_
_
_
_
_

El Gobierno confirma un ciberataque masivo a empresas españolas

El Instituto Nacional de Ciberseguridad informa de que las primeras fases del virus que ha afectado a Telefónica y otras compañías han sido mitigadas

Fachada de la sede corporativa de Telefónica, hoy en el distrito de Las Tablas en Madrid.Vídeo: MARISCAL (EFE)

Una decena de grandes empresas españolas de servicios sufrieron este viernes un ciberataque masivo a través de un virus malicioso, de tipo ransomware, que bloquea los equipos y solicita un rescate para desbloquearlos. La compañía más afectada fue Telefónica, ya que varios centenares de ordenadores de su sede central del Distrito C de Madrid se vieron infectados. El Gobierno reconoció el ataque y se puso en contacto con las empresas afectadas para evaluar el impacto del mismo. Tanto las compañías como la Administración lanzaron un mensaje de tranquilidad al asegurar que el virus solo ha afectado a equipos corporativos pero en ningún caso a los servicios de telecomunicaciones, banca, energía y seguros de los millones de clientes de las empresas atacadas. El Instituto Nacional de Ciberseguridad (Incibe) ha informado a última hora de este viernes de que las primeras fases del ciberataque han sido mitigadas en España. 

Un virus malicioso (malware, en concreto del tipo ransomware) ha afectado esta mañana a los equipos del personal de Telefónica que trabaja en la sede central de la operadora en el Distrito C de Las Tablas, en Madrid. El virus provoca la detención del ordenador, cuya pantalla se vuelve azul, o lanza un mensaje pidiendo un rescate en bitcoins, inutilizando el equipo. Horas después, el Centro Criptológico Nacional (CCN), dependiente del Centro Nacional de Inteligencia (CNI), ha confirmado en una nota que se trata de un virus que afecta a un "elevado número de organizaciones".

"Se ha alertado de un ataque masivo de ransomware a varias organizaciones que afecta a sistemas Windows cifrando todos sus archivos y los de las unidades de red a las que estén conectadas, e infectando al resto de sistemas Windows que haya en esa misma red", dice el organismo.

Imagen del aviso recibido en la intranet de Telefónica.
Imagen del aviso recibido en la intranet de Telefónica.

También el Ministerio de Industria, del que depende el Incibe, ha reconocido en un comunicado que "el ataque ha afectado puntualmente a equipos informáticos de trabajadores de varias compañías", pero "no afecta ni a la prestación de servicios, ni a la operativa de redes, ni al usuario de dichos servicios".

El Incibe confirma que se trata de un un malware del tipo ransomware, que actúa sobre la vulnerabilidad de los componentes de ofimática de los PCs, y que, tras instalarse en el equipo, bloquea el acceso a los ficheros del ordenador afectado y pide un rescate. No compromete la seguridad de los datos ni se trata de una fuga de datos, insiste el organismo.

A última hora de este viernes, el Incibe aseguró en un comunicado  que las primeras fases del ciberataque ya han sido mitigadas principalmente con la emisión de diferentes notificaciones y alertas hacia los afectados, así como a potenciales víctimas de la amenaza, basadas fundamentalmente en medidas de detección temprana en los sistemas y redes, bloqueo del modus operandi del virus informático y la recuperación de los dispositivos y equipos infectados. Muchas de las empresas afectadas han activado correctamente sus protocolos y procedimientos de seguridad ante estas situaciones y están recuperando los sistemas y su actividad habitual, indicó el instituto. El Centro de Respuesta a Incidentes de Seguridad e Industria, operado de forma coordinada junto al Centro Nacional para la Protección de Infraestructuras Críticas, continúa trabajando con las empresas afectadas. 

El Incibe señala que adicionalmente otras compañías susceptibles a este tipo de amenaza han tomado ya medidas preventivas que impedirían la propagación del malware, y se han puesto en contacto con el CERTSI para disponer de nuevas acciones y medidas a adoptar.

La amenaza, que ha sido ya detectada en más de 10 países, podría estar afectando a más de 40.000 dispositivos y equipos, entre ellos Rusia, Ucrania y Reino Unido, no estando España entre los países más afectados, fuera de este top 10, según el Incibe.

Imagen del 'ramsware' que ha llegado a Telefónica.
Imagen del 'ramsware' que ha llegado a Telefónica.

