Telefónica está sufriendo uno de los ciberataques más

importantes de su historia reciente, y las informaciones que se

están recibiendo apuntan a un ransomware llamado
Wanna Decryptor que "secuestra" los datos de los
ordenadores infectados cifrándolos. Los trabajadores de
Telefónica no podrían recuperar el acceso a ellos hasta pagar
una recompensa económica a los anónimos responsables del
ataque.
Eso ha hecho que en la sede de la compañía salten las alarmas,
y diversas fuentes han indicado que se está siguiendo un
protocolo de emergencia que ha hecho que tanto trabajadores
de sus oficinas como externos que tengan acceso a la
intranet apaguen sus ordenadores de manera
inmediata. El peligro parece real e importante. ¿Cómo ha
podido ocurrir esto, y qué hacer para solucionarlo?

Cómo actúa el ransomware

El ransomware es un tipo de malware informático que se
instala de forma silenciosa en dispositivos móviles, y
ordenadores de todo tipo, y que una vez se pone en
acción cifra o encripta todos los datos para bloquear el
acceso a ellos sin la contraseña que permite descifrarlos.
 Los responsables de
Telefónica han difundido este mensaje a los usuarios de su Intranet para que dejen de usar el
ordenador de forma inmediata.
El mecanismo de acceso del malware a los ordenadores
afectados es variado, pero sobre todo se suele infectar a la
víctima a través de correos con spam: recibos o facturas
falsas, ofertas de trabajo, advertencias de seguridad o avisos
de correos no entregados, etc.
Si la víctima abre el fichero ZIP que normalmente se adjunta
en dichos correos, se activa un JavaScript malicioso que
hace que se instale el malware para que el ciberatacante lo
active cuando lo considere oportuno.
Ese tipo de ataque puede activarse también a través de
exploits que aprovechen vulnerabilidades de todo tipo. Los
últimos datos del ciberataque sufrido por Telefónica parecen
apuntar a equipos con Windows, y justo esta
semana Microsoft publicaba un parche para
una vulnerabilidad crítica "zero-day" que había descubierto
recientemente y que era especialmente peligrosa.

O pagas, o te olvidas de tus datos (más

o menos)
Para lograr la contraseña los responsables de este tipo de
ciberataque piden un rescate que a menudo es económico.
Como se ve en la imagen, lo que ven los usuarios afectados
suele ser una pantalla informativa en la que se pide una
cantidad de dinero (en este caso, 300 dólares en bitcoin)
que se deben pagar en un plazo establecido, o de lo contrario
esos datos quedarán bloqueados para siempre.

Esto es lo que están

viendo en sus pantallas actualmente los afectados por este ransomware
Los afectados por el ciberataque tienen pocas opciones, y de
hecho muchos se plantean pagar directamente esas cantidades
ya que la recuperación de los datos suele ser muy
difícil en caso contrario.
Incluso pagando, avisan los expertos en seguridad, las
garantías de que el atacante ofrezca la clave de cifrado no son
totales, algo que nos deja aún más vulnerables. Aquí lo ideal
es, como apuntan empresas de seguridad como Kaspersky, es
contar con copias de seguridad: los backups nos pueden
salvar de estas situaciones, sobre todo si la empresa sigue una
política adecuada con actualizaciones frecuentes de esas
copias. Eso permitiría a los afectados recuperar los datos (o la
gran mayoría de ellos) a partir de esos backups y poder obviar
la amenaza.

Chema Alonso
✔@chemaalonso

Como muchos sabéis, la seguridad interna de Telefónica no es una de mis

responsabilidades directas. Pero todos somos parte de la seguridad..

799
6:41 - 12 may. 2017
Información y privacidad de Twitter Ads

897 personas están hablando de esto

En Telefónica ya están trabajando para tratar de resolver el

problema y Chema Alonso, CSO de la empresa, emitía un
pequeño comunicado a través de Twitter para indicar que la
situación está ahora mismo afectando además a otras
empresas.
El problema, eso sí, no afecta a consumidores o
clientes de Movistar, cuyo acceso a los servicios de voz y
datos proporcionados por la compañía siguen funcionando
con normalidad.

Wanna Decryptor, un ransomware que

se propaga a través de la red
Las capturas que han ido apareciendo en los últimos
momentos apuntaban a que el ransomware utilizado en este
ciberataque ha sido Wanna Decryptor (Wcry), un
conocido malware que cifra datos a través del algoritmo AES
para luego plantear ese rescate. La CCN-CERT confirma que
en efecto este ransomware es el utilizado en este ciberataque.

Como explicaban en MySpybot, uno de los problemas de

obtener la clave para descifrar los datos es que no está en el
ordenador local, sino almacenada en la máquina desde la que
se realiza el ataque, lo que obliga a los usuarios a hacer
el pago para poder recuperar el acceso a sus datos si no
tienen algún tipo de backup para recuperar esos datos desde
él.
Otro de los problemas adicionales que plantea este
ransomware en concreto es que no solo afecta a los datos
locales, sino que además se propaga por la red, cifrando
los formatos de fichero más populares para acabar
"destruyendo" el acceso a datos compartidos en una intranet
sin que los usuarios puedan hacer mucho por evitarlo.
Telefónica no es la única: otras muchas
empresas españolas afectadas
Un comunicado de la CCN-CERT, uno de los organismos de
seguridad más importantes de nuestro país, ha confirmado
que aunque Telefónica ha sido la gran protagonista del
ciberataque hay otras muchas que están también
afectadas por este ransomware.
"Se ha alertado de un ataque masivo de ransomware a varias
organizaciones que afecta a sistemas Windows cifrando todos
sus archivos y los de las unidades de red a las que estén
conectadas, e infectando al resto de sistemas Windows que
haya en esa misma red", explican los responsables de este
organismo, que confirman que el ransomware es una
versión de WannaCry.
Como explican en este comunicado, se hace uso de una
vulnerabilidad de ejecución de comandos remota a
través del protocolo SMB que hace que el malware se
distribuya al resto de máquinas Windows de esa red.
Los sistemas afectados son Windows en distintas versiones
(Windows 7, 8.1, Windows 10, Windows Vista SP2, Windows
Server 2008/2012/2016). Según ese informe, la
vulnerabilidad aprovechada en el ciberataque fue incluida en
un boletín de seguridad de Microsoft el pasado 14 de marzo,
y hay un documento de soporte para poder solucionar el
problema.
Imagen | KasperskyLab En Xataka | Qué es el ransomware,
cómo actúa y cómo prevenirlo