El ‘ransomware’, el virus que secuestró los sistemas españoles a cambio de rescates en bitcoins

Durante el lunes, los sistemas operativos de varias empresas españolas volvieron ha temblar por culpa de un ataque hacker de“ransomware” que recordó al que se vivió en 2017 con WannaCry. Entre otros, el medio de comunicación Prisa Radio y la consultora tecnológica Everis se vieron afectados, tanto que este último tuvo que mandar a sus empleados un mensaje diciendo “estamos sufriendo un ataque masivo a la red de Everis. Por favor, mantengan los PC apagados”. El suceso golpeó tanto a esta empresa que tuvo que enviar a sus trabajadores a casa hasta que se pudo solventar la situación.

“Prisa Radio ha sufrido esta madrugada un ataque de virus que ha tenido una afectación grave y generalizada de todos nuestros sistemas informáticos. Los técnicos especializados en este tipo de situaciones aconsejan encarecidamente la desconexión total de todos los sistemas con el fin de evitar la propagación del virus. Hablamos, por tanto, de una situación de extrema emergencia”, comunicó esta empresa a sus empleados.

La situación fue tan convulsa que "A partir de ese momento, se irá chequeando puesto a puesto —siguiendo las instrucciones precisas que os enviará el Departamento de Sistemas— para autorizar en los casos en que haya garantía absoluta la puesta en marcha de cada equipo. Por el momento, y hasta nuevo aviso, la emisión de Cadena SER queda centralizada en Radio Madrid; quedan anuladas todas las emisiones locales y regionales, salvo aquellas que hayan sido autorizadas expresamente por la Dirección de Antena. En este momento, la seguridad es la máxima de la compañía, por encima de cualquier otro compromiso. Cualquier acción individual no autorizada puede poner en peligro el trabajo de rescate que se está llevando a cabo", concretaba el mensaje.

Los ordenadores afectados conectados a la red de la compañía Everis mostraban el siguiente mensaje en inglés. “Hola, Everis, tu red ha sido hackeada y cifrada. No hay software gratuito de descifrado disponible. Envíanos un 'e-mail' a sydney.wiley@protonmail.com o evangelina.mathews@tutanota.com para saber la cantidad del rescate”.

Hipótesis que provocaron el ataque

El Instituto Nacional de Ciberseguridad (Incibe), dependiente del Ministerio de Energía, Turismo y Agenda Digital, estuvo asesorando a las empresas afectadas. “En estos momentos, trabajamos en la mitigación y recuperación del incidente en coordinación con las empresas afectadas y las empresas de ciberseguridad que les dan soporte, como parte de nuestra operativa habitual”, explicó al organismo en un comunicado.

El Departamento de Seguridad Nacional (DSN), dependiente de Presidencia de Gobierno, también puso un comunicado confirmando el ciberataque y las medidas que tomó la SER. “Este tipo de ataque se produce con bastante frecuencia. En 2016, el Instituto Nacional de Ciberseguridad gestionó unos 2.100 incidentes similares a éste. Se trata de un “malware” del tipo “ramsonware” que actúa sobre la vulnerabilidad de los componentes de ofimática de los PC, cifrando todos los archivos y los de las unidades de red a las que estén conectados, e infectando al resto de sistemas de Windows que haya en esa misma red. Tras instalarse en el equipo, bloquea el acceso a los ficheros del ordenador afectado y pide un rescate. La vía de infección parece ser un fichero adjunto a un correo electrónico. No compromete la seguridad de los datos ni se trata de una fuga de datos”, señalaba el comunicado.

La entrada de los hackers pudo llegar por un fallo reciente en varias versiones de Windows y servidores empresariales de Microsoft bajo el nombre Bluekeep, un fallo del que avisó hasta el Gobierno de Estados Unidos. Microsoft alertó por primera vez sobre esta posible situación que se podía dar el pasado 14 de mayo y luego de nuevo el día 30, urgiendo a las empresas a actualizar las versiones de software.

Logo de Bluekeep

Otra hipótesis es que entrara un “ransomware” llamado Ryuk, un programa de origen ruso que ha sido capaz de encriptar bases de datos de varios consistorios españoles y que mantiene en vilo incluso al FBI. El más afectado en España fue el Ayuntamiento de Jerez, cuyos sistemas quedaron secuestrados el 2 de octubre. El programa pedía un importante rescate en bitcoins para liberarlos.

Este mismo virus ha atacado otras instituciones españolas como el Ayuntamiento de Bilbao, el de Santurtzi o la Fundación Hazi. También en otros países: en los últimos días, varios hospitales de Estados Unidos y Australia han sufrido ataques muy similares al de Jerez, todos con la firma de Ryuk. Hasta el momento no se ha averiguado la procedencia de los mismos, aunque Ryuk estaría ganando enteros como posible culpable del virus que secuestró los ordenadores de varias empresas durante el pasado lunes.