Ataque a Telefónica

El responsable de Big Data e Innovación de Telefónica, Chema Alonso, ha reconocido en un tuit en su cuenta personal este ataque de ransonware. Alonso, anteriormente un hacker, es también el Responsable Global de Ciberseguridad y Datos, según aparece en su propio Linkedin, aunque el directivo de Telefónica ha asegurado que "la seguridad interna de Telefónica" no está entre sus responsabilidades directas, provocando una polémica en las redes sociales.

Según la nota del CCN, había un parche disponible para la vulnerabilidad de Windows, pero se  desconoce por qué Telefónica no actualizó sus sistemas. "La virulencia del ataque se debe probablemente a que algunas organizaciones no habían actualizado el parche hecho público por Microsoft", dice Alan Woodward, de la Universidad de Surrey, a la agencia SMC. Telefónica no ha querido responder a este asunto.

El ciberataque no ha tenido ninguna incidencia en los sistemas que controlan los servicios de Telefónica de Internet y telefonía fija y móvil para sus más de 15 millones de clientes. La compañía ha reconocido que a media mañana de este viernes se ha detectado "un incidente de ciberseguridad" que ha afectado los PCs de algunos empleados de la red corporativa interna. "De forma inmediata se ha activado el protocolo de seguridad para este tipo de incidencias con la intención de que los ordenadores afectados funcionen con normalidad lo antes posible", aseguran fuentes oficiales de la operadora.

Los creadores del ataque contra Telefónica se basaron en filtración de Wikileaks Vault 7, según fuentes de la ciberseguridad española. El portal publicó el pasado marzo documentos que mostraban las tácticas de la CIA para espiar a través de tabletas, teléfonos o televisores. Incluía datos de los denominados fallos de seguridad para realizar los ataques Día Cero (Zero Day) que exprimen errores en la programación para infiltrarse. La mayor parte de las actualizaciones de los fabricantes son para poner un parche en estos agujeros abren la puerta a los hackers a penetrar en los sistemas Windows, Mac e incluso Linux. Fuentes del Centro Criptológico Nacional aseguran que Telefónica ha detectado “de forma muy rápida” la agresión, del que se desconoce todavía la procedencia. “Ha sido un ciberataque corto pero muy serio”, añaden estas fuentes, informa Joaquín Gil.

El criptolocker, un tipo de virus que encripta e inutiliza los documentos, puede haber sido lanzado desde China, y no tenía como objetivo únicamente a Telefónica, aunque la operadora haya sido la primera afectada, según fuentes de la investigación, aunque este extremo no ha sido confirmado por el CCN.

Los creadores del ataque contra Telefónica se basaron en filtración de Wikileaks Vault 7, según fuentes de la ciberseguridad española

José Rosell socio director de S2 grupo, empresa experta en seguridad informática, ha señalado que en los últimos dos años se están produciendo miles de ataques tanto a empresas como a particulares de ransomware. En este caso, han empleado un método para que el virus se propague muy rápidamente aprovechando las redes corporativas de las empresas.

Marcos Gómez, subdirector de servicios de ciberseguridad del Incibe, explica que los hackers piden el rescate en bitcoins, la moneda virtual de Internet, para impedir que se encuentren los pagos, ya que la moneda virtual de Internet hace muy difícil seguir el rastro de los criminales. El Incibe ha detectado en los últimos meses ataques parecidos por parte de ciberdelincuentes que aprovechan la falsa identidad corporativa de entidades como la Agencia Tributaria o Correos para pedir un rescate, infectando los ordenadores. El miembro del Incibe puntualiza que la procedencia del virus puede ser simulada artificialmente, por lo que no es un asunto crucial, en referencia a las informaciones que apuntan a una procedencia china.

Mensajes de rescate

Las pantallas de los ordenadores de algunos empleados de Telefónica se han bloqueado con mensaje pidiendo un rescate de 300 dólares en bitcoins, y dando de plazo hasta el 19 de mayo para pagarlo si no se desea que se borren los archivos. En otros equipos las pantallas se han tornado azules, con mensajes del sistema en letras blancas, haciendo inoperativos los equipos. 

