Telefónica acaba de sufrir un ataque informático que afecta a cientos de empleados. Pero no es la única. El Centro Criptológico Nacional confirma que el ataque es masivo y global
La sede de Telefónica en Madrid ha sufrido un ataque informático que se ha extendido entre los equipos de cientos de empleados de la compañía, según han confirmado a Teknautas fuentes de la compañía y empleados de la operadora. Pero no es la única gran empresa afectada. El Centro Criptológico Nacional y Centro Nacional de Inteligencia ha confirmado que el ataque es nacional (CCN-CERT) y afecta a un «elevado número de organizaciones españoles».
«Se ha alertado de un ataque masivo de ‘ransomware’ a varias organizaciones que afecta a sistemas de Windows cifrando todos sus archivos y los de las unidades de red a las que estén conectadas, e infectando al resto de sistemas Windows que haya en esa misma red», ha comunicado esta tarde el CCN-CERT. El organismo, explica que el ransomware, una versión de WannaCry, infecta la máquina cifrando todos sus archivos y, utilizando una vulnerabilidad de ejecución de comandos remota, se distribuye al resto de máquinas Windows que haya en esa misa red.
Telefónica fue una de las primeras empresas en España en alertar del ataque y reconocerlo. La empresa pidió a sus empleados por megafonía y por correo electrónico que dejen de trabajar y apaguen sus ordenadores para evitar que el ataque se extienda, según han confirmado a Teknatuas varios empleados de la compañía que se han visto afectados. Fuentes de la empresa han asegurado que el ataque de momento solo está afectando a varios cientos de empleados de la sede central de Telefónica.
Se desconoce de momento el origen geográfico del ataque, pero está confirmado que se trata de un ciberataque con ‘ransomware’, una modalidad de ‘malware’ que pide un rescate por liberar los equipos infectados. Empleados de Telefónica han confirmado la recepción de mensajes pidiendo el pago de dinero en bitcoins para liberar los equipos afectados y los archivos de los mismos, que habrían sido cifrados por el virus. Según estos mensajes, los atacantes daban un plazo de horas para liberar los ordenadores tras el pago de 300 dólares en bitcoins. De no hacerlo, subirían el precio del rescate en fechas posteriores. Amenazan con eliminar los archivos de no realizarse el pago.
El responsable global de datos de Telefónica y ‘hacker’ Chema Alonso, ha reconocido el ataque y, de paso, ante los miles de comentarios en redes sociales que le han llevado a ‘trending topic’, ha aclarado que la seguridad interna no es su responsabilidad. También ha aclarado que se trata de un ataque global. «Se trata de un ataque genérico, global, está afectando a muchas más empresas aunque muchas dirán que no están teniendo impacto. En el caso de Telefónica, estamos trabajando en resolverlo, pero es una incidencia interna, no ha afectado a nuestros clientes ni al servicio que les prestamos», explica Alonso a Teknautas en conversación telefónica.
Según empleados internos de la empresa,el BBVA está también entre las empresas afectadas por el mismo ataque, aunque las compañías lo han negado oficialmente. Portavoces de Vodafone, Iberdrola o Capgemini,supuestamente también afectadas, han negado oficialmente a Teknautas haber sufrido algún impacto. El CCN-CERT, sin embargo, asegura que el ‘hackeo’ afecta a un gran número de empresas en España, pero no da nombres concretos.
El Ministerio de Energía, Turismo y Agenda Digital ha emitido un comunicado en el que asegura que los ciberataques no afectan «ni a la prestación de servicios ni a la operativa de redes, ni al usuario de dichos servicios».
«Urgente: apaga tu ordenador ya»
Telefónica ha enviado un email interno a todos sus empleados avisando del ataque y explicando qué deben hacer. El título del mensaje, «Urgente: apaga tu ordenador ya», deja entrever la seriedad del problema.
(Apaga el ordenador y ya no vuelvas a encenderlo hasta nuevo aviso (desconecta el móvil de la red wifi pero no hace falta que lo apagues)
¿De dónde viene el ataque?
Especialistas en seguridad informática consultados por Teknautas explican que no parece ser un ‘software’ muy sofisticado, es un ‘ransomware’ normal y corriente que ni daña ni roba la información de los equipos. «Su gran virtud es que ha encontrado el camino para expandirse solo». Los usuarios no tienen que hacer nada para ayudarle: con que entre en uno de los equipos conectados a esa red, el gusano se mueve de uno a otro con rapidez.
A falta de conocerse más detalles concretos, el experto en seguridad informática Rubén Santamarta explica que estos ‘hackeos’ pueden provenir de distintos orígenes. «Un usuario doméstico puede descargar por error un ‘malware’ infectado o recibir un correo engañoso. En el caso de una infección masiva, un solo usuario puede ser el punto de entrada y luego replicarse en otros equipos utilizando fallos del sistema o porque el virus llegue a una carpeta compartida«. Cuando el ataque se produce en varias empresas, como es el caso, es probable que el origen se encuentre en un servicio compartido entre varias de ellas.
En opinión del experto, la medida tomada por Telefónica al pedir a todos sus empleados que desconecten sus equipos de la red interna es «lógica dentro de la urgencia. Es una medida de mitigación para evitar que el problema se expanda antes de saber exactamente qué ocurre».
Otros especialistas consultados por Teknautas aseguran que el ataque muy probablemente se ha debido producir usando una vulnerabilidad muy reciente y sobre la que aún no se habían desplegado los parches necesarios o, si se había hecho de forma oficial, millones de usuarios aún no habían actualizado sus equipos. En concreto, se cree que el ataque se haya podido realizar usando la última vulnerabilidad detectada por Google en Windows Defender, o incluso algunas de las herramientas técnicas usadas por la NASA y cuyos detalles técnicos fueron filtrados por Wikileaks en los últimos meses bajo el nombre de Vault 7.
En cuanto al supuesto origen del ataque en China, Santamarta señala la dificultad de determinar el punto de partida de la infección. «Que parezca provenir de un servidor en China no significa gran cosa. Los atacantes pueden estar utilizando una infraestructura informática que reenvíe la infección de un sitio a otro del mundo antes de llegar a su destino. Es demasiado pronto para saberlo».