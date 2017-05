Empleados de miles de empresas recibieron durante la mañana de ayer el aviso de que se extremaran las medidas de seguridad a la hora de abrir el correo. El ataque de un virus malicioso, 'malware', a los equipos de los trabajadores de Telefónica, podía expandirse de forma potencial porque se trataba de 'ramsonware', un gusano que infecta a través de la red saltando de ordenador en ordenador, encripta los contenidos y pide un rescate para liberarlos.

7.800 casos de delitos relacionados con la informática fueron investigados el año pasado por la Ertzaintza. 87% es el porcentaje de los delitos contra la ciberseguridad relacionados con estafas económicas.

Desde primeras horas de la mañana, en la empresa guipuzcoana de ciberseguridad ITS Security, con sede en Mendaro, ya intuían la letal amenaza que «parecía procedente de China y con un objetivo muy localizado, posiblemente las empresas del Ibex 35», explica su director ejecutivo, Álvaro Fraile. El de ayer fue para esta empresa un día ajetreado, «pero no mucho más que otros. Lo que sucede es que ha trascendido al afectar a una empresa de magnitud».

Su servicio de alerta temprana les hizo ver que había anomalías y permitió que avisaran a sus clientes, aunque alguno de ellos se vio afectado, «pero han sido los que no tenían contratado el sistema de alerta temprana. En esos casos lo que hemos hecho es mitigar las consecuencias». ITS Security es un CERT -las siglas en inglés de Equipo de Respuesta ante Emergencias Informáticas-, que analiza constantemente el tráfico en las redes. En uno de los chequeos comprobaron que el tráfico de datos era diferente. «Vas viendo patrones, como oleadas, que llegan como un rumor. Luego aparecen las pruebas, te envían muestras para analizar qué magnitud puede tener. De hecho, costará comprobar qué magnitud va a tener, aunque se pongan medidas mitigadoras».

«Habitualmente entran en la primera máquina por un correo y después va invadiendo todo los ordenadores de su alrededor. En una empresa de decenas de miles de trabajadores como Telefónica, el gusano se habrá puesto las botas», explica David Barroso, de la empresa donostiarra de contrainteligencia en el ámbito de la ciberseguridad Counter Craft. Por su parte, Álvaro Fraile cree que «será difícil encontrar al paciente cero».

Lo mismo que en ITS, en Counter Craft desde el minuto uno intuyeron que algo fuerte se avecinaba porque en los grupos y redes internacionales en las que están incluidos «la gente enseguida se ha revolucionado. No era normal y comentaban que se veían cosas raras». Rápidamente comenzaron a compartir los troyanos que habían encontrado y pasándose las muestras para ahondar en la investigación.

Con esas evidencias detectaron que el 'ramsonware' atacaba por el puerto 4-4-5, que es donde centraron las medidas de vigilancia en los sistemas de sus clientes.

Tanto Barroso como Fraile están convencidos de que, dada la capacidad que tiene el gusano para expandirse y reproducirse y por la dificultad de parchear la seguridad de todos los ordenadores, el incidente de ayer «es solo la punta del iceberg, el efecto cadena puede prolongarse durante días. Los fabricantes de seguridad actualizarán sus sistemas para evitar la propagación, pero tendrá más consecuencias, aunque seguramente no trascenderá».

El responsable de Counter Craft explica que en casos como el de ayer es difícil establecer un protocolo seguro cien por cien. «La lógica dice que no hay que abrir correos sospechosos, pero si tu compañero ha abierto uno, se desencadena todo», indica, al tiempo que recomienda tener backup -copia de seguridad- reciente de los datos y el ordenador parcheado. El resto es trabajo de los equipos de las empresas para ver cómo pueden contener la epidemia, que comienza monitorizando la red para ver dónde se aloja el virus y analizar dónde esta la vulnerabilidad del sistema operativo, en el caso de ayer Windows 10. Contener la infección, ver los daños que ha generado e intentar recuperar la información son los pasos a seguir en un caso de ataque informático.

Álvaro Fraile comenta que «muchas veces, aunque tengas todas las barreras de seguridad, en una ciberamenaza es complicado atajarla porque introducen elementos que mutan. Además, parece que siempre vamos un pasito por detrás de los 'malos'». Sí tiene claro que la de ayer fue «una operación muy bien orquestada por una red de ciberterrorismo». Son como empresas, con sus departamentos bien estructurados para realizar estos ataques tan selectivos».

Desde ITS Security recomiendan que en el caso de un secuestro virtual con la encriptación de los archivos no se pague a las mafias ciberterroristas. «Por un lado no te asegura que luego te liberen la información. Por otro, aunque te den la clave para recuperar los contenidos ya estás marcado y te volverán a infectar. Si la primera vez que hubo un ataque de estos no se hubiera pagado, no hubiera pasado lo de hoy».