Ciberataque a Telefónica

Telefónica sufre un 'hackeo' masivo y el CNI hace saltar las alarmas: cómo y a quién afecta

Los autores del ataque piden un rescate en bitcoin para recuperar los archivos bloqueados

Empresas, países y expertos confirman que ya el ataque está bajo control

Telefónica ha sufrido un ataque de ramsonware en la mañana de el viernes en su sede corporativa. El grave incidente ha obligado a la operadora a avisar por megafonía a sus empleados de que apagaran los ordenadores por un problema de vulnerabilidad. En los avisos, que se han ido reiterando a lo largo de toda la mañana, la compañía ha pedido también a los trabajadores que desconectasen sus teléfonos móviles de las redes wifi de la empresa.

Al parecer, el problema ha sido causado por un ramsonwareun tipo de programa informático malintencionado que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción. Fuentes internas de la teleco aseguran que los autores del ciberataque habrían pedido ya a la operadora un rescate para eliminar las restricciones a los archivos y equipos secuestrados. El pago se exige en bitcoin y, según ha precisado la empresa de seguridad Sophos, los ciberdelincuentes habrían solicitado en un principio un pago de 300 dólares por ordenador hackeado. Una cifra que iría aumentando según la empresa dejase pasar las horas.

Bajo control

El ciberataque que ha afectado desde el viernes a más de cien países ya ha sido controlado, aseguró hoy a Efe Vicente Díaz, analista de la firma rusa de seguridad cibernética Kaspersky. “Está controlado. El código malicioso en particular que se utilizó para el ciberataque ya ha sido neutralizado. El viernes cogió por sorpresa a mucha gente. Pero en cuanto las empresas entendieron lo que estaba pasando, todo el mundo corrió a encontrar una solución”, segúnDíaz.

El especialista cree que el hecho de que el ciberataque “casi planetario” fuera “portada” en todos los medios de información general hizo que la comunidad internacional se tomara muy en serio el ataque y sus consecuencias. “Ha sido revelador para mucha gente. En siete u ocho años no había habido otro igual”, señaló.

Ataque global

La alarma se disparó en todo el mundo. El software malicioso de tipo ramsonware, que también había afectado a otras grandes empresas españolas, se había extendido a escala global. Jakub Kroustek, especialista de Avast indicó en su blog que se habían detectado 57.000 ataques del WanaCrypt0r 2.0 en todo el mundo, con Ucrania, Rusia y Taiwán como principales objetivos. También Costin Raiu, director global del equipo de investigación de Karspesky Lab, señaló en Twitter que su empresa había detectado 45.000 ataques ramsonware en 74 países alrededor del mundo. Entre los principales afectados, la sanidad pública británica (NHS) donde el virús dejó paralizado a 16 hospitales.

En España el Centro Criptológico Nacional (CCN Cert), dependiente del Gobierno (CNI), ha emitido un comunicado en el que se alerta de un ataque masivo de ramsonware a varias organizaciones españolas que afecta a sistemas Windows, cifrando todos sus archivos, y los de las unidades de red que estén conectadas, infectando al resto de equipos con Windows que haya en esa misma red. Los sistemas afectados son Windows 7, 8.1, 10, Server 2016, Vista SP2, Server 2008 SP2 y Server 2012. El organismo ha calificado la alerta de "nivel muy alto" y ha recomendado actualizar los sistemas a su última versión o parchear según informa Microsoft, fabricante de Windows.

En este sentido, el organismo español recuerda que Microsoft ya informó de esta vulnerabilidad el día 14 de marzo en su boletín y que hace unos días se hizo pública una prueba de concepto que parece que ha sido el desencadenante de la campaña.

Alta tensión en Telefónica

El hackeo sufrido por Telefónica ha afectado tanto a la corporación como a las instalaciones de otras filiales del grupo que tienen su sede en el Distrito C. En principio, se sospecha que el agujero de seguridad se habría producido tras abrir un empleado un link que no debía en un correo electrónico. A partir de ahí, el virus se habría extendido por la compañía.  