En compañías como Vodafone, Iberdrola o Gas Natural han pedido a sus empleados que apaguen el ordenador

En cuanto a la incidencia, en fuentes de la operadora se habla de en torno a “un centenar de equipos”, de los 40.000 ordenadores instalados, aunque en otras fuentes no oficiales, se señala que ha afectado a muchos más. 

Al tener conocimiento del ataque, la compañía ha remitido un correo interno a todos los empleados que trabajan en la sede en los que se les conmina a apagar el ordenador, “y a no encenderlo hasta nueva orden”. En la sede de Telefónica, trabajan unos 15.000 personas, entre trabajadores y visitantes.

En ese correo interno, el equipo de Seguridad de la compañía reconoce que se "ha detectado el ingreso a la red de Telefónica de un malware que afecta tus datos y tus ficheros", y se ruega al destinatario que avise a todos sus compañeros de la situación. También se aconseja a los afectados que desconecten sus móviles de la red wifi corporativa pero no hace falta apagarlo. También se ha avisado a los empleados utilizando el servicio de megafonía, solo destinado a situaciones de emergencia.

Otras compañías

Según algunas informaciones, el mismo virus estaría afectando a los equipos del personal corporativo de otras compañías como KPMG, BBVA, Santander, Iberdrola o Vodafone, han informado en varias cuentas de Twitter usuarios que decían ser empleados de estas firmas. Algunos de ellos han confirmado, incluso, haber recibido peticiones de rescate de sus datos en bitcoins. No obstante, ninguna de las empresas ha reconocido esos ataques.

En el caso de Vodafone, "se han chequeado todos los sistemas y equipos y no se ha observado ninguna anomalía", informó un portavoz de la operadora. No obstante, "y como medida preventiva", se ha ordenado a todos los empleados que salgan de Internet para evitar que, en caso de detectarse el virus, no se propague con facilidad.

BBVA ha desmentido "categóricamente" las informaciones, filtradas, dice una portavoz, por una web que ha publicado la información sin contrastar. El banco asegura que hay una "total normalidad" en sus sistemas. Santander asegura que tampoco ha tenido ningún problema, informa Íñigo de Barrón. KPMG también ha desmentido que esté sufriendo un ataque, y fuentes de CapGemini aseguran asimismo que no han detectado nada en sus sistemas y están trabajando "con normalidad", informa Javier Salvatierra.

Fuentes de Iberdrola sostienen que la empresa no ha sufrido ningún tipo de ataque y que han apagado los ordenadores y han enviado a casa a sus trabajadores por "medidas de precaución". "El ciberataque ha sido a Telefónica. Nosotros, como otras empresas afectadas, somos clientes de su red. Hemos apagado el sistema para prevenir posibles daños", afirma un portavoz de la empresa, informa Joana Oliviera. Indra, por su parte, asegura no haber recibido ningún ataque y sus trabajadores siguen en sus puestos, pero ha cortado la navegación por internet de forma preventiva.

No obstante, y en previsión de que el ciberataque a esas empresas se produzca en los próximos días, algunas de estas empresas se han puesto en contacto con Telefónica para pedirles asesoramiento para frenar esos ataques. Y también han solicitado a sus empleados que no se conecten a Internet. Fuentes del CNI asegura que, por el momento, ningún organismo oficial se ha visto afectado.

Infraestructuras críticas

El Centro de Respuesta a Incidentes Cibernéticos de Seguridad e Industria ha asegurado por su parte que, hasta el momento, la provisión de los servicios esenciales (energía, transporte, servicios financieros, servicios TIC, etc…) no se ha visto afectada. "No obstante, el protocolo de comunicación y de gestión de incidentes con los más de 100 operadores que ya forman parte del Sistema de Protección de Infraestructuras Críticas se mantiene activo y en alerta, a la espera de nuevos datos", ha añadido el Ministerio del Interior en una nota.

Regístrate gratis para seguir leyendo

Si tienes cuenta en EL PAÍS, puedes utilizarla para identificarte
_

Sobre la firma

Ramón Muñoz
Es periodista de la sección de Economía, especializado en Telecomunicaciones y Transporte. Ha desarrollado su carrera en varios medios como Europa Press, El Mundo y ahora EL PAÍS. Es también autor del libro 'España, destino Tercer Mundo'.

Más información

Archivado En

Recomendaciones EL PAÍS
Recomendaciones EL PAÍS
Recomendaciones EL PAÍS
_
_