El ataque informático masivo que afectó a España se extiende a nivel global



UN "ELEVADO NÚMERO DE EMPRESAS" ESPAÑOLAS AFECTADAS
El ataque informático masivo que afectó a España se extiende a nivel global
Telefónica acaba de sufrir un ataque informático que afecta a cientos de empleados. Pero no es la única. El Centro Criptológico Nacional confirma que el ataque es masivo y global

Foto: Reuters.
AUTOR
12.05.2017 – 12:46 H. - ACTUALIZADO: 12.05.2017 - 19:28H.
La sede de Telefónica en Madrid ha sufrido hoy un ataque informático que se ha extendido entre los equipos de cientos de empleados de la compañía, según han confirmado a Teknautas fuentes de la compañía y empleados de la operadora. Pero no es la única gran empresa afectada. El Centro Criptológico Nacional y Centro Nacional de Inteligencia ha confirmado que el ataque es nacional (CCN-CERT) y afecta a un "elevado número de organizaciones españoles". Y España no es tampoco el único país que lo está sufriendo: el ataque ya se ha extendido a nivel mundial.

Cientos de empresas en múltiples países están ya sufriendo el mismo ataque que ha sufrido este viernes Telefónica y otras compañías españolas. Turquía, Reino Unido, Portugal, China, EEUU, Rusia... la lista, como muestra el mapa debajo, es casi interminable.

"Se ha alertado de un ataque masivo de 'ransomware' a varias organizaciones que afecta a sistemas de Windows cifrando todos sus archivos y los de las unidades de red a las que estén conectadas, e infectando al resto de sistemas Windows que haya en esa misma red", ha comunicado hoy el CCN-CERT. El organismo, explica que el ransomware, una versión de WannaCry, infecta la máquina cifrando todos sus archivos y, utilizando una vulnerabilidad de ejecución de comandos remota, se distribuye al resto de máquinas Windows que haya en esa misa red.
Telefónica fue una de las primeras empresas en España en alertar del ataque y reconocerlo. La empresa pidió a sus empleados por megafonía y por correo electrónico que dejen de trabajar y apaguen sus ordenadores para evitar que el ataque se extienda, según han confirmado a Teknatuas varios empleados de la compañía que se han visto afectados. Fuentes de la empresa han asegurado que el ataque de momento solo está afectando a varios cientos de empleados de la sede central de Telefónica.
Se desconoce de momento el origen geográfico del ataque, pero está confirmado que se trata de un ciberataque con 'ransomware', una modalidad de 'malware' que pide un rescate por liberar los equipos infectados. Empleados de Telefónica han confirmado la recepción de mensajes pidiendo el pago de dinero en bitcoins para liberar los equipos afectados y los archivos de los mismos, que habrían sido cifrados por el virus. Según estos mensajes, los atacantes daban un plazo de horas para liberar los ordenadores tras el pago de 300 dólares en bitcoins. De no hacerlo, subirían el precio del rescate en fechas posteriores. Amenazan con eliminar los archivos de no realizarse el pago.
El responsable global de datos de Telefónica y 'hacker' Chema Alonso, ha reconocido el ataque y, de paso, ante los miles de comentarios en redes sociales que le han llevado a 'trending topic', ha aclarado que la seguridad interna no es su responsabilidad. También ha aclarado que se trata de un ataque global. "Se trata de un ataque genérico, global, está afectando a muchas más empresas aunque muchas dirán que no están teniendo impacto. En el caso de Telefónica, estamos trabajando en resolverlo, pero es una incidencia interna, no ha afectado a nuestros clientes ni al servicio que les prestamos", explica Alonso a Teknautas en conversación telefónica.
Según empleados internos de la empresa, el BBVA está también entre las empresas afectadas por el mismo ataque, aunque la compañía lo han negado oficialmente. Portavoces de EverisVodafone, Iberdrola o Capgemini, supuestamente también afectadas, han negado oficialmente a Teknautas haber sufrido algún impacto. El CCN-CERT, sin embargo, asegura que el 'hackeo' afecta a un gran número de empresas en España, pero no da nombres concretos.
El Ministerio de Energía, Turismo y Agenda Digital ha emitido un comunicado en el que asegura que los ciberataques no afectan "ni a la prestación de servicios ni a la operativa de redes, ni al usuario de dichos servicios".
"Urgente: apaga tu ordenador ya"
Telefónica ha enviado un email interno a todos sus empleados avisando del ataque y explicando qué deben hacer. El título del mensaje, "Urgente: apaga tu ordenador ya", deja entrever la seriedad del problema.

