El ransomware se ha vuelto uno de los crímenes cibernéticos más virulentos de Internet en los últimos años. Extendiendo sus tentáculos entre cientos de empresas y usuarios individuales, los hackers secuestran los archivos de las computadoras infectadas y luego extorsionan a sus víctimas exigiéndoles un rescate en bitcoins a cambio de devolverles sus archivos. La última víctima de este cibercrimen ha sido la empresa de telefonía móvil Telefónica, entre otras compañías españolas.
Según informó el diario El Mundo de España tras consultar con empleados de la compañía, la mañana del día de hoy la red corporativa de Telefónica sufrió un ataque de ransomware que aprovechó una vulnerabilidad del sistema operativo Windows instalado en sus computadoras, razón por la que pidió a sus trabajadores apagar los ordenadores y desconectar sus teléfonos móviles de las redes wifi de la empresa.
El Centro Nacional de Inteligencia de España (CNI) explica que este virus es una versión de WannaCry, que infecta la máquina cifrando todos sus archivos y, utilizando una vulnerabilidad de ejecución de comandos remota a través de SMB, se distribuye al resto de máquinas Windows que haya en esa misma red.
Entre los archivos que han sido cifrados en la red de la compañía de telecomunicaciones destacan documentos, fotos, videos, bases de datos y otros archivos, en cerca del 85% de los computadores de la compañía. Para devolverles el acceso a los archivos los atacantes exigen un rescate en bitcoins equivalente a 300 dólares, por cada computador afectado, lo cual, sumado, daría un total de 556.364.90 dólares. Telefónica tiene hasta el día 15 de mayo para pagar; en caso contrario, subirán la cifra del rescate. Llegado el 19 de mayo, los hackers eliminarán todos los archivos que fueron secuestrados.
Verificando la dirección de cartera dispuesta por los hackers para recibir el rescate, se observa que un pago de 0,15 bitcoins ya ha sido enviado a la dirección de cartera, equivalentes a 263,78 dólares, aunque aún se desconoce su procedencia. Resulta curioso que el hacker haya tasado en dólares el rescate cuando, debido a la volatilidad de los precios de bitcoin, estos fluctúan constantemente.
Por los momentos, el ataque solo ha afectado la red corporativa de Telefónica, permitiéndoles a todos los usuarios de Movistar continuar disfrutando del servicio telefónico y tener acceso a Internet. Sin embargo, clientes corporativos como las empresas Ibex 35, Ferrovial y la Consultora Everis, han tomado medidas preventivas para prevenir la infección; a tal punto que Ferrovial ha cortado todos los accesos a Internet y de correo electrónico hacia y desde el exterior de la empresa, mientras que Everis ha ordenado apagar todos los computadores hasta que el departamento de seguridad afirme que están fuera de peligro.
Con todo, Telefónica parece no ser el único afectado. El CNI ha revelado que se trata de un ataque masivo, aparentemente proveniente de China, a diversas organizaciones del país, si bien aún no se ha confirmado esta información. Otras de las empresas españolas que parecen haber sido atacados son Iberdrola y GasNatural: el primero, no ha confirmado el ataque pero pidió a sus trabajadores desconectar sus equipos como medida preventiva; el segundo ha afirmado haber recibido el mismo mensaje de rescate que apareció en las computadoras de Telefónica. BBVA y Vodafone, quienes se pensó también habían sido afectadas, afirmaron estar fuera de peligro.
El Ministerio de Energía, Turismo y Agenda Digital, a través del Instituto Nacional de Ciberseguridad (Incibe), afirmó estar trabajando de la mano de las empresas afectadas para solventar la problemática. Álvaro Nadal, director del Departamento, ha afirmado que “desde el Incibe, en coordinación con las diferentes administraciones, se ha elaborado un diagnóstico de lo ocurrido en las empresas afectadas”.
Los sistemas afectados son Windows 7, 8.1, 10, Server 2016, Vista SP2, Server 2008 SP2 y Server 2012. El organismo ha calificado la alerta de «nivel muy alto» y ha recomendado actualizar los sistemas a su última versión o parchear según informa Microsoft, fabricante de esos sistemas.
Este tipo de ataque cada vez se vuelve más común en el mundo de los hackers, llegando incluso a refinar sus métodos al punto de ofrecer servicio al cliente y tiendas en línea para atender a sus victimas. Con todo, un último informe de la firma de consultoría CyberEdge Group arrojó que más de la mitad de los infectados por este virus que no pagan el rescate logran recuperar los archivos, lo que podría dar una esperanza a Telefónica y demás empresas afectadas de recuperar sus datos, si bien la decisión de pagar o no el rescate queda a su voluntad.