El virus informático (conocido como malware) que ha atacado en la mañana de este viernes los equipos de la sede de Telefónica en Madrid ha llegado ya a varias decenas de países. El software del tipo ransomware, que realiza el secuestro exprés de datos y pide un rescate para liberar el sistema, ha infectado diferentes empresas e instituciones en España, Taiwan, Rusia, Portugal, Ucrania, Turquía y Reino Unido —en ese último, el virus ha colapsado el Servicio Nacional de Salud—, según informan las compañías de ciberseguridad s21sec y Check-point. En un tuit, Costin Raiu, el director global del equipo de investigación y análisis de Kaspersky Lab, una empresa de seguridad informática, afirma que se han registrado más de 45.000 ataques en 74 países. Hasta el momento, el ataque no ha afectado a infraestructuras críticas.

Ese tipo de virus, que al ser ejecutados aparentan ser inofensivos e imitan a otras aplicaciones, es el más habitual y representa el 72,75% del malware, según los últimos informes de las compañías Kaspersky Lab y PandaLab . Los análisis del Instituto Nacional de Ciberseguridad (Incibe) demuestran que el software malicioso que ha provocado el ciberataque a nivel global es un WanaCrypt0r, una variante de WCry/WannaCry. Tras instalarse en el equipo, ese virus bloquea el acceso a los ficheros del ordenador afectado pidiendo un rescate, y puede infectar al resto de ordenadores vulnerables de la red. WanaCrypt0r cifra archivos del disco duro con extensiones como .doc .dot .tiff .java .psd .docx .xls .pps .txt o .mpeg, entre otros, y aumenta la cuantía del rescate a medida que pasa el tiempo. «El cifrado de los archivos prosigue tras la aparición de la nota de extorsión, al contrario que en otros ataques, que no muestran la nota hasta que el cifrado se ha completado», explica Agustín Múñoz-Grandes, CEO de s21Sec.

Según Xavier Moreano, experto en ciberseguridad, el ransomware es la estrategia más utilizada para atacar a las grandes empresas. «Los hackers piden que el rescate se realice a través de un pago digital que no se pueda rastrear», dice Nieva. El experto explica que ese software maligno puede llegar a un sistema de manera simple, desde un correo electrónico con una factura falsa, por ejemplo, hasta una técnica conocida como watering hole, que en el caso de las grandes compañías, infecta una página (generalmente de la red intranet) a la que los trabajadores o usuarios acceden con frecuencia.  «Esa es la forma más rápida para una distribución masiva», afirma.

La red de los servicios de comunicación fija, móvil, internet y televisión no fueron afectados”, dice la operadora. Los atacantes piden rescate para el desbloqueo de los ordenadores bloqueados, y lo quieren en moneda virtual, bitcoin, que en esto días precisamente ha llegado a su cotización récord, 1.800 dólares, y cuyas transacciones no dejan rastro. El mensaje en portugués advierte que la cifra de rescate (300 dólares) se duplicará a los tres días y que si antes de siete días no pagan, los ficheros quedarán destruidos. Según la empresa de seguridad S21Sec, el ataque afecta a ordenadores con versiones de Windows y programas muy populares, como Word y Excel, también de Microsoft, y los expertos recomiendan utilizar «de manera inmediata» el parche de seguridad MS17-010.

El experto señala, sin embargo, que el pago de un rescate no es garantía de que se pueda recuperar la información cifrada por el virus: «La posibilidad es de entre 30% y 40%». Pero, ¿cómo es posible protegerse de esos ataques? El experto sostiene que, en la era en que los malware han dejado de ser obra de atacantes individuales para convertirse en una red industrializada que genera dinero, los tradicionales programas de antivirus ya no son suficientes. Los más punteros de protección, según Nieva, son los programas de anti-APP o sandboxing, que rastrean el comportamiento del sistema o de la red de información, identifican cualquier software malicioso y lo eliminan.

El Gobierno de España ha emitido un comunicado en el que orienta a los posibles afectados a aplicar los últimos parches de seguridad publicados en los boletines de mayo.