"Apaga el ordenador y ya no vuelvas a encenderlo hasta nuevo aviso (desconecta el móvil de la red wifi pero no hace falta que lo apagues)"

"El equipo de seguridad ha detectado un ingreso en la red de Telefónica de un malware que afecta a tus datos y ficheros. Por favor, avisad a todos tus compañeros de la situación. Apaga el ordenador y ya no vuelvas a encenderlo hasta nuevo aviso (desconecta el móvil de la red wifi pero no hace falta que lo apagues). Te enviaremos un correo que podrás leer a través de tu móvil cuando la situación ya esté normalizada. Además, el martes informaremos en las entradas de los edificios sobre el acceso a la red. Ante cualquier duda contacta con la mesa de ayuda".
Fuentes de Telefónica han confirmado que los 12.000 trabajadores de la sede de la empresa en Madrid (Distrito C) siguieron trabajando tras la incidencia, "pero no desde sus ordenadores. Seguimos desde móviles y tabletas". Empleados de la empresa señalan sin embargo que distintos departamentos y unidades han optado por regresar a casa para seguir trabajando desde allí.
¿De dónde viene el ataque?
La unidad de emergencias del Centro Criptológico Nacional (CCN-CERT) ha confirmado en un nuevo comunicado que el ataque se ha producido utilizando una herramienta conocida como EternalBlue, usada por la NSA estadounidense para labores de espionaje y filtrada por el grupo de hackers 'ShadowBrokers'. Microsoft solucionó esta vulnerabilidad el pasado marzo, pero las compañías que no habían actualizado sus sistemas estaban expuestas.
"La especial criticidad de esta campaña viene provocada por la explotación de la vulnerabilidad descrita en el boletín MS17-010 utilizando EternalBlue/DoublePulsar, que puede infectar al resto de sistemas Windows conectados en esa misma red que no estén debidamente actualizados. La infección de un solo equipo puede llegar a comprometer a toda la red corporativa", ha explicado el CCN-CERT.

Especialistas en seguridad informática consultados por Teknautas explican que no parece ser un 'software' muy sofisticado, es un 'ransomware' normal y corriente que ni daña ni roba la información de los equipos. "Su gran virtud es que ha encontrado el camino para expandirse solo". Los usuarios no tienen que hacer nada para ayudarle: con que entre en uno de los equipos conectados a esa red, el gusano se mueve de uno a otro con rapidez.
A falta de conocerse más detalles concretos, el experto en seguridad informática Rubén Santamarta explica que estos 'hackeos' pueden provenir de distintos orígenes. "Un usuario doméstico puede descargar por error un 'malware' infectado o recibir un correo engañoso. En el caso de una infección masiva, un solo usuario puede ser el punto de entrada y luego replicarse en otros equipos utilizando fallos del sistema o porque el virus llegue a una carpeta compartida". Cuando el ataque se produce en varias empresas, como es el caso, es probable que el origen se encuentre en un servicio compartido entre varias de ellas.

En opinión del experto, la medida tomada por Telefónica al pedir a todos sus empleados que desconecten sus equipos de la red interna es "lógica dentro de la urgencia. Es una medida de mitigación para evitar que el problema se expanda antes de saber exactamente qué ocurre".
En cuanto al supuesto origen del ataque en China, Santamarta señala la dificultad de determinar el punto de partida de la infección. "Que parezca provenir de un servidor en China no significa gran cosa. Los atacantes pueden estar utilizando una infraestructura informática que reenvíe la infección de un sitio a otro del mundo antes de llegar a su destino. Es demasiado pronto para saberlo".


Comentarios

  1. El Crítico de Noticias13 de mayo de 2017, 19:07

    Noticia de actualidad de última hora, tomada de El Confidencial. No obstante, aparece en otros medios ABC, El País, El Periódico, Antena 3, RTVE… Dado el impacto de la noticia en los medios, el equipo del blog nos planteamos varias cuestiones. ¿Tal es el calibre del ataque para esta repercusión? ¿El uso de las redes sociales y nuestra visibilidad en el entorno digital es positivo o negativo? ¿Qué opináis al respecto?

    ResponderEliminar
  2. La reacción inmediata, supongo que compartida por todos, es la de sentirnos vulnerables y comprobar, una vez más, que la "seguridad" y "confidencialidad" de los datos que se mueven por la red, es bastante relativa. Datos médicos, bancarios, personales, laborales, académicos y de todo tipo, pueden quedar expuestos y tener un fin de extorsión y fraudulento provocando daños graves e irreparables a empresas públicas, privadas y a nivel individual de cada usuario. Es una amenaza real y muy peligrosa, realmente terrible.

