España, epicentro del virus global

Telefónica fue la primera firma infectada en un acción que afectó a los hospitales británicos y a 72 países más. El origen podría ser EE UU o Reino Unido, según revelan los expertos a LA RAZÓN.

El Centro Nacional de Inteligencia confirmó ayer uno de los mayores ciberataques sufridos en España contra varias organizaciones, entre ellas la multinacional Telefónica, que se vio forzada a apagar los ordenadores de su red corporativa. El Centro Criptológico Nacional (CCN), adscrito al CNI, aseguró que varias empresas sufrieron «ataque masivo de ransomware» con origen, según las primeras investigaciones, en China. Sin embargo, los expertos consultados por LA RAZÓN aseguran que el origen del pirateo y bloqueo de miles de archivos de Windows podría estar en Estados Unidos o Reino Unido, origen de la mayoría de los ciberataques que reciben las empresas españolas.

«Se ha alertado de un ataque masivo de “ransomware” a varias organizaciones que afecta a sistemas Windows cifrando todos sus archivos y los de las unidades de red a las que estén conectadas e infectando al resto de sistemas Windows que haya en esa misma red», alertó la unidad especializada en este tipo de ataques del CNI. Nada más extenderse la alarma, varias grandes compañías –Vodafone, Indra e Iberdrola, entre otras– activaron los protocolos de ciberseguridad para este escenario sin que hasta el momento haya trascendido el alcance de los daños a los sistemas internos de todas estas compañías.

Según las fuentes de Telefónica consultadas por este diario, los correos que infectaron la red corporativa de la multinacional exigían abrir un archivo adjunto (habitualmente un archivo PDF). Con apariencia de tratarse de un correo electrónico institucional y escrito en perfecto español, al activarse el archivo adjunto el virus lanza un programa de cifrado de datos que identifica los principales archivos útiles del usuario. Una vez identificados los programas (en este caso de Windows) que el trabajador utiliza habitualmente, el virus procede al cifrado de los archivos más utilizados y exige mediante un vídeo explicativo cómo se tiene que producir el pago del rescate, en este caso en Bitcoin, la moneda virtual más extendida, por un importe de unos 275 euros al cambio actual por cada equipo infectado. Telefónica indicó que los ordenadores afectados fueron inmediatamente desactivados aunque los trabajadores continuaron desempeñando sus funciones, recurriendo para ello a dispositivos móviles sin conexión Wifi, un protocolo de seguridad que también activó Vodafone en sus oficinas. Las mismas fuentes de la operadora indicaron que la incidencia del pirateo no fue grave, no afectó al servicio de la compañía y, en ningún caso, se procedió al pago de las cantidades exigidas.

Por contra, otras fuentes consultadas indicaron a este diario que el ciberataque podría haber cifrado todas las cabinas de almacenamiento de datos, unos cinco millones de terabytes, incluidas las copias de seguridad. Sin embargo, la compañía ya estaría descifrando la información encriptada por el virus.

De hecho, tras España, Reino Unido reportó pocas horas más tarde el bloqueo masivo de los sistemas informáticos de numerosos hospitales y centros médicos británicos, principalmente en Inglaterra, como consecuencia de esta acción. El Servicio Nacional de Salud británico (NHS) fue víctima de un «ataque informático a gran escala» por un programa identificado como «Wanna Decryptor», posiblemente el mismo empleado en el ataque a Telefónica y otras empresas españolas, según las primeras evaluaciones de los analistas británicos en ciberseguridad.

Entre los hospitales afectados por el virus, que obligó a desviar a muchos pacientes de las urgencias, se encontraban todos los del distrito financiero de Londres, así como los del este de la capital británica. Los doctores tuvieron que trabajar durante la jornada literalmente con «lápiz y papel», las citas tuvieron que ser canceladas y las ambulancias desviadas a los centros más cercanos. El mensaje que aparecía en los ordenadores explicaba que «los sistemas estaban bajo control» de un grupo de secuestradores que exigían 300 dólares en Bitcoin a cambio de recuperar el control de los archivos encriptados.

El hospital de Hertfordshire, uno de los perjudicados, publicó un comunicado donde especificaba que durante horas ni siquiera se pudieron contestar llamadas entrantes. «Nada más descubrirse el problema, el hospital ha protegido sus sistemas mediante un apagado total. El hospital ha decidido aplazar todas las actividades que no involucren a los servicios de emergencia», señalaba la nota.