Ciberataque de ransomware a Telefónica

Un ciberataque masivo de ransomware afecta a Telefónica y a un elevado número de organizaciones españolas

• El centro criptológico nacional califica la alerta como «muy alta»

• El origen del agujero de seguridad podría estar en un fallo de Windows

• El ataque no ha afectado a los servicios ni a los clientes de las empresas

La red coporativa de Teléfonica ha sido corrompida este pasado fin de semana por un ciberataque de ransomware. La compañía de telecomunicaciones ha explicado que la vulnerabilidad ya se encuentra controlada y que ha afectado a una parte puntual de sus trabajadores pero no a toda la compañía.

Telefónica no ha sido la única compañía afectada, según ha confirmado el centro criptológico nacional (CCN-CERT), que ha confirmado un ciberataque masivo de ransomware a multitud de empresas. Esta ciberamenaza ha sido calificada como «muy alta» por la institución.

Un ataque de ransomware es un tipo de ciberamenaza que bloquea los archivos y ordenadores de los usuarios. Para desbloquearlo los ciberatacantes exigen el pago de una cantidad económica, normalmente en bitcoins, dentro de un periodo corto de tiempo.

El CCN-CERT apunta a que la vulnerabilidad parece estar originada en un agujero del sistema operativo de Microsoft, ya que la compañía publicó la vulnerabilidad el día 14 de marzo en su boletín y hace unos días se hizo pública una prueba de concepto que parece que ha sido el desencadenante de la campaña.

El centro ha explicado que el tipo de ransomware es una versión de WannaCry que «infecta la máquina cifrando todos sus archivos y, utilizando una vulnerabilidad de ejecución de comandos remota a través de SMB, se distribuye al resto de máquinas Windows que haya en esa misma red«.

Pantallazos azules y desconexión

Como medida de protección y de contención de la propagación del virus, la teleco ha pedido a sus trabajadores que apaguen los ordenadores y desconecten los dispositivos de su red WiFi corporativa para que no se infecten otros equipos. Desde Telefónica aseguran que ya están trabajando en solucionar el problema de los equipos afectados.

Everis ha comunicado que que «que sus sistemas informáticos no se han visto afectados por el ataque de ramsomware, que se ha producido hoy a nivel nacional. La consultora ha activado sus protocolos de seguridad como medida preventiva, a pesar de no haber detectado ninguna incidencia en sus sistemas». Al tiempo ha recomendado que si alguien observa un comportamiento extraño, que desconecte y apague el PC, y que posteriormente lo comunique de forma inmediata a su IT-local.

Según ha podido saber este medio, las medidas de precaución se habrían extendido a otras compañías españolas como Iberdrola, Gas Natural o Vodafone, que han desconectado sus equipos por prevención. Por su parte, un proveedor que trabaja con BBVA ha confirmado a este medio que se les ha avisado que se desconecten de los servicios comunes para evitar la propagación. Por su parte, fuentes del oficiales del banco han aclarado que están trabajando «con total normalidad y que nuestra red no se ha visto afectada».

El ciberataque ha salido del territorio nacional. En concreto, el Servicio Nacional de Salud británico ha confirmado que un importante número de hospitales públicos han sido objeto de un «ataque informático a gran escala».

No afecta a servicios ni clientes

En cualquiera de los casos, este ciberataque no ha afectado a los clientes de las diferentes compañías ni a los servicios que prestan, que siguen funcionando con total normalidad.

Así lo ha confirmado el Ministerio de Energía, Turismo y Agenda Digital a través del Instituto Nacional de Ciberseguridad (Incibe) que detalla que «no afecta ni a la prestación de servicios, ni a la operativa de redes, ni al usuario de dichos servicios».

El Gobierno ha explicado asimismo que desde el Incibe «se está ofreciendo ayuda para solucionar los problemas y se asesora a otras compañías en una labor de prevención para que no se vean afectadas por este ataque», así como aclaran que «los equipos de respuesta a incidentes cibernéticos nacionales están en contacto con las organizaciones afectadas, así como el Centro Nacional para la Protección de las Infraestructuras Críticas del Ministerio del Interior».

Chema Alonso: «También ha afectado a otras organizaciones»

El propio responsable de las áreas de Big Data e Innovación de Telefónica, Chema Alonso, ha confirmado a través de su cuenta de Twitter que «se trata de un ransomware genérico que ha afectado a muchas empresas».

Alonso ha aclarado que solucionar el hackeo no es competencia de su departamento, pero que «está todo el equipo de seguridad interna trabajando a muerte. Como siempre». Eso sí, también ha reconocido que es un «ransomware genérico que ha afectado a muchas empresas. El equipo de Telefónica interna se lo ha tomado en serio y está con ello».

«Como muchos sabéis, la seguridad interna de Telefónica no es una de mis responsabilidades directas. Pero todos somos parte de la seguridad en la casa. Las noticias son exageradas, y los compañeros están trabajando en ello ahora mismo. Por desgracia, también ha afectado a otras organizaciones y están colaborando con ellos. En cuanto tengan más detalles del ransomware, los compartirán. En Elevenpaths [unidad de ciberseguridad de Telefónica] no hemos sido afectados, y compartiremos todo lo que aprendamos con #nomoreransom, donde somos socios y aportamos herramientas», explica en su cuenta en la red social.

¿Qué es el ransomware?

El ransomware es un tipo de ciberataque que en cuanto accede al sistema, se hace con todos los datos del equipo y bloquea cualquier acceso a esa información. A partir de ese momento, los piratas extorsionan y amenazan a la empresa a cambio de recuperar su material.

De este modo, el ataque que han recibido algunos de los trabajadores han bloqueado los ordenadores por completo. Para poder desbloquearlos, los ciberdelincuentes reclaman el pago en bitcoins antes de un estrecho plazo de tiempo.

Lo cierto es que los ataques de ransomware no son una excepción en las empresas, sino que es un método de actuar por parte de los ciberdelicuentes cada vez más habitual. En concreto, en 2016, este tipo de ciberamenazas creció más que nunca con un ataque a empresas cada cuarenta segundos en todo el mundo.