGURO LA RECUPERACIÓN DE ARCHIVOS ME QUEDÉ SIN ELLOS Y ME COSTÓ UNOS CIENTOS DE EUROS LIMPIAR EL ORDENADOR.AHORA QUÉ PASA SI ES IMPORTANTE ¿POR QUÉ NO SE PUSIERON LOS MEDIOS DE AQUELLA? ME CANSÉ DE ESCRIBIR DE ELLO EN MI BLOG, PERO PAPRECE QUE NO IMPORTABA AHORA SI, PERO ES TARDE.
No hay comentarios:
Publicar un comentario