Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
NOTICIA

Las empresas españolas recuperan la normalidad tras el ciberataque mundial del 'ransomware' WannaCrypt

Organismos y empresas trabajan conjuntamente en las soluciones 16/05/2017 - Redacción
El 12 de mayo se produjo un ciberataque a escala mundial que ha afectado a empresas de 179 países, entre ellos España. Al menos 230.000 equipos informáticos se vieron afectados a escala global por un ransomware llamado WannaCryp. China, Rusia, Estados Unidos y Reino Unido fueron los países con mayor número de infecciones, que en España sufrieron en torno a 600 empresas.

La normalidad se restablece poco a poco en las empresas afectadas por el ciberataque de ransomware a escala mundial acaecido el 12 de mayo. Varias compañías españolas, entre ellas al menos una decena de operadores estratégicos, han sido víctimas de este ataque que ha infectado al menos a unos 1.200 equipos informáticos. Desde entonces, organismos como Incibe y el Centro Nacional de Protección de Infraestructuras Críticas, a través del CERTSI (CERT de Seguridad e Industria), o el CCN-CERT trabajan con esas organizaciones para restablecer su operativa habitual.

El ataque comenzó el pasado viernes con la infección de varios ordenadores de diferentes empresas. La primera de la que se tuvo constancia fue Telefónica, a la que se fueron sumando otras a lo largo del día. Según indica Incibe, el ataque afectó de manera puntual a los equipos informáticos, pero no a la prestación de servicios, ni a la operativa de redes, ni a los usuarios.

La infección consistió en una variedad de malware de tipo ransomware que cifró los archivos de los ordenadores afectados y solicitaba el pago de un rescate en Bitcoins para desbloquearlos. El CERTSI ha identificado al menos tres variantes del virus, bautizado como WannaCrypt, “lo que indica que en este ciberataque están involucrados diferentes virus informáticos de la misma familia”, señala el organismo.

El gusano explotaba una vulnerabilidad del sistema operativo Windows para “infectar” otros ordenadores vulnerables que estuvieran en la misma red local que la máquina afectada, consiguiendo una velocidad de propagación muy alta. Según diversos analistas, el punto de entrada de este malware fue un mensaje de correo electrónico que incluía un fichero adjunto, el cual, una vez abierto, se propaga muy rápidamente por toda la red de la empresa afectada.

Vulnerabilidad de Windows

La vulnerabilidad de Windows utilizada por esta versión de WannaCry es conocida como Eternal-Blue y ataca al protocolo de compartición de ficheros SMB de Windows. Precisamente, esta misma vulnerabilidad fue corregida por Windows el pasado 14 de marzo, con nombre MS17-010. A pesar de ello, desde el inicio del ataque hasta ahora, se han identificado en todo el mundo más de 230.000 equipos infectados por las diferentes variantes de WannaCrypt en un total de 179 países distintos, según el CERTSI.

El CCN-CERT ha desarrollado una herramienta para prevenir el malware WanaCry, llamada NoMoreCry-v0.3 (para Windows XP y superiores) y NoMoreCry2000-v0.3 (para Windows 2000). “En ambos casos se crea en el equipo los objetos de exclusión mutua que impiden la ejecución del código dañino. Esta nueva versión de la herramienta consta también de un fichero de texto (NoMoreCry_mutex) que obligatoriamente debe acompañar al ejecutable en la misma ruta. Dentro de este fichero se encuentran los nombres de los objetos de exclusión mutua que la herramienta creará”, explica el organismo adscrito al Centro Nacional de Inteligencia.

Unas 600 empresas afectadas en España

El CERTSI ha informado de que España ocupa actualmente la posición 16 del ranking por países, con 1.200 infecciones confirmadas de dos de las variantes del virus WannaCrypt desde que se inició el ataque. Según ha confirmado Incibe, las empresas españolas afectadas fueron unas 600, de las que menos de diez corresponderían a empresas estratégicas, como fue el caso reconocido de Telefónica.

Los países más afectados fueron principalmente China, Rusia, Estados Unidos y Reino Unido, destacando además que en ellos se habrían afectado a sistemas o redes que podrían haber impactado en servicios esenciales de salud, transporte o sistema financiero, si bien estas infraestructuras no eran el objetivo principal del ciberataque.

Gracias al trabajo conjunto con las entidades afectadas, desde el CERTSI se han identificado al menos tres variantes del virus, lo que indica que en este ciberataque están involucrados diferentes virus informáticos de la misma familia. Esta tercera variante realiza un intento de conexión a una página web codificada internamente como primer paso antes de comenzar a cifrar los documentos del equipo.

El CERTSI también ha confirmado que ha tenido acceso a las direcciones IP españolas infectadas por una de las variantes del virus, lo que ha permitido que se inicie el procedimiento para realizar la notificación de forma proactiva a los afectados, ya sea directamente o a través de los proveedores de acceso a Internet con los que ya hay establecidos acuerdos. En cuanto a los operadores estratégicos nacionales, se ha confirmado la infección en menos de una decena de ellos y desde el CERTSI han estado en contacto permanente para proporcionarles métodos para protegerse y evitar la propagación del virus informático.

Recomendaciones frente al ataque

Este organismo recomienda seguir una serie de pasos en estas situaciones, comenzando por actualizar los equipos con los últimos parches de seguridad publicados por el fabricante; no abrir ficheros, adjuntos o enlaces de correos electrónicos no confiables, ni contestar a este tipo de correos; precaución al seguir enlaces en correos, mensajería instantánea y redes sociales, aunque sean de contactos conocidos; disponer de herramientas de protección adecuadas tales como antivirus, antimalware y cortafuegos; y realizar copias de seguridad periódicas de la información, principalmente la más sensible o importante.

Por su parte, el el CCN-CERT añade también otras recomendaciones, como ejecutar la herramienta del CCN-CERT ‘NoMoreCry’ en sus sistemas, no pagar el rescate o, en caso de haberse visto afectados por el virus y no disponer de copias de seguridad, conservar los ficheros que hubieran sido cifrados por la muestra de ransomware antes de desinfectar la máquina.

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual