Respuestas al ciberataque que ha paralizado España

Desde hace unas horas en el entorno empresarial y de la ciberseguridad en España no se habla de otra cosa. A primera hora del día de hoy se ha hecho público un ataque masivo de tipo ransomware que ha afectado a un número elevado de empresas en España, siendo la principal víctima Telefónica.

El ransomware es una de las modalidades de ciberextorsión que más fuerza está cobrando en los últimos años. Se trata de un tipo de malware o software malicioso, cuyo ataque consiste en el cifrado de los archivos del sistema secuestrado, y la petición de un rescate a cambio de devolver los archivos a un formato legible para el ser humano.

Normalmente, los atacantes dejan instrucciones a la víctima para que, bajo amenaza de borrado permanente de la información, le pague un precio por liberarla. Estos precios suelen oscilar entre pequeñas cantidades, si la víctima es un particular, a millones, si la empresa atacada es una multinacional.

En el momento de redactar este análisis, la información que se ha publicado es la siguiente:

¿Qué ha ocurrido?

Se ha alertado sobre la existencia de ataque masivo de ransomware a varias empresas en España que afecta a sistemas Windows. El ransomware cifra todos los archivos del equipo atacado y los de las unidades de red a las que estén conectados, e infectando al resto de sistemas Windows que haya en esa misma red.

¿Cuáles son las consecuencias?

Por el momento no se conocen consecuencias para los usuarios de las empresas afectadas. En muchas de las sedes de las empresas se ha prohibido el uso de los dispositivos o se ha recomendado trabajar sin conectarse a la red. Desde algunos medios de comunicación se ha informado de que algunos equipos han mostrado pantallazos azules y errores a causa del ataque de la red, mientras que otros han mostrado rótulos e imágenes en referencia al rescate, pero esta información no ha sido todavía confirmada.

¿A quién afecta?

El primer afectado conocido ha sido Telefónica, pero se especula que muchas otras empresas podrían haber sufrido el ciberataque.

A nivel técnico, el ransomware, una versión de WannaCry, que infecta la máquina cifrando todos sus archivos y, utilizando una vulnerabilidad de ejecución de comandos remota a través de SMB, se distribuye al resto de máquinas Windows que haya en esa misma red.

Los sistemas afectados son: Microsoft Windows Vista SP2, Windows Server 2008 SP2 and R2 SP1, Windows 7, Windows 8.1, Windows RT 8.1, Windows Server 2012 and R2, Windows 10, Windows Server 2016.

¿Qué soluciones existen?

Actualmente desde la web del Centro Criptológico Nacional se puede seguir la última hora sobre las recomendaciones y medidas a tomar, quien ha calificado el nivel de alerta de muy alto. Se recomienda actualizar los sistemas a su última versión o parchear según informa el fabricante a través del canal disponible en su web. Y para los sistemas sin soporte o parche, como Windows 7, se recomienda aislar de la red o apagar según sea el caso.

¿Qué soluciones adicionales son recomendables?

Con independencia de las concretas acciones que se realicen en relación con el malware, es importante mantener los equipos (ya sean dispositivos electrónicos o sistemas) actualizados para reducir las vulnerabilidades, formar en materia de ciberseguridad a las personas que forman parte de la organización, y tener protocolos de actuación definidos tanto preventivos, como de actuación en caso de ciberataque.

Esta situación plantea una dificultad común al resto de ciberproblemas que se pueden dar en internet. Es un ciberproblema que afecta a las personas y empresas en el ciberespacio, para el cual no existe un ordenamiento jurídico aplicable, ni existe un tribunal competente capacitado para juzgar los actos cometidos. Los ciberdelitos no tienen un lugar claro y territorial donde se producen, por este motivo con los ordenamientos jurídicos actuales no se puede actuar con eficacia.

Con todo, esta ciberconducta puede ser perseguible en aquellos ordenamientos en los que se pueda identificar un lugar de origen de la conducta y un autor. En otros casos de ransomware, esta conducta se ha tipificado como un delito de estafa (artículo248 y siguientes del Código Penal) en concurso con un delito de daños informáticos (artículo 264 del Código Penal), entre otros. Pero sin duda de cara al futuro, requerirá la superación de las barreras territoriales que condicionan a los ordenamientos jurídicos a aplicarse a un territorio concreto delimitado por fronteras físicas.

Álvaro Écija es managing partner de Ecix Group