Ayer un nuevo ataque masivo de ransomware afectó a miles de compañías e instituciones de todo el mundo haciendo imposible realizar su trabajo. Esta nueva ciberamenaza pertenece a la familia Petya o Petrwrap y es una variante más profesional y desarrollada que Wannacry, la variante que atacó a multitud de empresas el pasado mayo. El ciberataque de ransomware no ha afectado a infraestructuras críticas españolas.
A diferencia de Wannacry, el nuevo ciberataque se ha extendido "bastante rápido" por decenas de organizaciones importantes de todo el mundo, según expertos consultados por Efe, que señalan que, aunque es pronto para saber si es más o menos virulento que el de mayo, parece "un trabajo bastante profesional y más desarrollado".
"Se trata de un ransomware ya conocido y, aún así, ha logrado afectar a muchas organizaciones, con lo cual es un trabajo bastante profesional", ha esgrimido el experto en ciberseguridad Deepak Daswani.
Por su parte, Josep Albors, responsable de investigación y concienciación del laboratorio de ciberseguridad ESET, explica que este malware no parece que cifre la información, sino que modifica el "índice del disco duro", haciendo imposible el acceso a la misma.
WannaCry cifraba la información directamente y mostraba un mensaje pidiendo un rescate, pero el actual virus cambia el índice, por lo que el equipo no sabe buscar la información, lo que, en su opinión, significa que "han invertido en desarrollo".
En estas circunstancias, Albors ha apuntado que se debe mantener la calma y, salvo que se sea experto, no se debe trata de actuar sobre el disco duro, que se debe poner en manos de especialistas y no utilizar herramientas de reparación si no se dominan, ya que se pueden producir mas daños.
Un viejo conocido
Las primeras versiones del Petya se detectaron en el primer trimestre de 2016 y la versión actual sobre las 13 horas de ayer, ha apuntado Albors. El virus de esta semana es una variante de Petya, un tipo de ransomware que ya había aparecido otras veces y que, en este caso, se propaga a través de los mismos mecanismos que WannaCry.
"Parece que explota las mismas vulnerabilidades", ha detallado Daswani, "por lo que es raro que sigan existiendo tantos equipos expuestos sin actualizar en organizaciones tan importantes".
En cuanto si será más o menos virulento que el WannaCry, Daswani ha manifestado que dependerá del impacto que genere en los equipos y del número de ordenadores que finalmente comprometa.
Al parecer, ambos ransomware -el de ahora y el del pasado mayo- explotan la misma vulnerabilidad de Windows, si bien en la forma de propagarse hay algunas singularidades como que aprovecha algunas herramientas profesionales de comunicación entre equipos -como PSExec-.
Como recomendaciones generales sigue siendo válido mantener los sistemas operativos actualizados, disponer de copias de seguridad y sistemas capaz de detectar los ataques.
INCIBE: "El impacto en España, bajo estudio"
El Instituto Nacional de Ciberseguridad (INCIBE), con sede en León, ha explicado que por el momento no hay constancia de que empresas españolas se hayan visto afectadas por el nuevo ciberataque internacional, consecuencia de un virus del tipo ransomware.
En la misma línea, el secretario de Estado de la Sociedad de la Información y de la Agenda Digital (SESIAD), José María Lasalle, ha asegurado esta mañana que no se han visto afectadas infraestructuras críticas españolas.
El subdirector de servicios de ciberseguridad del INCIBE, Marcos Gómez, ha explicado en declaraciones a los periodistas que está "bajo estudio" el impacto en España del ciberataque, por lo que se está en permanente contacto con las empresas de ciberseguridad y prestando un soporte a compañías que pudieran verse afectadas.
Ha señalado que las sedes españolas de algunas multinacionales han cesado su actividad porque así lo aconsejan sus protocolos de seguridad, aunque se trata se medidas preventivas. "De momento, el ciberataque está afectando principalmente a Ucrania, Rusia, Polonia y Alemania, y de forma más limitada a Bielorrusia", ha explicado Gómez.
El experto ha explicado que para minimizar el impacto se está trabajando con las empresas de ciberseguridad y con las potenciales víctimas para que utilicen todos los medios posibles de detección y de bloqueo.
"Eso pasa por actualizar los equipos y hacer copias de seguridad y, sobre todo, que todo el personal está avisado para que no se abran ficheros adjuntos en correos que sean de fuentes no confiables", ha puntualizado el responsable del INCIBE.
Gómez ha recordado que los protocolos en seguridad funcionaron correctamente para frenar el virus WannaCrypt que se propagó hace un mes y ha advertido de que en este caso cambian las horas, ya que el anterior ataque fue un viernes y ahora se hace un martes, con más personal en las oficinas y mayor capacidad de respuesta.
"Lo que hemos aprendido del anterior ataque es que hay que estar al día, actualizar equipos y hacer copias de seguridad", ha recalcado.
Ucrania, la gran afectada
Entre las compañías que han reconocido ser víctimas del ciberataque están la petrolera rusa Rosneft, la naviera danesa Maersk, el grupo francés Saint-Gobain, la alimentaria Mondelez, el gigante farmacéutico Merck, Sharp & Dohme (MSD) o el despacho de abogados DLA Piper.
Sin embargo, especialmente duro ha sido el ataque en Ucrania, donde además de a empresas también ha sufrido sus efectos el metro de Kiev, la compañía estatal de electricidad Ukrenergo, el principal operador de telefonía fija Ukrtelecom, diferentes bancos e incluso al propio Gobierno.
En España, apenas ha tenido impacto: de momento, no ha afectado a ningún organismo público y en el plano empresarial solo a la actividad de algunas de estas multinacionales.
El ministro de Energía, Turismo y Agenda Digital, Álvaro Nadal, ha explicado que el Gobierno ha puesto sobre aviso a las infraestructuras estratégicas ante este nuevo ataque mundial, aunque ha insistido en que en España no tiene, al menos de momento, demasiada relevancia.