Los hackers han tomado el control de los ordenadores de la compañía para mostrar un mensaje que pide dinero a cambio de liberarlos.
La empresa rusa de seguridad informática Kaspersky estimó hoy en más de 45 mil los ciberataques perpetrados por el virus del tipo ransomware, que ha golpeado a infraestructuras de 74 países.
“Hasta el momento hemos registrado 45 mil ataques (…) en 74 países. Las cifras siguen aumentando inusitadamente”, escribió Costin Raiu, director global del equipo de Investigación Análisis del Laboratorio Kaspersky, en su cuenta de Twitter.
Raiu agregó que el mensaje que encabeza el ciberataque, que ha afectado a países como España, el Reino Unido, Turquía, Ucrania y la propia Rusia, está escrito en rumano, pero no por un nativo.
Telefónica ha ordenado a sus trabajadores por megafonía que apaguen sus equipos y redes internas. Ante esto, El Gobierno comunica que el ataque “no afecta ni a la prestación de servicios, ni a la operativa de redes, ni al usuario de dichos servicios”.
Telefónica ha sufrido un ataque informático en sus oficinas. Un grupo de hackers ha tomado el control de varios ordenadores, bloqueándolos y mostrando después un mensaje que pide dinero a cambio de liberar a los dispositivos. La cantidad exigida son 300 dólares en bitcoins, una moneda virtual.
Chema Alonso, CDO de Telefónica, también ha confirmado públicamente en Twitter que se trata de un ataque de ransomware, asegurando que no han sido los únicos afectados. Alonso ha reproducido un mensaje del Centro Criptológico Nacional que habla de un “ataque masivo de ransomware que afecta a un elevado número de organizaciones españolas” y que se ha debido a una vulnerabilidad de Windows.
El hackeo no afecta a los clientes de Telefónica, según la empresa. La alerta, sin embargo, se ha extendido a otras grandes compañías que trabajan con conexión Movistar como Iberdrola o Vodafone, que han pedido a sus trabajadores que no usen sus equipos conectados a Internet.
Fuentes de Gas Natural explican a este diario lo siguiente: “Hemos desconectado los ordenadores de forma preventiva, pero aún no sabemos daños. Las unidades críticas de negocio funcionan con normalidad, porque van por otras plataformas, no por Wifi”. En el Grupo Prisa piden a sus empleados, a través de un corre interno, que “cuando acabe su jornada laboral, apague su estación” y les recuerdan que no deben “abrir ni ejecutar documentos o archivos adjuntos o hacer ‘clic’ en vínculos de correo electrónico o de publicaciones de redes sociales”.
ALERTA POR MEGAFONÍA
Sobre las 12 de la mañana, “han empezado a salir pantallazos azules” en los equipos de los trabajadores de Telefónica en la sede en Madrid, según relatan fuentes internas, que hacen referencia a un error de disco. Las mismas fuentes añaden que, a continuación, la compañía ha avisado por megafonía que debían desconectar inmediatamente los ordenadores. La alerta por los altavoces solo suena en casos de evacuación del edificio.
Según empleados de Telefónica, “se han desenchufado los ordenadores, las regletas eléctricas y el resto de equipos” así como las VPN (redes de trabajo internas), y se ha pedido que no se saquen equipos informáticos del edificio.
En varias capturas de pantalla a las que ha tenido acceso eldiario.es, se ve un mensaje típico de los ataques de ransomware, en el que los hackers “secuestra” los equipos, avisan de que los archivos han sido cifrados y piden una cantidad económica para liberarlos.
En este caso, los atacantes dan un plazo de unas horas para liberar los archivos previo pago de 300 dólares en bitcoins, lo que al cambio son 0.1675 btc. Si no se hace, el 15 de mayo subirán el precio del rescate y el 19 de mayo serán eliminados definitivamente. El virus podría haber afectado a archivos internos de la compañía.
¿CÓMO HA SIDO EL ATAQUE?
Fuentes oficiales de Telefónica han confirmado el ataque, pero han rebajado la importancia del suceso. Según aseguran a este diario, habría afectado a unos cien ordenadores de un total de 40 mil y no afecta al servicio que presta la compañía. Un trabajador de la compañía explica a este diario que solo en su planta “hay unos 100 o 150 ordenadores” y que el ataque ha afectado “a todo el edificio”. En la sede de Telefónica de Madrid trabajan unas 15 mil personas.
Por su parte, el Gobierno ha emitido un comunicado en el que dice estar trabajando “con las empresas afectadas con el objetivo de solucionar cuanto antes la incidencia”. El Ministerio de Energía, Turismo y Agenda Digital señala que el ataque “no afecta ni a la prestación de servicios, ni a la operativa de redes, ni al usuario de dichos servicios”.
11 PAÍSES ATACADOS
Cuenta Motherboard que, en total, han sido 11 los países atacados. Rusia suma el mayor número de amenazas con 29. En segundo lugar se sitúa Taiwán y en tercero está España. En menos de tres horas, el ransomware se ha expandido por todo el mundo, de acuerdo a MalwareHunterTeam, una empresa especializada en ciberseguridad.
El CNI, a través del Centro Criptológico Nacional, ha alertado de que el virus aprovecha una vulnerabilidad que afecta a sistemas Windows “cifrando todos sus archivos y los de las unidades de red a las que estén conectadas, e infectando al resto de sistemas Windows que haya en esa misma red”. La vulnerabilidad fue parcheada en marzo por la compañía de Bill Gates, pero a la vista está que no lo hizo correctamente.
Los hospitales de la NHS, la seguridad social británica, también han sufrido el ataque informático, según el periódico The Guardian. Muchos centros han tenido que desviar a los pacientes de urgencias a otros centros cercanos. Los ordenadores de los hospitales han recibido un mensaje igual que el de Telefónica, que exigía cierta cantidad de dinero por liberar el equipo.
El ransomware WCry es un tipo de malware que se caracteriza por el secuestro del ordenador, donde el atacante “bloquea” todos los archivos del disco duro y pide un rescate por ellos. Los hospitales británicos, nada más tener conocimiento del ataque han desconectado sus equipos de la red. Entre los afectados se encuentran todos los del distrito financiero de Londres así como los del este de la capital. Otros centros en Manchester y Liverpool también han sido atacados por WCry.
