Un ciberataque mundial golpea de lleno a las empresas y las administraciones españolas

Los servicios de inteligencia y diferentes departamentos del Ministerio del Interior y de Industria investigan ahora si las computadoras de la compañía de telecomunicaciones fueron el paciente cero (en la terminología informática) desde donde se infectó con este ransomware (programa malintencionado que pide un rescate por liberar los datos secuestrados) a centenares o miles de terminales de toda España, que fue golpeada con mayor virulencia que la mayoría de los países.

Eso sí, a pesar de la expansión inmediata del criptolocker por la geografía nacional, los piratas no lograron paralizar ningún «servicio esencial», aunque a media tarde y, como medida de precaución, el Gobierno central ordenó apagar la mayoría de los ordenadores de los organismos de la Administración General del Estado.

Solo Telefónica reconoció públicamente la infección de sus equipos después de que sus propios trabajadores distribuyeran en las redes sociales las alertas de apagar inmediatamente los ordenadores, los avisos por los altavoces insistiendo en que se bloquearan las terminales y las imágenes de multitud de pantallas congeladas donde los piratas exigían 300 dólares en bitcoins (moneda virtual y muy difícil de rastrear) antes del 15 de mayo a cambio de devolver la información bloqueada y bajo la amenaza de borrar todos los datos en la fecha límite del 19 de mayo.

Precauciones

Otro gigante empresarial del país, Iberdrola, también admitió haberse visto afectado por la amenaza, aunque no infectado. La eléctrica explicó que desconectó buena parte de sus ordenadores como medida de precaución, ya que sus servicios informáticos estaban servidos por Telefónica.

Pero en realidad fueron decenas de medianas y grandes empresas del país, así como instituciones públicas y privadas, las infectadas por el virus que pisó territorio nacional a primera hora de la mañana. El Centro Criptológico Nacional (CCN), el departamento del Centro Nacional de Inteligencia (CNI) encargado de las amenazas informáticas contra la seguridad nacional, fue el primero en dar la alerta de que el ciberataque era de una envergadura desconocida hasta ahora, mucho más allá de Telefónica. El CNI encendió todas las alarmas al avisar públicamente a las 13.41 horas de que se trataba de un «ataque masivo de ransomware» que estaba afectando a «un elevado número de organizaciones españolas», sin detallar en ningún momento la cantidad ni qué instituciones o empresas habían sido infectadas, porque el número de notificaciones que llegaban al CCN no paraba de crecer.

La situación a primera hora de la tarde se había vuelto muy peliaguda, hasta el punto de que el Centro de Seguridad e Industria (CERTSI) de Interior e Industria elevó al grado 5 («importancia crítica») la situación. Para entonces, los servicios de Inteligencia ya sabían que España había sido bombardeada durante la mañana con cerca de 350 ataques a la hora (más del doble de lo habitual), según el sistema Norse, de seguimiento en tiempo real de ciberataques. España -explicaron responsables de la seguridad del Estado- estuvo durante buena parte del día como el segundo país del mundo más atacado, solo por detrás de Estados Unidos.

Aunque el virus solo había infectado a «un puñado» de computadoras de organismos públicos, el Gobierno ordenó apagar a primera hora de la tarde la mayoría de las terminales de la Administración General del Estado, muchas de las cuales ya estaban inactivas un viernes por la tarde. El Ejecutivo tomó esta decisión después de que los expertos del CCN, del CERTSI, del Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC) y del Instituto Nacional de Ciberseguridad (Incibe) admitieran que no sabían cuántas computadoras de la Administración Central tenían instalados los parches que Microsoft puso a disposición de los usuarios el 14 marzo para enfrentarse a la virulencia de este virus, que es un WanaCrypt0r, una variante del temido WCry/WannaCry, con capacidad de infectar al resto de ordenadores de Windows que comparten red.

Además, advirtieron los responsables de la ciberseguridad española, los piratas eran especialmente peligrosos porque estaban usando directamente la información de la filtración Wikileaks Vault 7, que en marzo, además de desvelar las tácticas de la CIA, reveló con todo lujo de detalles las fallas de seguridad de Microsoft.

El Gobierno, a través de los diferentes departamentos concernidos, insistió en las llamadas a la calma. Industria reiteró que el ataque, aunque pueda hacer desaparecer la información, «no compromete la seguridad de los datos ni se trata de una fuga de datos». Extremo este último que el CNI no se atrevió a garantizar de manera pública.

El Ministerio del Interior, que informó de que mantuvo contacto estrecho con los más de cien operadores críticos incluidos en su red, garantizó que toda la información recabada por los servicios de ciberprotección acabará en manos de las fuerzas de seguridad por si pudieran perseguir penalmente a los piratas. En cualquier caso, descarta que se trate de una acción ciberterrorista.

SUR ya alertó el mes pasado (ver edición del 24 de abril) de que un virus informático que encriptaba los ordenadores y solicitaba un rescate para liberarlos se estaba cebando con las empresas de la provincia. Bernardo Quintero, fundador de Virustotal, la empresa malagueña de ciberseguridad que Google adquirió en 2012, advirtió entonces, a través de las páginas de este periódico, de que España llevaba tres semanas de continuos ataques mediante el envío masivo de spam (correo no deseado). «Con alguna excusa, como por ejemplo descargar una factura, nos piden abrir un fichero que contiene el código malicioso», explicó el experto.