Algunas empresas ceden y pagan a los ‘hackers’ para liberarse del ciberataque

La mayoría de compañías todavía trabajan para desbloquear sus ordenadores. Los expertos detectan más de 2.000 ciberataques a empresas de 64

María R. Sahuquillo
Belén Domínguez Cebrián
Madrid, El País
Los efectos del potente ciberataque lanzado este martes contra empresas de todo el mundo todavía colean. Decenas de compañías aún trabajan para liberar sus ordenadores, bloqueados por el virus de secuestro de datos. Algunas han capitulado y han optado por pagar a los piratas, que piden 300 dólares (264 euros) en bitcoin para liberar los equipos. La dirección que han dado los hackers para hacerles llegar los ingresos en esta criptomoneda ha recibido al menos 45 transacciones y el equivalente a más de 9.000 euros, según Blockchain, la plataforma que sostiene bitcoin. Las informaciones que indican que los cibercriminales no pueden, en realidad, desbloquear los datos robados porque su cuenta de correo electrónico ha sido bloqueada contribuye a que no se estén realizando pagos.


Europol, cuya división especializada de cibercrimen está analizando el virus, ha reconocido que el ataque que ha causado infecciones en decenas de países está lejos de ser atajado. Tampoco se conoce aún la autoría del ataque. Robin Wainwright, director ejecutivo de Europol, ha explicado en un comunicado que el hackeo de este martes es más sofisticado que el del pasado mayor con el virus WannaCry y que aún es pronto para hacer un cálculo de afectados. "Ha sido una demostración de cómo evoluciona el cibercrimen a escala y, una vez más, es un recordatorio para la empresa de la importancia de tomar medidas responsables de ciberseguridad", ha declarado en un comunicado en el que ha insistido a las víctimas del hackeo de que no cedan al chantaje y no paguen.

“La investigación continúa y los hallazgos están lejos de ser definitivos en este momento”, asegura una portavoz Kaspersky. El gigante del antivirus ruso ha identificado al menos 2.000 ciberataques con lo que parece ser una variante de un virus llamado Petya. El 60% han ocurrido en Ucrania, el 30% en Rusia, seguido de Polonia e Italia. Los expertos tienen cada vez más indicios de que la infección se inició en Ucrania, donde el gigante informático Microsoft — creador de Windows— ha calculado que se contaminaron 12.500 equipos. La multinacional estadounidense asegura que ha habido ataques en al menos 64 países. Un número menor que el del pasado mayo pero, “mucho más sofisticado” que el anterior, sostiene la compañía en su blog.

En Ucrania, el trabajo de algunas empresas continúa paralizado, aunque el Gobierno ha asegurado que han logrado restablecer la normalidad de las infraestructuras técnicas. "La situación está bajo control de los especialistas en ciberseguridad, que trabajan para restablecer los datos perdidos", ha indicado el Ejecutivo en un comunicado. En ese país del Este de Europa, el principal aeropuerto de Kiev y el metro de la capital, así como la red del Gobierno fueron víctimas del ciberataque, que empleó una variante del virus Petya, que se propaga a través de las redes locales de ordenadores Windows y que se basa en el mismo sistema que el Wannacry, que golpeó a cientos de corporaciones de todo el mundo el pasado mayo. La planta nuclear de Chernóbil, que también fue víctima del ciberataque ayer y que se vio obligada a pasar al modo manual para medir la radiación, todavía no ha logrado recuperar los sistemas informáticos.

La multinacional danesa Moller-Maersk, la farmacéutica MSD o el holding británico WPP, así como la división inmobiliaria del banco francés BNP Paribas, que también fueron víctimas de los piratas, todavía no han recuperado la normalidad. En España, los responsables de las compañías de WPP y de MSD enviaron ayer martes por la tarde a sus trabajadores a casa y este miércoles no han podido reicorporarse porque la crisis sigue sin resolverse. En Moller-Maersk, que tiene distintas divisiones dedicadas a los sectores del transporte y la energía y que dispone de sedes en 130 países, aseguran que han logrado contener el ataque pero han tenido que apagar los sistemas de un buen número de sus empresas.
IUn trabajador de la central de Chernobyl mide los niveles de radiación de la planta. ampliar foto
IUn trabajador de la central de Chernobyl mide los niveles de radiación de la planta. Efrem Lukatsky AP

“De repente se congelaron al mismo tiempo algunos ordenadores y apareció el mensaje del pago del rescate de 300 dólares en bitcoins en inglés”, cuenta un empleado de una de las empresas afectadas. Inmediatamente, el servicio de informática de esta compañía ordenó a todos los trabajadores que desconectaran los ordenadores de la red, que abandonasen la conexión wifi de todos los dispositivos, incluidos los móviles, para evitar cualquier contagio. “Es imposible trabajar esta mañana. Todos mis contactos están en el ordenador del trabajo y en el móvil”, sostiene.

