CIENCIA
Ciberataque Global

Cómo funciona el virus que hackeó a más de 80 mil personas en 74 países

Lo llaman ‘WannaCry’. España, Reino Unido y Rusia, fueron los más afectados. El software malicioso secuestra datos de la PC a cambio del pago de un rescate.

20170512_1202_ciencia_ciberataque
Datos encriptados. Los responsables aún no fueron identificados, pero se sabe que utilizaron una brecha de seguridad de la que Microsoft había avisado el 14 de marzo. | Shuterstock

Primero se encendió la alarma en España. La empresa Telefónica confirmó por la mañana que su red interna había sido hackeada. Pero lo que parecía en un principio una amenaza local, con el correr de las horas se transformó en un ciberataque a nivel mundial que se extendió por el sistema de salud de Reino Unido y que afectó en distintos niveles a EE.UU., Canadá, Rusia, China, Italia y Taiwan. Incluso Telefónica Argentina admitió que detectó problemas de seguridad informática.

El software malicioso (ransomware) que provocó el ciberataque a nivel global es un WanaCrypt0r, una variante de WCry/WannaCry. Tras instalarse en el equipo, cambia el nombre de las extensiones de los archivos afectados por .wncry. Después, el virus hace saltar a la pantalla el siguiente mensaje: “Ooops, tus archivos importantes están encriptados” y solicita el rescate de 300 dólares en bitcoins (un tipo de moneda digital) para liberarlos. El mensaje incluye instrucciones sobre cómo realizar el pago y un cronómetro.

Según las primeras informaciones, este ataque ha aprovechado una conocida brecha de seguridad que permite tomar el control de una PC con Windows. Pese a que Microsoft avisó el 14 de marzo de esta incidencia, los responsables de este ataque (todavía por identificar) lo utilizaron con éxito.

En un tuit, Costin Raiu, el director global del equipo de investigación y análisis de Kaspersky Lab, una empresa de seguridad informática, afirmó que se registraron más de 45 mil ataques en 74 países. Para Jakub Kroustek, experto en antivirus de la compañía Avast, fueron más de 75 mil los ataques que se detectaron en el mundo.

España fue uno de los primeros objetivos. Además de  Telefónica, otras compañías como Iberdrola o Gas Natural se vieron afectadas. En EE.UU, la compañía privada de correo FedEx tuvo problemas. En Reino Unido, el ataque informático  afectó el Sistema Nacional del Salud y hasta obligó a desviar ambulancias, suspender citas e incluso, alteró intervenciones quirúrgicas.

“Este ataque demuestra una vez más que el ransomware es un poderoso arma que puede utilizarse contra los consumidores y las empresas por igual. El virus se vuelve particularmente desagradable cuando infecta instituciones como hospitales, donde puede poner la vida de las personas en peligro”, afirmó Avast en un comunicado.

Cómo actúa.
Nicolás Ramos, director ejecutivo de Cyberseguridad de EY Argentina, le explicó a PERFIL que “un ransomware ataca y toma nuestros equipos a través de diversas estrategias, muchas veces un usuario desprevenido ejecuta un archivo adjunto en un correo electrónico que se encuentra infectado o a través de la navegación de ciertos sitios web maliciosos creados por los hackers con el único propósito de infectar la PC y exigir una recompensa (ransom en inglés) para recuperar la información”.

Por eso, recomendó mantener los equipos con la última actualización de seguridad (Parches de Seguridad) ya sea notebooks, tablets o smartphones, tener un antivirus activo y actualizado y no abrir cualquier archivo adjunto que llega a su cuenta de mail sin verificar la veracidad del remitente.

¿Qué hacer si la PC está infectada y piden un rescate por los archivos? Las opiniones están divididas; hay quien aconseja pagar, y quien recomienda no hacerlo. En cualquier caso, se debe dar aviso a las autoridades; por ejemplo, la Ciudad de Buenos Aires tiene el BA-csirt, un centro de ayuda sobre delitos informáticos; también está la Unidad Fiscal Especializada en Ciberdelincuencia.


También en la Argentina. El ataque a la red interna de la sede central en Madrid de Telefónica a través de un virus conocido como ransomware afectó también a los servidores en la Argentina. “Esta mañana detectamos un problema de seguridad informática”, dijo la empresa a través de Twitter. Al igual que ocurrió con la sede en Madrid, Telefónica Argentina aseguró que el incidente sólo afecta a la compañía internamente. “Mientras persista “no podremos brindar atención telefónica, presencial ni por RRSS”. La empresa remarcó que el servicio “está garantizado tanto para clientes de Movistar y Speedy como Telefónica”. 

La Cámara Argentina de Centros de Contacto confirmó que en el país se activaron acciones “reactivas y preventivas” ante el ciberataque que sufrieron entidades españolas con un ransomware. Según fuentes de la Cámara, todas las empresas argentinas que mantienen relación como filiales o proveedoras españolas reaccionaron al alerta, activando protocolos y apagando servidores.