La red corporativa de Telefónica fue atacada ayer y sus empleados se vieron obligados a dejar de trabajar y apagar los ordenadores tras ser informados de un ataque a los servidores de la empresa. Pero este no ha sido un caso local. El ciberataque ha afectado por el momento a más de 99 países y 40.000 dispositivos en todo el mundo, incluida la Seguridad Social británica (NHS).

La empresa rusa de ciberseguridad Kaspersky estima que el reciente ciberataque ha golpeado a 99 países. “Hasta el momento hemos registrado 45.000 ataques (…) en 99 países. Las cifras siguen aumentando inusitadamente”, ha escrito Costin Raiu, director global del equipo de Investigación Análisis del Laboratorio Kaspersky, en su cuenta de Twitter.

De momento no ha sido confirmado el origen del virus, pero fuentes cercanas a Telefónica señalan que el ransomware podría proceder de China y que estaría pidiendo un rescate en bitcoins. El ransomware es un virus capaz de bloquear un ordenador desde una ubicación remota, secuestrar sus archivos y no liberarlos hasta que consigue el pago de un rescate. ¿Cómo evitar un ataque de ramsonware?

El ciberataque ha dejado inutilizada toda la red informática, desde la Ronda de Comunicación a la sede de Gran Vía en Madrid. Por lo que cuentan los empleados las pantallas se han quedado en azul, mientras otros han confirmado ver en su pantalla un texto con imágenes sobre el rescate.

Las primeras fases del ciberataque ya han sido mitigadas

Las primeras fases del ciberataque ya han sido mitigadas, principalmente con la emisión de diferentes notificaciones y alertas hacia los afectados así como a potenciales víctimas de la amenaza, basadas fundamentalmente en medidas de detección temprana en los sistemas y redes, bloqueo del modus operandi del virus informático, y la recuperación de los dispositivos y equipos infectados. En este sentido, muchas de las empresas afectadas han activado correctamente sus protocolos y procedimientos de seguridad ante estas situaciones y están recuperando los sistemas y su actividad habitual.

Destacan desde el Instituto Nacional de Ciberseguridad -Incibe- recordando que las empresas afectadas ya están procediendo a la recuperación de los archivos y equipos. Además, de manera preventiva, las compañías que puedan ser potenciales víctimas del ciberataque ya han tomado sus medidas de bloqueo y neutralización. Hay afectados más de 40.000 dispositivos en todo el mundo.

El Ministerio de Energía, Turismo y Agenda Digital, informa a través del Instituto Nacional de Ciberseguridad (INCIBE) que el Centro de Respuesta a Incidentes de Seguridad e Industria (CERTSI), operado de forma coordinada por INCIBE y el Centro Nacional para la Protección de Infraestructuras Críticas (CNPIC), continúa trabajando con las empresas afectadas por los ciberataques ocurridos durante la jornada. Los incidentes de seguridad se están gestionando a través del CERTSI

Adicionalmente otras compañías susceptibles a este tipo de amenaza han tomado ya medidas preventivas que impedirían la propagación del malware, y se han puesto en contacto con el CERTSI para disponer de nuevas acciones y medidas a adoptar.

La amenaza, que ha sido ya detectada en más de 10 países, podría estar afectando a más de 40.000 dispositivos y equipos, entre ellos Rusia, Ucrania y Reino Unido.

Desde el CERTSI se recomienda seguir informados a través de los canales oficiales y de las actualizaciones periódicas. Las principales recomendaciones que se ofrecen son:

  • Actualizar los equipos con los últimos parches de seguridad del fabricante.
  • No abrir ficheros, adjuntos o enlaces de correos electrónicos no confiables.
  • Disponer de herramientas de protección adecuadas tales como antivirus/antimalware y cortafuegos.
  • Realizar copias de seguridad periódicas de nuestra información, principalmente la más sensible o importante de nuestros dispositivos.

La infección masiva de equipos personales y dispositivos se ha producido por un malware del tipo ransomware que tras instalarse en el equipo, bloquea el acceso a los ficheros del ordenador afectado y solicita un rescate para permitir recuperar la información. Además en este caso, podría infectar al resto de ordenadores vulnerables de la red a la que pertenece.

Desde CERTSI se está trabajando en dos líneas de actuación: la mitigación y ayuda a recuperar la información y la alerta temprana y prevención. La alerta con las actualizaciones y detalles se puede consultar en las direcciones de los blogs corporativos de INCIBE.