Un ciberataque golpea a empresas, hospitales y escuelas a nivel mundial

sábado 13 de mayo de 2017 05:34 GYT
 

Por Costas Pitas y Carlos Ruano

LONDRES/MADRID (Reuters) - Un ataque cibernético a nivel mundial que se cree que aprovecha herramientas de hacking que han sido desarrolladas por la Agencia Nacional de Seguridad de Estados Unidos ha infectado decenas de miles de ordenadores en casi 100 países, interrumpiendo el sistema de salud de Gran Bretaña y los servicios de la compañía de paquetería FedEx.

Los extorsionadores engañaron a las víctimas para que abrieran archivos maliciosos adjuntos en correos electrónicos que parecían contener facturas, ofertas de trabajo, advertencias de seguridad u otros archivos legítimos.

El ransomware cifró los datos en los ordenadores, exigiendo pagos de entre 300 y 600 dólares para restaurar el acceso. Los investigadores de la seguridad dijeron que observaron que algunas víctimas habían pagado con monedas digitales (bitcoin), aunque no sabían qué porcentaje habían pagado a los extorsionadores.

Los investigadores del fabricante de software de seguridad Avast dijeron que habían observado 57.000 infecciones en 99 países, siendo Rusia, Ucrania y Taiwán los principales objetivos.

Los países asiáticos no informaron de violaciones importantes el sábado, pero funcionarios de la región se esforzaron por verificar y la extensión total del daño puede no ser conocida durante algún tiempo.

La agencia oficial china de noticias Xinhua dijo que algunas escuelas secundarias y universidades habían sido afectadas, sin especificar cuántas o identificarlas.

Los ataques más perturbadores fueron en Gran Bretaña, donde los hospitales y clínicas se vieron obligados a rechazar a los pacientes después de perder el viernes el acceso a los ordenadores.

El operador internacional de envíos de paquetería FedEx Corp dijo que algunos de sus ordenadores con Windows también estaban infectados. "Estamos implementando medidas para arreglarlo lo más rápido posible", dijo en un comunicado.

DE ARGENTINA A ESPAÑA

Sólo un pequeño número de organizaciones con sede en los Estados Unidos fue golpeado porque los hackers parecen haber comenzado la campaña en Europa, dijo Vikram Thakur, director de investigación del fabricante de software de seguridad Symantec.

En el momento en que volvieron su atención a los Estados Unidos, los filtros de spam identificaron la nueva amenaza y señalaron que los emails cargados de ransomware eran maliciosos, agregó Thakur.

Las infecciones del gusano parecían haber caído significativamente después de que un investigador de seguridad comprara un dominio al que se estaba conectando el malware, lo que por casualidad socava la eficacia del virus.

Activar el dominio parecía haber atrofiado la propagación del gusano, dijo Thakur el sábado.

"Los números son extremadamente bajos y bajan rápidamente", dijo, aunque advirtió que cualquier cambio en el código original podría llevar al gusano a volar de nuevo.

El Departamento de Seguridad Nacional de Estados Unidos dijo a última hora del viernes que estaba al tanto de los informes sobre el ransomware, estaba compartiendo información con socios nacionales y extranjeros y estaba dispuesto a prestar apoyo técnico.

La compañía de telecomunicaciones Telefónica fue uno de los muchos objetivos en España, aunque dijo que se limitaba a algunos ordenadores en una red interna y que no había afectado a clientes o servicios. Portugal Telecom y Telefónica Argentina dijeron que también fueron objeto.

Las empresas de seguridad privadas identificaron el ransomware como una nueva variante de "WannaCry" que tiene la capacidad de propagarse automáticamente a través de grandes redes explotando un error conocido en el sistema operativo Windows de Microsoft.

Los hackers, que no se han presentado para reclamar la responsabilidad o ser identificados, probablemente lo convirtieron en un "gusano" o malware de propagación propia, explotando un fragmento de código NSA conocido como "Eternal Blue" que fue lanzado el mes pasado por un grupo conocido como "The Shadow Brokers", dijeron investigadores de varias firmas privadas de seguridad cibernética.

"Este es uno de los mayores ataques mundiales de ransomware que la comunidad cibernética ha visto", dijo Rich Barger, director de investigación de amenazas de Splunk, una de las firmas que ligaron WannaCry y la NSA.

"The Shadow Brokers" lanzaron Eternal Blue como parte de una serie de herramientas de hacking que dijeron perteneció a la agencia de espionaje de los Estados Unidos.

Microsoft dijo que estaba impulsando las actualizaciones automáticas de Windows para defender a los clientes de WannaCry. Emitió un parche el 14 de marzo para protegerlos de Eternal Blue.

"Hoy en día nuestros ingenieros agregaron detección y protección contra el nuevo software malicioso conocido como Ransom: Win32.WannaCrypt", dijo Microsoft en un comunicado el viernes, agregando que estaba trabajando con los clientes para proporcionar asistencia adicional.

MOMENTOS SENSIBLES

La propagación del virus culminó una semana de agitación cibernética en Europa, que comenzó la semana anterior cuando los hackers publicaron una serie de documentos de campaña vinculados al candidato francés Emmanuel Macron justo antes de la segunda vuelta electoral en la que fue elegido presidente de Francia.

El miércoles, los hackers interrumpieron los sitios web de varias compañías de medios de comunicación francesas y del gigante aeroespacial Airbus. Además, el incidente ocurrió cuatro semanas antes de las elecciones generales británicas en las que la seguridad nacional y la gestión del Servicio Nacional de Salud (NHS) estatal son cuestiones importantes.

Las autoridades de Gran Bretaña han estado preparadas para ataques cibernéticos en el período previo a la votación, como ocurrió durante las elecciones estadounidenses del año pasado y en vísperas de la votación en Francia.

Pero esos ataques - atribuidos a Rusia, que los ha negado repetidamente - siguieron un modus operandi diferente que implicaba penetrar las cuentas de individuos y organizaciones políticas y luego liberar el material hackeado.

El viernes, los ministerios de Interior y Emergencias de Rusia, así como su mayor banco, Sberbank, dijeron que fueron blanco de ataques. El Ministerio del Interior dijo que unos 1.000 ordenadores habían sido infectadas pero que habían localizado el virus.

Aunque los casos de extorsión cibernética han estado aumentando durante varios años, hasta la fecha han afectado a organizaciones de tamaño pequeño a mediano.

"Ver a una gran compañía de telecomunicaciones como Telefónica ser golpeada va a preocupar a todo el mundo", dijo Chris Wysopal, director de tecnología de Veracode.

 
Una ambulancia espera junto a una camioneta policial fuera del departamento de emergencias del Hospital St Thomas, en Londres, Reino Unido, May 12, 2017. Los hospitales británicos se vieron obligados a rechazar pacientes y cancelar sus citas el viernes, después de que un amplio ciberataque del tipo "ransomware" afectó a algunos sistemas informáticos del servicio estatal de salud. REUTERS/Stefan Wermuth