    Sin entrar más en profundidad en tantas conclusiones como se pueden extraer de esta noticia que nos afecta a todos a nivel global, voy a mencionar una película que vi hace tiempo que está en consonancia con el trasfondo de la historia. Me refiero a La Red (o The Net, que es su título original). La película se estrenó en 1995 y la protagoniza Sandra Bullock. Han pasado más de 20 años desde que pudiéramos ver en la gran pantalla los graves desaguisados que se pueden producir MANIPULANDO Y ROBANDO datos de todo tipo. Desgraciadamente, con estos ataques recientes, vemos que somos demasiado vulnerables y mucho más frágiles de lo que pensamos. La seguridad de la red y los intereses de los hackers conviven en una especie de "duelo de titanes"; una lucha eterna de la que depende la seguridad de todos nosotros.

    ResponderEliminar
  3. El impacto de este ramsomware es tan alto debido a que aprovecha un agujero de seguridad para ejecutar código en el equipo infectado sin que el usuario note absolutamente nada hasta que es demasiado tarde. Además, este "virus" puede entrar desde Internet a un equipo y replicarse a los equipos de la red local con relativa facilidad.

    Cabe destacar que la solución a este problema fue publicada por Microsoft hace meses, pero la mala costumbre de los usuarios de rechazar las actualizaciones por que "tardan mucho" los ha expuesto ahora a este problema.

    Llega el momento de comprobar que tal se desenvuelven los técnicos de sistemas restaurando las copias de seguridad que deben almacenarse precisamente para casos como estos. Se avecina oportunidad de negocio para las empresas que ofrecen programas de copias de seguridad.

    ResponderEliminar
  4. Herminio.....................................................................16 de mayo de 2017, 0:56

    Esto son navajazos entre clanes rivales de las alturas celestiales así que no queráis saberlo porque no os incumbe. Vosotros, siervos irredentos, a trabajar sin rechistar y a pagar impuestos que es lo que tenéis que hacer. Ya verán los señores feudales qué prostitutas de lujo se compran, cuánta cocaína encargan robar de los almacenes policiales y qué otras corruptelas sufragan con el fruto de vuestro sacrificado trabajo. La moral es para los pobres y/o los tontos. Hala, venga, ya basta de fuegos artificiales y cortinas de humo por hoy que el ganado se agita demasiado... y luego se ordeña peor...

    ResponderEliminar
  5. La típica pregunta de ¿quien ha sido??? el sospechoso procederá del Sudeste asiático, o de un país europeo o quien sabe....el acusado según los medios, hoy es uno y mañana otro...cambia de identidad con facilidad camaleónica... Sea como fuere sientes AMENAZA, MIEDO, VULNERABILIDAD...y lo que finalmente te caerá encima es el CABREO (contigo mismo por no haber actualizado y hecho caso omiso a la actualización del antivirus) FURIA e IMPOTENCIA (por darte cuenta de que quien sea que fuese, pudo haber entrado como "Pedro por su casa" paseándose por tus datos ... Pero lo que realmente importa de verdad es, saber quien ha sido o más bien ¿con qué fin ha llevado a cabo su ciber ataque global, poniendo en jaque a todos...Pero lo que sí podemos estar seguros es de una sola cosa... LA INFORMACIÓN ES PODER...y tanta que ha sido sustraída, no conlleva a nada bueno...

    ResponderEliminar
  6. La típica pregunta de ¿quien ha sido??? el sospechoso procederá del Sudeste asiático, o de un país europeo o quien sabe....el acusado según los medios, hoy es uno y mañana otro...cambia de identidad con facilidad camaleónica... Sea como fuere sientes AMENAZA, MIEDO, VULNERABILIDAD...y lo que finalmente te caerá encima es el CABREO (contigo mismo por no haber actualizado y hecho caso omiso a la actualización del antivirus) FURIA e IMPOTENCIA (por darte cuenta de que quien sea que fuese, pudo haber entrado como "Pedro por su casa" paseándose por tus datos ... Pero lo que realmente importa de verdad es, saber quien ha sido o más bien ¿con qué fin ha llevado a cabo su ciber ataque global, poniendo en jaque a todos...Pero lo que sí podemos estar seguros es de una sola cosa... LA INFORMACIÓN ES PODER...y tanta que ha sido sustraída, no conlleva a nada bueno...

    ResponderEliminar
  7. Estamos inmersos en una sociedad que todo lo tiene en la red. Y sin darnos cuenta, esta nos ha robado toda la intimidad.
    Ahora tenemos “ataques masivos”… y tenemos “infectado el sistema”…
    Hemos ido tan rápidos con estas tecnologías que no hemos sabido adaptarnos a ellas, y lo que es peor no sabemos valorar los perjuicios y los daños que nos pueden ocasionar.
    Deberíamos ser más cautos e interesarnos por lo que conlleva poner tanta información en la red.

    ResponderEliminar

Publicar un comentario

Seguidores

Visitas a nuestro blog