Los efectos del hackeo han tenido un importante impacto en esta gran corporación danesa, que se ha visto obligada, por ejemplo, a paralizar sus operaciones de envío de contenedores de varios puertos, incluidos los cinco puertos españoles donde opera, el de Róterdam —uno de los más importantes del mundo— y el de Bombay. En el primero, una de las teminales más imp Allí, las autoridades portuarias han alertado de que si la situación se prolonga los contenedores pueden acumularse.

Las autoridades de Ucrania señalaron ayer a Moscú como un muy probable autor del ciberataque, aunque no aportaron pruebas. Importantes compañías rusas sufrieron el ataque y trabajaban todavía este miércoles en el control de daños. Allí, el gigante del petróleo Rosneft habilitó nuevos servidores para tratar de que su producción y distribución no se vea afectada.
Qué hacer si se está infectado

En caso de tener el ordenador infectado con el virus, Europol recomienda no pagar porque, argumenta, que no solo se estaría financiando a los criminales, sino que es poco probable que de esta forma se recupere el acceso a los archivos secuestrados. Esto es particularmente relevante en el caso de Petya, ya que la cuenta de correo electrónico utilizada para gestionar las demandas de rescate ha sido bloqueada, lo que impide el acceso de los atacantes al único canal de comunicación conocido en este momento, explica la policía europea en un comunicado.

El segundo paso que habría que dar es avisar a la policía y guardar una copia del correo electrónico recibido con el ransomware. “Esto ayudará a la policía con su investigación”, dicen. Inmediatamente habría que desconectar el dispositivo de la red de Internet y del wifi “para evitar que la infección se propague a otras máquinas”. Formatear el disco duro podría también ser una buena idea tras haber sufrido un ciberataque de este tipo. A continuación, reinstalar el sistema operativo y las aplicaciones, ejecutar las actualizaciones disponibles y, finalmente, restaurar los archivos bloqueados desde su dispositivo de copia de seguridad.

Mediante un comunicado, Europol hace una serie de recomendaciones dirigidas a aquellos que aún no han sido atacados por este virus. Es importante, como también apuntan todos los expertos consultados, mantener las aplicaciones y el sistema operativo actualizados. “Si el dispositivo ofrece la opción de actualizaciones automáticas, tómalo”, piden. Una copia de seguridad —incluso dos, una para ser almacenada en la nube y otra para almacenar físicamente— de los datos también es una buena práctica para todos los usuarios, incluso si está afectado por ransomware. Finalmente, Europol insiste en no que no se debe pinchar en los archivos adjuntos o enlaces que provienen de un grupo de confianza, como un banco o una tienda online. “No confíes en nadie”, sentencian.

José Ramón Palanco y David de Santiago, de la empresa experta en ciberseguridad Dinoflux, que están analizando una muestra del virus, apuntan que es una variante del conocido como Petya y que tienen dos importantes diferencias con WannaCry, utilizado en mayo. "No se autodenomina de ninguna forma", apunta De Santiago. "Además, tiene diferentes vectores de ataque. No sólo se distribuye a través de la Red, sino que se aprovecha de vulnerabilidades locales para conseguir permisos de administrador de equipos y de la organización, y poder replicarse", apuntan.

Cada vez más expertos señalan a Ucrania como fuente de la infección. En particular, a un software de registro de impuestos llamado MEDoc, algo que la compañía responsable niega. Kaspersky Lab asegura haber identificado una de las fuentes de infección en Ucrania. "El descubrimiento más significativo hasta ahora es que las webs de la región ucrania de Bajmut [en Donetsk, la zona en conflicto con Rusia] fueron pirateadas y utilizadas para distribuir el ransomware a sus usuarios a través de algún fichero maligno".

Europol, a través de su división EC3 dedicada a la seguridad informática, ha recomendado a quienes se vean afectados por el nuevo virus que informen inmediatamente a las autoridades nacionales competentes, que no paguen el rescate que se solicita a los afectados y que consulten su web dedicada a ese tipo de amenazas (www.nomoreransom.org). Sin embargo, los ingresos a los extorsionadores continúan, aunque no masivamente ya que ha habido varias alertas de que aunque se abone el rescate los datos siguen sin recuperarse. El servidor de correo Posteo.de, que usaron los hackers, ha anunciado que ha bloqueado la cuenta de correo y que, por tanto, los cibercriminales no son ya capaces de acceder a ella.

“Las organizaciones también tienen que ser capaces de evitar que se produzcan infecciones mediante el escaneado, bloqueo y filtrado de archivos sospechosos de contenido antes de que entren en sus redes”, indica Maya Horowitz, responsable del Equipo de Inteligencia de Amenazas de Check Point. La empresa asegura que el 93% de las empresas en el mundo no disponen de la tecnología necesaria para protegerse contra este tipo de ataque.

Entradas populares