La mayoría de compañías todavía trabaja para desbloquear sus computadoras; los expertos detectan más de dos mil ciberataques a empresas en 64 países

GUADALAJARA, JALISCO (02/JUL/2017).- Europol, cuya división especializada de cibercrimen está analizando el virus, ha reconocido que el ataque que ha causado infecciones en decenas de países está lejos de ser atajado. Tampoco se conoce aún la autoría del ataque. Robin Wainwright, director ejecutivo de Europol, explica en un comunicado que el hackeo del pasado martes es más sofisticado que el del pasado mayor con el virus WannaCry y que aún es pronto para hacer un cálculo de afectados. “Ha sido una demostración de cómo evoluciona el cibercrimen a escala y, una vez más, es un recordatorio para la empresa de la importancia de tomar medidas responsables de ciberseguridad”, declaró en un comunicado en el que insiste a las víctimas del hackeo de que no cedan al chantaje y no paguen.

“La investigación continúa y los hallazgos están lejos de ser definitivos en este momento”, asegura una portavoz Kaspersky. El gigante del antivirus ruso ha identificado al menos dos mil ciberataques con lo que parece ser una variante de un virus llamado Petya. El 60% han ocurrido en Ucrania, el 30% en Rusia, seguido de Polonia e Italia. Los expertos tienen cada vez más indicios de que la infección se inició en Ucrania, donde el gigante informático Microsoft -creador de Windows- calcula que se contaminaron 12 mil 500 equipos. La multinacional estadounidense asegura que ha habido ataques en al menos 64 países. Un número menor que el del pasado mayo pero, “mucho más sofisticado” que el anterior, sostiene la compañía en su blog.

En Ucrania, el trabajo de algunas empresas continúa paralizado, aunque el Gobierno ha asegurado que han logrado restablecer la normalidad de las infraestructuras técnicas. “La situación está bajo control de los especialistas en ciberseguridad, que trabajan para restablecer los datos perdidos”, dijo el Ejecutivo en un comunicado. En ese país del Este de Europa, el principal aeropuerto de Kiev y el metro de la capital, así como la red del Gobierno fueron víctimas del ciberataque, que empleó una variante del virus Petya, que se propaga a través de las redes locales de computadoras con Windows y que se basa en el mismo sistema que el Wannacry, que golpeó a cientos de corporaciones de todo el mundo el pasado mayo. La planta nuclear de Chernóbil, que también fue víctima del ciberataque del martes y se vio obligada a pasar al modo manual para medir la radiación, todavía no ha logrado recuperar los sistemas informáticos.

La multinacional danesa Moller-Maersk, la farmacéutica MSD o el holding británico WPP, así como la división inmobiliaria del banco francés BNP Paribas, que también fueron víctimas de los piratas, todavía no han recuperado la normalidad. En España, los responsables de las compañías de WPP y de MSD enviaron ayer martes por la tarde a sus trabajadores a casa y este miércoles no han podido reicorporarse porque la crisis sigue sin resolverse. En Moller-Maersk, que tiene distintas divisiones dedicadas a los sectores del transporte y la energía y que dispone de sedes en 130 países, aseguran que han logrado contener el ataque pero han tenido que apagar los sistemas de un buen número de sus empresas.

“De repente se congelaron al mismo tiempo algunos ordenadores y apareció el mensaje del pago del rescate de 300 dólares en bitcoins en inglés”, cuenta un empleado de una de las empresas afectadas. Inmediatamente, el servicio de informática de esta compañía ordenó a todos los trabajadores que desconectaran los ordenadores de la red, que abandonasen la conexión wifi de todos los dispositivos, incluidos los móviles, para evitar cualquier contagio. “Es imposible trabajar esta mañana. Todos mis contactos están en el ordenador del trabajo y en el móvil”, sostiene.

Los efectos del hackeo han tenido un importante impacto en esta gran corporación danesa, que se ha visto obligada, por ejemplo, a paralizar sus operaciones de envío de contenedores de varios puertos, incluidos los cinco puertos españoles donde opera, el de Róterdam -uno de los más importantes del mundo- y el de Bombay. En el primero, una de las terminales más importantes. Allí, las autoridades portuarias han alertado de que si la situación se prolonga los contenedores pueden acumularse.

Rusia en la mira

Las autoridades de Ucrania señalaron a Moscú como un muy probable autor del ciberataque, aunque no aportaron pruebas. Importantes compañías rusas sufrieron el ataque y trabajaban todavía este miércoles en el control de daños. Allí, el gigante del petróleo Rosneft habilitó nuevos servidores para tratar de que su producción y distribución no se vea afectada.

José Ramón Palanco y David de Santiago, de la empresa experta en ciberseguridad Dinoflux, que están analizando una muestra del virus, apuntan que es una variante del conocido como Petya y que tienen dos importantes diferencias con WannaCry, utilizado en mayo. “No se autodenomina de ninguna forma”, apunta De Santiago. “Además, tiene diferentes vectores de ataque. No sólo se distribuye a través de la Red, sino que se aprovecha de vulnerabilidades locales para conseguir permisos de administrador de equipos y de la organización, y poder replicarse”, apuntan.

Cada vez más expertos señalan a Ucrania como fuente de la infección. En particular, a un software de registro de impuestos llamado MEDoc, algo que la compañía responsable niega. Kaspersky Lab asegura haber identificado una de las fuentes de infección en Ucrania. “El descubrimiento más significativo hasta ahora es que las webs de la región ucrania de Bajmut [en Donetsk, la zona en conflicto con Rusia] fueron pirateadas y utilizadas para distribuir el ransomware a sus usuarios a través de algún fichero maligno”.

Europol, a través de su división EC3 dedicada a la seguridad informática, ha recomendado a quienes se vean afectados por el nuevo virus que informen inmediatamente a las autoridades nacionales competentes, que no paguen el rescate que se solicita a los afectados y que consulten su web dedicada a ese tipo de amenazas (www.nomoreransom.org). Sin embargo, los ingresos a los extorsionadores continúan, aunque no masivamente ya que ha habido varias alertas de que aunque se abone el rescate los datos siguen sin recuperarse. El servidor de correo Posteo.de, que usaron los hackers, ha anunciado que ha bloqueado la cuenta de correo y que, por tanto, los cibercriminales no son ya capaces de acceder a ella.

“Las organizaciones también tienen que ser capaces de evitar que se produzcan infecciones mediante el escaneado, bloqueo y filtrado de archivos sospechosos de contenido antes de que entren en sus redes”, indica Maya Horowitz, responsable del Equipo de Inteligencia de Amenazas de Check Point. La empresa asegura que el 93% de las empresas en el mundo no disponen de la tecnología necesaria para protegerse contra este tipo de ataque.