Borrar
Un espejo refleja una pantalla de ordenador que muestra un código binario.
El CNI avisa de que el virus solo infecta con la descarga de archivos de correos

El CNI avisa de que el virus solo infecta con la descarga de archivos de correos

Los servicios secretos piden que no se ceda al chantaje de los piratas y recomiendan no borrar los archivos ya secuestrados por si se encontrara una fórmula para desencriptarlos en el futuro

Melchor Sáiz-Pardo

Miércoles, 28 de junio 2017, 07:10

Necesitas ser suscriptor para acceder a esta funcionalidad.

Compartir

El Centro Criptológico Nacional (CCN), dependiente del Centro Nacional de Inteligencia (CNI), ha comenzado a avisar a primera hora de la mañana de este miércoles a los diferentes operadores y a los gestores de infraestructuras críticas de que el nuevo virus informático que ayer hizo estragos en empresas de media Europa solo tiene capacidad de infectar si el usuario descarga archivos adjuntos de un correo electrónico. Eso sí, una vez contagiado un equipo, el ransomware tiene capacidad de propagarse a gran velocidad por el restos de terminales en red.

Según remarcan los servicios secretos en sus avisos, para el contagio del nuevo virus, sí es necesaria la interacción del usuario a través de un vector de infección, probablemente basado en el correo electrónico (spear-phishing). A partir de ahí, el ataque recibido en el e-mail puede explotar alguna vulnerabilidad de Microsoft Office. Seguidamente se propagaría a través de infecciones en las carpetas compartidas en la red de la organización afectada.

Por ello, el CNI pide extremar las precauciones para evitar acceder a correos o enlaces no legítimos y no acceder a ningún enlace ni descargue ningún fichero adjunto procedente de un correo electrónico que presente cualquier síntoma o patrón fuera de lo considerado normal o habitual.

No obstante, el sector público y las empresas estratégicas españolas no se han visto afectadas por el ciberataque mundial, según concluye el CCN.

En un balance sobre el ataque, el organismo resalta que los primeros casos se detectaron en empresas ubicadas en Ucrania y afectó posteriormente a algunas multinacionales con sede en España, y precisa que no se ha detectado ningún organismo del sector público o empresa estratégica española afectada.

Como ya ocurrió en mayo con la propagación del WannaCry, el CNI apela encarecidamente a no ceder al chantaje de los ciberpiratas. Efectuar el pago por el rescate del equipo no garantiza que los atacantes envíen la utilidad y/o contraseña de descifrado, sólo premia su campaña y les motiva a seguir distribuyendo masivamente este tipo de código dañino, apunta el CCN.

En el caso de haberse visto afectados por esta campaña y no dispusieran de copias de seguridad, se recomienda conservar los ficheros que hubieran sido cifrados por la muestra de ransomware antes de desinfectar la máquina, ya que no es descartable que en un futuro apareciera una herramienta que permitiera descifrar los documentos que se hubieran visto afectados.

Aunque en un principio el CNI afirmó que el ciberataque estaba siendo obra de una variante de la familia del virus Petya (conocido desde que abril y mayo de 2016 ya protagonizara varias infecciones masivas, los expertos de la seguridad nacional tienen cada vez más dudas de que no se trate en realidad de una cepa de este virus, sino de un ransomware totalmente nuevo, aunque inspirado en vulnerabilidades ya explotadas por Petya en su momento.

En España, al menos hasta ayer , los efectos del virus, fueron mucho menos devastadores que los de WannaCry. El Centro Criptológico Nacional solo confirmó la infección de terminales de multinacionales extranjeras en España, pero no de instituciones. Entre las multinacionales afectadas en España figuran la gigante naviera Maersk en su puerto de Barcelona y el grupo alimentario Mondelez.

El listado de empresas afectadas fue creciendo durante la tarde noche ayer, conforme el virus fue propagándose, hasta llegar a un centenar de compañías (declaradas). Además de Rusia y Ucrania, las autoridades de Reino Unido, Estados Unidos, Francia, Rusia, India y España reconocieron que firmas de sus países habían sido infectadas, aunque probablemente el número de estados sea mucho mayor.

El ciberataque golpeó de lleno a instituciones ucranianas de todo tipo: el metro de Kiev, la compañía estatal de la energía, la red informática del Gobierno ucranio, el banco nacional de Ucrania, los sistemas aeroportuarios de ese país o los sistemas de control de Chernobil. Pero eso solo fue el principio. El malware atacó con saña a multinacional alimentaria estadounidense Mondelez (propietaria de empresas como Toblerone, Milka, Oreo o Tang). Para entonces ya eran decenas las empresas de gran envergadura cuyos discos duros habían sido bloqueados: Nivea; el laboratorio Merck Sharp & Dohme, Auchan (matriz de Alcampo), la petrolera rusa Rosneft; multinacional danesa Moller-Maersk, la farmacéutica MSD o el holding británico WPP

Como WannaCry exige un rescate para desbloquear los archivos, en este caso 300 dólares en la moneda virtual Bitcoin. Pero desde hay diferencias. El nuevo virus no encripta la información como WannaCry, sino que modifica el disco duro, haciendo imposible que el usuario acceda al mismo. El Centro Criptológico Nacional explicó que el ransomware "afecta a sistemas Windows, cifrando el sistema operativo o disco. Su propagación apuntó en su alerta- es similar a la de WannaCry, es decir una vez ha infectado una máquina puede propagarse por el resto de sistemas conectados a esa misma red".

Reporta un error en esta noticia

* Campos obligatorios