El virus WannaCry amenaza con una segunda oleada de infecciones

Responsables de seguridad informática en todo el mundo tratan de activar mecanismos de protección ante el temor de que el inicio de la semana reactive la infección por el virus Wannacry, que arrancó el viernes a mediodía, y que ha alcanzado dimensión global, con 150 países y decenas de miles de ordenadores afectados, cerca de 200.000, según Europol.  Desde diversas fuentes se advierte de que nuevas versiones del malware se propagarán con bastante probabilidad desde este lunes.

Empresas y organizaciones públicas europeas han dado detalles sobre el impacto del ataque y tratan de volver a la normalidad.   El Servicio Nacional de Salud británico (NHS), una de las instituciones más afectadas por el ataque del viernes, evalúa el impacto, aunque ha pedido a los pacientes que no cancelen de momento sus citas médicas. El viernes, el NHS se vio obligado a cancelar intervenciones quirúrgicas, retrasar citas y desviar ambulancias, aunque los historiales de los pacientes, según el ministerio de Interior, no se vieron comprometidos.

Renault informó este lunes de que se ha reanudado la actividad en “la práctica totalidad de las plantas” en las que se había decidido una suspensión total o parcial. Un portavoz del grupo automovilístico francés insistió a Efe en el mensaje de que “la práctica totalidad de las plantas han recuperado la actividad”, aunque se negó a decir cuáles. El domingo se supo, a través del testimonio de empleados y representantes sindicales de la planta que Renault tiene en la ciudad francesa de Douai, cerca de la frontera belga, que sus cadenas de montaje iban a estar paradas hoy debido a los ciberataques.

 En España, Telefónica (la primera empresa afectada a través de su red corporativa) ha asegurado que su red de telecomunicaciones y servicios asociados no se han visto afectados o comprometidos en ningún momento. La empresa insiste en que su red de telecomunicaciones y los servicios asociados que ofrece a sus clientes no se vieron afectados.

Impacto en Asia

Preocupa especialmente la situación en Asia, dado que el ataque empezó ya en la madrugada del sábado para esa zona horaria. Por el momento algunas institucions de Gobierno y compañías asiáticas  han reconocido interrupciones causadas por el virus WannaCry, pero hasta ahora el ataque está siendo contenido.

En China, Petrochina ha asegurado que los sitemas de pago en algunas de sus gasolineras se han visto agectadas, si bien los responsables han podido ya restaurar el sistema. También otras instituciones, como policía y autoridades de tráfico, se han visto afectados por el ataque, según recoge Reuters de blogs oficiales de estas autoridades. El periódico oficial China Daily ha señalado que en la firma china de tecnología Qihoo 360, al menos 200.000 ordenadores han sido afectados.

En Japón, el Centro nipón de Coordinación del Equipo de Respuesta de Emergencia de Ordenadores ha indicado que alrededor de 2.000 ordenadores de 600 compañías diferentes se vieron afectados por el ransomware WannaCry. El grupo Hitachi ha confirmado problemas en los correos electrónicos durante el fin de semana, si bien están trabajando para resolver las incidencias. Nissan Motor aseguró a través de un comunicado que algunas de sus plantas fueron objeto del ataque, pero que su negocio no ha sufrido ningún impacto. El Ayuntamiento de Osaka (oeste de Japón) continúa estudiando el caso después de que su página web dejara de estar accesible a partir de las 10.00 de hoy hora local (01.00 GMT), según el diario Nikkei.

En los mercados financieros no ha habido impacto de las noticias sobre el ataque. Un responsable de la Bolsa de Hong Kong ha asegurado a Reuters que los sitemas funcionan con normalidad y que, de momento, no se ha advertido ninguna incidencia.

En Taiwánla eléctrica estatal Taipower sufrió ataques por el “ransomware” WannaCry, aunque no ha afectado al suministro eléctrico de la isla, según informó la compañía en una rueda de prensa. “Los ordenadores, que en su mayoría están reparados ya, se utilizaban principalmente para asuntos administrativos, y tras detectar el ataque el sábado fueron desconectados”, explicó hoy Lin Te-fu, portavoz de Taipower, según recoge Efe.     .