Ante esta situación, que ha generado un estado de alta tensión en algunas dependencias, la compañía ha ordenado a los empleados que mantengan los ordenadores apagados hasta nueva orden y se marchen a su casa. Además, han insistido por megafonía que "desde estos momentos y hasta nueva orden, no se podrán sacar equipos informáticos del complejo". La empresa ha indicado también a sus trabajadores que enviarán un correo electrónico a través del móvil cuando la situación se haya normalizado.

Sobre las 15:00 horas, la teleco confirmó la incidencia. En un comunicado, Telefónica dijo que a media mañana del día de hoy se ha detectado un incidente de ciberseguridad que ha afectado los PCs de algunos empleados de la red corporativa interna de la compañía. “De forma inmediata, se ha activado el protocolo de seguridad para este tipo de incidencias con la intención de que los ordenadores afectados funcionen con normalidad lo antes posible”, señaló la empresa. Esta insiste en que sus clientes no se han visto afectados.

Esta tarde Movistar Venezuela ha dicho a través de su cuenta oficial de Twitter que el Grupo Telefónica ha activado el protocolo mundial de seguridad informática por lo que “nuestros sistemas están temporalmente fuera de servicio”. La empresa indicó que la contingencia impedía procesar transacciones en los centros de servicio, call center y a través de la aplicación Mi Movistar. La operadora, no obstante, deja claro que los servicios funcionaron sin inconvenientes en todo el país.

Desconexiones preventivas

El ciberataque ha obligado a tomar medidas drásticas y urgentes a otras grandes empresas, algunas también del Ibex 35, entre ellas figura Ferrovial.

En un comunicado interno, esta compañía ha explicado que "por una amenaza global de seguridad procedemos a cortar todos los accesos a internet así como el correo electrónico hacia y desde el exterior". La empresa señala que algunas aplicaciones también podrían verse afectadas. Ferrovial también advierte de que en cuanto se estabilice y se resuelva dicha amenaza procederá a restablecer los servicios. La compañía se disculpa y ha lamentado las molestias que esta situación pueda ocasionar. 

A su vez, la consultora Everis ha ordenado a sus empleados que apaguen los ordenadores y no los enciendan hasta recibir noticias del departamento de seguridad. En un comunicado interno, Everis indica que se ha detectado un ataque de ramsonware en “varios de nuestros clientes”. La consultora señala que como medida preventiva “vamos a dar de baja los sistemas internos que puedan verse impactados o que puedan ser utilizados para la propagación”. La firma pide a los empleados que se mantengan conectados a través de sus smartphones o tabletas.

Ante el ataque, también Indra ha decidido tomar medidas y ha cortado a sus empleados la navegación por internet, y la entidad pública Red.es ha bloqueado los accesos externos de su red, además de indicar a sus empleados que trabajen solo con la red interna.

Pero ha habido muchas más empresas y bancos que se han visto salpicados por el ciberataque, como es el caso de Gas Natural Fenosa y de Iberdrola. Sobre las 12 de la mañana, los servicios de seguridad de ambas eléctricas han dado la orden de apagar los ordenadores, en reiterados mensajes a través de megafonía a sus empleados. Muchos se han marchado después a casa. Todavía a estas horas, mantienen apagados los equipos, aseguran que "por prudencia".

Iberdrola y Gas Natural, que confirman que el ciberataque no ha afectado a sus centros de producción ni a la seguridad de suministro, se escudan en que se trata de una acción contra Telefónica y no contra ellas, pero que les ha afectado indirectamente como usuarias de la red de la operadora. Casualmente, el consejero delegado de Gas Natural, Rafael Villaseca se encontraba en esos momentos dando una conferencia ante analistas de presentación de los resultados trimestrales.

Otras corporaciones podrían haberse visto afectadas por el ciberataque como BBVA, Santander, Cap Gemini, KPMG y Vodafone. Aunque algunas han corrido para desmentirlo categóricamente. Es el caso del BBVA, KPMG y Capgemini. Un portavoz del BBVA ha asegurado a CincoDías que lo publicado por algunos medios es absolutamente falso. "Aquí la situación es de total normalidad. Nuestro centro de alerta temprana está siempre mirando cualquier contratiempo que pueda surgir, pero no ha detectado absolutamente nada". 

