Los ordenadores de al menos 75 países han resultado afectados esta mañana por un virus del tipo ransomware que ha llevado a cabo un secuestro express de sus datos con la pretensión de exigir un rescate para su liberación. El virus ha infectado los equipos de diferentes empresas e instituciones en España, Taiwan, Rusia, Portugal, Ucrania, Turquía y Reino Unido —en ese último, el virus ha colapsado el Servicio Nacional de Salud—, según informan fuentes fiables de este país. 45.000 ataques se han contabilizado hasta las 19 horas CET, según Costin Raiu, el director global del equipo de investigación y análisis de Kaspersky Lab, una conocida empresa de seguridad informática. No hay constancias de que se hubieran producido daños a infraestructuras críticas, como las de la defensa o el transporte.
Señala el diario El País que este tipo de virus, que al ser ejecutados aparentan ser inofensivos e imitan a otras aplicaciones, es el más habitual y representa el 72,75% del malware, según los últimos informes de las compañías Kaspersky Lab y PandaLab.
En España, los análisis del Instituto Nacional de Ciberseguridad (Incibe) muestran que el software malicioso que ha provocado el ciberataque a nivel global es un WanaCrypt0r, una variante de WCry/WannaCry. Tras instalarse en el equipo, ese virus bloquea el acceso a los ficheros del ordenador afectado pidiendo un rescate, y puede infectar al resto de ordenadores vulnerables de la red.
WanaCrypt0r cifra archivos del disco duro con extensiones como .doc .dot .tiff .java .psd .docx .xls .pps .txt o .mpeg, entre otros, y aumenta la cuantía del rescate a medida que pasa el tiempo. "El cifrado de los archivos prosigue tras la aparición de la nota de extorsión, al contrario que en otros ataques, que no muestran la nota hasta que el cifrado se ha completado", explica Agustín Múñoz-Grandes, CEO de s21Sec.
Según Eusebio Nieva, director técnico de Check-Point en España y Portugal, el ramsonware es la estrategia más utilizada para atacar a las grandes empresas. "Los hackers piden que el rescate se realice a través de un pago digital que no se pueda rastrear", dice Nieva. El experto explica que ese software maligno puede llegar a un sistema de manera simple, desde un correo electrónico con una factura falsa, por ejemplo, hasta una técnica conocida como watering hole, que en el caso de las grandes compañías, infecta una página (generalmente de la red intranet) a la que los trabajadores o usuarios acceden con frecuencia. "Esa es la forma más rápida para una distribución masiva", afirma.
Rescate y vacunas
Los expertos coinciden en señalar que el pago de un rescate no es garantía de que se pueda recuperar la información cifrada por el virus.Afirman también que, en la era en que los malware han dejado de ser obra de atacantes individuales para convertirse en una red industrializada que genera dinero, los tradicionales programas de antivirus ya no son suficientes.
La protección más eficaz, en casos como este,, son los programas de anti-APP o sandboxing, que rastrean el comportamiento del sistema o de la red de información, identifican cualquier software malicioso y lo eliminan.
"El sandboxing es el que mejor funciona. Cuando llega un documento por correo, por ejemplo, el sistema lo abre en un entorno virtual y si detecta algo sospechoso, lo elimina antes de que llegue al usuario", explica el experto. El problema, según el experto, es que se trata de un modelo reciente y muchas empresas los utilizan simplemente como un sistema de detección en vez de protección.
El Gobierno de España ha emitido un comunicado en el que orienta a los posibles afectados a aplicar los últimos parches de seguridad publicados en los boletines de mayo.