El Gobierno de Australia por su parte ha afirmado este lunes que el país no ha sufrido daños de relevancia por el ransomware. El viceministro para Seguridad Cibernética, Dan Tehan, ha detallado que tres empresas australianas han sido víctimas del ataque, si bien ha indicado que el número podría aumentar a lo largo del día, informa Efe. 

En Corea del Sur, la oficina de la presidencia señaló que en el país se han detectado nueve casos de ransomware, si bien no se han proporcionado detalles sobre dónde se descubrieron

En Pekín, autoridades de la capital han anunciado este lunes que han descubierto una nueva mutación del virus -WannaCry 2.0-, que se ha saltado las medidas de seguridad implantadas tras el primer ataque. Diversos organismos responsables de tecnologías de la información de Pekín emitieron ayer un comunicado en el que se indica que no puede evitarse una mayor propagación de este “ransomware”, que aprovecha los agujeros de seguridad del sistema operativo Microsoft Windows y limita o impide a los usuarios el acceso al ordenador o ficheros a menos que paguen un rescate.

El virus Wannacry se ha extendido con inusitada rapidez, pidiendo a los usuarios un rescate a cambio de desbloquear los ordenadores afectados y sus archivos. Los expertos alertan de que el riesgo no ha pasado. “Tememos que los números [de afectados] crezcan cuando los trabajadores lleguen a su puesto el lunes y enciendan sus computadoras”, apuntó este domingo un portavoz de Europol.

Por su parte, Microsoft pidió a los gobiernos de todo el mundo ver el ciberataque global como una “llamada de atención” sobre sus métodos de “acumulación de vulnerabilidades”. El presidente y principal asesor legal de Microsoft, Brad Smith, advirtió en el blog oficial de la compañía tecnológica de que el acopio de vulnerabilidades informáticas por parte de los gobiernos provoca daños generalizados cuando la información se filtra.

La propagación del virus obedece a que, aun tratándose de un ataque llamado ransomware, es decir un software que encripta (“secuestra”) los datos de los ordenadores infectados y pide un rescate, tiene a la vez características de worm (gusano), es decir, un programa que una vez instalado se transmite a otros equipos vulnerables. No necesita que se abra un archivo ni de otra intervención humana. “Cuando penetra en una infraestructura, no hay forma de páralo”, declaró a Reuters un investigador de la firma de ciberseguridad Crowdstrike. La petición de rescate está entre los 300 y los 600 dólares, si bien hasta el domingo a mediodía los secuestradores solo habían obtenido 32.500 dólares.

A ello ayudó un informático británico de 22 años, solo conocido por su perfil de Twitter @MalwareTechBlog, que frenó el virus al registrar una dirección de Internet a la que el software malicioso trataba de conectarse antes de activarse. Ganó un tiempo precioso para que las organizaciones pudieran establecer cortafuegos, sobre todo en EE UU. No obstante, la amenaza sigue siendo inminente. “WannaCrypt 1 es parable; la versión 2,0 eliminará los errores. Solo estás seguro si parcheas [tu equipo] tuiteó @MalwareTechBlog. A la luz del éxito de Wanna Cry, es más que probable que sus creadores u otros piratas opten por replicar y mejorar este software.

Otra de sus características es que, según varias fuentes de la comunidad se ciberseguridad (incluido el propio @MalwareTech),citadas por Reuters, los piratas han aprovechado un agujero de seguridad en Windows que había sido desarrollado por la NSA, Agencia Nacional de Seguridad de EE UU. En marzo un grupo anónimo de hackers denominado Shadow Brokers desveló varias herramientas informáticas desarrolladas por la NSA, una de las cuales era el código Eternal Blue, usado para este ataque.

El código Eternal Blue hacía particularmente vulnerables los ordenadores conectados a redes locales (LAN), lo que explicaría el impacto de WannCry sobre infraestructuras corporativas o institucionales. En el mismo marzo Microsoft lanzó un parche contra este código, pero los equipos no actualizados, ya sea por obsolescencia, complejidad técnica o porque no se pueden apagar para mantenimiento, son vulnerables. El viernes Microsoft lanzó un nuevo paquete de contramedidas.

De hecho, el Instituto Nacional de Ciberseguridad ha recordado que el virus se propaga a través de un agujero en los sistemas operativos de Windows y aconseja (al igual que todos los organismos homólogos) actualizarlo con el parche correspondiente de Microsoft.