Los equipos de la sede central de Telefónica en el Distrito C de Las Tablas, Madrid, han sufrido un ataque informático con ransomware. Muchos empleados han tenido que dejar de trabajar ya que parte de la red informática de la compañía estaba bloqueada (se habla de cientos de ordenadores bloqueados aunque otras fuentes cercanas aumentan considerablemente la cifra). Se habla, además, de que hay un correo interno en el que se les pide a los trabajadores que apaguen el ordenador “y a no encenderlo hasta nueva orden”.
Fuentes cercanas a Telefónica han afirmado que por lo que parece el virus es una versión de WannaCry. Este gusano informático lo que hace es infectar un ordenador cifrando todos sus archivos para, después, extenderse al resto de ordenadores (con Windows) que estén conectados en red.
Aunque no está confirmado, según las primeras investigaciones, el origen del ataque informático está en China y, según fuentes cercanas, se está pidiendo un rescate de 300 dólares (unos 275 euros) en moneda bitcoin. Se exige que sea antes del 15 de mayo o, de lo contrario, la cifra subirá y, si se sigue sin pagar, el día 19 se procederá a borrar todos los archivos a los que se ha tenido acceso. Se trata de una táctica común con ransomware.
Ataque a nivel internacional
Aunque pueda parecer que el ataque ha sido puntualmente en España y el Telefónica, ya se están viendo efectos del mismo en otros países. Se trata de un ciberataque a nivel mundial de WanaCrypt0r, el ransomware que es una nueva versión del conocido WCry/WannaCrt. Ya se conoce que el virus está presente en Tusia, Taiwán, España, Alemania Japón y Turquía.
Otras compañías
Aunque no hay nada confirmado, se está hablando de que otras compañías como Vodafone, BBVA, Santander o Iberdrola… han podido ser objetivo también del ataque aunque, por el momento, no lo han reconocido. Desde Vodafone, un portavoz explicaba que “se han chequeado todos los sistemas y equipos y no se ha observado ninguna anomalía”.
Iberdrola, según parece, ha apagado los ordenadores y pedido a los trabajadores que dejen de trabajar mientras que Gas Natural ha apagado los equipos de sus empleados en Madrid después de que apareciese el mensaje del virus.
Sin embargo, Chema Alonso, jefe de seguridad de Telefónica, afirma en un tuit:
Del CCN-CERT “Ataque masivo de ransomware que afecta a un elevado número de organizaciones españolas” https://t.co/G0HRi77nZa pic.twitter.com/GE8hJGuvnQ
— Chema Alonso (@chemaalonso) 12 de mayo de 2017
Por su parte, el Ministerio de Energía, Turismo y Agenda Digital, a través del INCIBE (Instituto Nacional de Ciberseguridad), ha dicho que “el ataque ha afectado puntualmente a equipos informáticos de trabajadores de varias compañías”.
Ransomware
Según explica la Wikipedia, ransomware viene de combinar dos palabras del inglés: ransom (rescate) y ware (software). Se trata de un tipo de programa informático malintencionado que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción. Algunos tipos de ransomware cifran los archivos del sistema operativo inutilizando el dispositivo y coaccionando al usuario a pagar el rescate.
Se hicieron populares en Rusia y su uso creció internacionalmente en junio del 2013. La empresa McAfee señaló que solamente en el primer trimestre del 2013 había detectado más de 250 tipos de ransomware.