Un virus malicioso (malware) ha afectado esta mañana a los equipos del personal de Telefónica que trabaja en la sede central de la operadora en el Distrito C de Las Tablas, en Madrid. El virus provoca la detención del ordenador, cuya pantalla se vuelve azul, inutilizando el equipo. Horas después, el Centro Criptológico Nacional (CCN), dependiente del Centro Nacional de Inteligencia (CNI), ha confirmado en una nota que se trata de un virus que afecta a un «elevado número de organizaciones».
«Se ha alertado de un ataque masivo de ransomware a varias organizaciones que afecta a sistemas Windows cifrando todos sus archivos y los de las unidades de red a las que estén conectadas, e infectando al resto de sistemas Windows que haya en esa misma red», dice el organismo.
El ciberataque no está teniendo ninguna incidencia en los sistemas que controlan los servicios de la operadora de Internet y telefonía fija y móvil para sus más de 15 millones de clientes. En este sentido, la compañía ha reconocido que sobre las doce del mediodía de este viernes, se ha detectado «un incidente de ciberseguridad» que ha afectado los PCs de algunos empleados de la red corporativa interna. «De forma inmediata se ha activado el protocolo de seguridad para este tipo de incidencias con la intención de que los ordenadores afectados funcionen con normalidad lo antes posible», aseguran fuentes oficiales de la operadora.
Los hackers autores del ataque contra Telefónica se han aprovechado de una vulnerabilidad publicada en una de las últimas filtraciones Wikileaks, según fuentes de la ciberseguridad española. Se trata de un agujero que permitió a los programadores idear un ataque de “día 0”, que es aquel que exprime un fallo de programación todavía inédito. Fuentes del Centro Criptológico Nacional aseguran que Telefónica ha detectado “de forma muy rápida” la agresión, del que se desconoce todavía la procedencia. “Ha sido un ciberataque corto pero muy serio”, añaden estas fuentes, informa Joaquín Gil.
El criptolocker, un tipo de virus que encripta e inutiliza los documentos, puede haber sido lanzado desde China, y no tenía como objetivo únicamente a Telefónica, aunque la operadora haya sido la primera afectada, según fuentes de la investigación, aunque este extremo no ha sido confirmado por el CCN.
El responsable de seguridad informática de Telefónica, Chema Alonso, ha reconocido en un tuit en su cuenta personal que se trata de un ataque deransonware, programas informáticos que secuestran el ordenador y datos y piden un rescate para liberarlos. Este tipo de malware, aunque con escasa incidencia en número, es el principal problema que sufren las compañías en el último año, según apuntan los expertos.
Mensajes de rescate
Las pantallas de los ordenadores de algunos empleados se han bloqueado con mensaje pidiendo un rescate de 300 dólares en bitcoins, la moneda virtual de Internet, y dando de plazo hasta el 19 de mayo para pagarlo si no se desea que se borren los archivos. En otros equipos las pantallas se han tornado azules, con mensajes del sistema en letras blancas, haciendo inoperativos los equipos.
En cuanto a la incidencia, en fuentes de la operadora se habla de en torno a “un centenar de equipos”, de los 40.000 ordenadores instalados, aunque en otras fuentes no oficiales, se señala que ha afectado a muchos más.
Al tener conocimiento del ataque, la compañía ha remitido un correo interno a todos los empleados que trabajan en la sede en los que se les conmina a apagar el ordenador, “y a no encenderlo hasta nueva orden”. En la sede de Telefónica, trabajan unos 15.000 personas, entre trabajadores y visitantes.
En ese correo interno, el equipo de Seguridad de la compañía reconoce que se «ha detectado el ingreso a la red de Telefónica de un malware que afecta tus datos y tus ficheros», y se ruega al destinatario que avise a todos sus compañeros de la situación. También se aconseja a los afectados que desconecten sus móviles de la red wifi corporativa pero no hace falta apagarlo. También se ha avisado a los empleados utilizando el servicio de megafonía, solo destinado a situaciones de emergencia.
Otras compañías
Según algunas informaciones, el mismo virus estaría afectando a los equipos del personal corporativo de otras compañías como KPMG, BBVA, Santander, Iberdrola o Vodafone, han informado en varias cuentas de Twitter usuarios que decían ser empleados de estas firmas. Algunos de ellos han confirmado, incluso, haber recibido peticiones de rescate de sus datos en bitcoins. No obstante, ninguna de las empresas ha reconocido esos ataques.
En el caso de Vodafone, «se han chequeado todos los sistemas y equipos y no se ha observado ninguna anomalía», informó un portavoz de la operadora. No obstante, «y como medida preventiva», se ha ordenado a todos los empleados que salgan de Internet para evitar que, en caso de detectarse el virus, no se propague con facilidad.
BBVA ha desmentido «categóricamente» las informaciones, filtradas, dice una portavoz, por una web que ha publicado la información sin contrastar. El banco asegura que hay una «total normalidad» en sus sistemas. Santander asegura que tampoco ha tenido ningún problema, informa Íñigo de Barrón. KPMG también ha desmentido que esté sufriendo un ataque, y fuentes de CapGemini aseguran asimismo que no han detectado nada en sus sistemas y están trabajando «con normalidad», informa Javier Salvatierra.
Fuentes de Iberdrola sostienen que la empresa no ha sufrido ningún tipo de ataque y que han apagado los ordenadores y han enviado a casa a sus trabajadores por «medidas de precaución». «El ciberataque ha sido a Telefónica. Nosotros, como otras empresas afectadas, somos clientes de su red. Hemos apagado el sistema para prevenir posibles daños», afirma un portavoz de la empresa, informa Joana Oliviera.
No obstante, y en previsión de que el ciberataque a esas empresas se produzca en los próximos días, algunas de ellas se han puesto en contacto con Telefónica para pedirles asesoramiento para frenar esos ataques. Y también han solicitado a sus empleados que no se conecten a Internet.
FUENTE: http://tecnologia.elpais.com/tecnologia/2017/05/12/actualidad/1494585889_857386.html