Parece que las aguas vuelven a su cauce, pero el destrozo ha sido incalculable. Todo empezó ayer viernes a las 10 horas, cuando pantallas de los ordenadores de los edificios bandera de Telefónica, Gran Vía y Ronda de la Comunicación, se tornaron azul y mostraron un mensaje característico del ransomware, un software que encripta la información y te solicita el pago de un rescate para devolverte la información. Telefónica no tardó en reaccionar y envió a los empleados un mensaje conminando a apagar los equipos, la primera medida que hay que poner en marcha para evitar un contagio mayor.
Los empleados, entre asustados y perplejos, se lanzaron a mandar capturas de pantalla y comentarios a las redes sociales. Los medios informativos online se pusieron en marcha y empezó una ceremonia de la confusión. De pronto, los rumores salpicaron a Vodafone, BBVA y otras grandes del Ibex; parecía que nadie estaba libre de los ciberterroristas que presumiblemente provenían de China. Se produjo una tira y afloja de noticias sin confirmar y desmentidos oficiales. Algunas grandes compañías, en prevención, ordenaron apagar sus equipos y evitar así males mayores.
Lo que parecía un ataque a la línea de flotación del Ibex 35, era solo una parte de un ciberataque global que ha alcanzado con mayor virulencia al Reino Unido y Rusia. También se habla de Ucrania, India y Portugal. CheckPoint afirma que han sido infectados el sistema de salud de Gran Bretaña (NHS), el sistema ferroviario alemán y el Ministerio del Interior, bancos y ferrocarriles rusos, entre otras organizaciones críticas. El ciberatentado tiene tales proporciones que la propia Interpol lo ha calificado como “un ataque a un nivel sin precedentes. En Gran Bretaña, el sistema de salud público ha sufrido tal impacto que se llegaron a suspender operaciones quirúrgicas y se aconseja no acudir al médico a no ser que por fuerza mayor.
Ya se conoce el culpable de la agresión, los laboratorios de CheckPoint apuntan que el malware utilizado para esta oleada de ataques ha sido WannCry. En este tipo de ataques, los datos se cifran con la extensión. WCRY, añadida a los nombres de archivo. El ataque aprovecha una vulnerabilidad de Windows, mediante la ejecución remota de código de SMBv2. Una vulnerabilidad que, por cierto, descubrió la propia Agencia Nacional de Seguridad, que a su vez fue hackeada. El gran problema es que muchas empresas todavía no han aplicado el parche, lo que las pone en situación de fragilidad. A fecha de 13 de mayo se desconoce todavía el alcance, pero en función de las informaciones que paran de llegar, los afectados son muchos y muy relevantes.
En cuanto a Telefónica, la situación ha vuelto a la normalidad. Su CSO estrella, Chema Alonso, quitó hierro al asunto a través de Twitter: “las noticias son exageradas y los compañeros están trabajando ello. Por desgracia otras empresas están afectadas”. El exhacker ético ha comentado también la necesidad de colaborar y compartir entre las organizaciones para luchar contra el mundo del malware.