También Capgemini ha enviado un comunicado en el que precisa que la compañía desmiente que haya sufrido algún ataque. "No hemos tenido ninguna incidencia de este tipo y toda la empresa está funcionando con total normalidad". Por su parte, fuentes de Vodafone han precisado a este periódico que la compañía no se ha visto afectada por el ataque. La operadora, no obstante, ha decidido tomar medidas preventivas para evitar hackeada. Así, Vodafone ha decidido cortar el acceso a internet de los empleados. En esta misma línea, fuentes del sector aseguran que algunas grandes empresas han optado por llevar a cabo apagados preventivos de sus ordenadores para evitar el ciberataque.

Lo que parece claro, según los expertos de ciberseguridad consultados, es que el hackeo busca infectar aleatoriamente a todas las organizaciones que pueda (aquellas que no han actualizado sus sistemas), pero que no hay un ataque selectivo ni una intención de afectar a infraestructuras críticas.

El Ministerio trabaja con las empresas afectadas

El Ministerio de Energía, Turismo y Agenda Digital, a través del Instituto Nacional de Ciberseguridad (Incibe), está trabajando con las empresas afectadas con el objetivo de solucionar cuanto antes la incidencia. En un comunicado, el departamento que dirige Álvaro Nadal señala que “por la información disponible hasta el momento, el ataque ha afectado puntualmente a equipos informáticos de trabajadores de varias compañías”, si bien precisa que no afecta ni a la prestación de servicios, ni a la operativa de redes, ni al usuario de dichos servicios.

“Desde el Incibe, en coordinación con las diferentes administraciones, se ha elaborado un diagnóstico de lo ocurrido en las empresas afectadas”, indica el Ministerio, que añade que el instituto está ofreciendo ayuda para solucionar los problemas y se asesora a otras compañías en una labor de prevenión para que no se vean afectadas por este ataque.

Finalmente, indica que los equipos de respuesta a incidentes cibernéticos nacionales están en contacto con las organizaciones afectadas, así como el Centro Nacional para la Protección de las Infraestructuras Críticas del Ministerio del Interior.

Cibercriminales en busca de beneficio económico

“A día de hoy, los ataques de ransomware son uno de los más peligrosos porque buscan sacar un beneficio económico, y ello permite a las organizaciones que se dedican a crear este tipo de programas maliciosos estar muy profesionalizadas porque por esta vía logran obtener muchos recursos”, asegura a CincoDías Eusebio Nieva, director técnico de Check Point en España y Portugal.

Este experto explica que en la mayoría de los casos este tipo de software malicioso se introduce en las empresas por una vía muy simple. A través de un correo electrónico “aparentemente inocente” que se envía a un usuario. Dicho correo lleva adjunto un archivo que simula ser una factura, un curriculum, una carta de despido… cualquier cosa que pueda resultar curiosa para el usuario. "Cuando este intenta abrirlo, se desata el desastre porque el archivo lleva un pequeño programa que se encarga de descargar el malware y cifrar todos los archivos del disco del equipo. Y acto seguido pide un rescate".

Una anomalía adicional de este tipo de software malicioso es que es capaz de autorreplicarse en todos los equipos que estén en la misma red a través de una vulnerabilidad, en este caso conocida y ya parcheada por Microsoft. “De este modo, y sin que muchos usuarios tengan que pinchar el correo, logran infectar muchos equipos de una compañía. Y esto es lo que ha ocurrido a empresas como Telefónica. De ahí la medida drástica que ha tomado esta compañía y otras españolas, porque la velocidad de contagio ha sido en este caso muy elevada”.

Nieva recomienda no pagar el rescate en estos casos para recuperar los archivos bloqueados. “Primero, por un tema moral, porque si no se da pie a los ciberdelincuentes a llevar a cabo más ataques. Y, en segundo lugar, porque no hay garantía de lograr liberar lo que han encriptado. Nuestros estudios muestran que solo se recupera lo perdido en el 30-40% de los casos”.

Para evitar este tipo de ataques, el experto de Check Point recomienda a las empresas tener unas medidas protectoras adecuadas que detecten este tipo de incidencias y tener planes de contingencia. “Es necesario tener back-up de todos los archivos y ficheros. Es verdad que es muy costoso tener copia de todo y que puedes perder un día de trabajo, pero al final recuperas los datos”.

Normas
Entra en EL PAÍS