El ciberataque masivo pasa por caja: recauda 26.000 dólares

El ciberataque del viernes que encriptó la información de los ordenadores exigía un pago de al menos 300 dólares para desbloquear los dispositivos. Los empleados de Telefónica, Fedex, los ferrocarriles alemanes o el sistema sanitario británico se encontraron en sus ordenadores con el mensaje que pedía un rescate económico para recuperarlos. Las primeras estimaciones de los expertos cifraron que los 'hackers' acabarían embolsándose unos mil millones de dólares en todo el mundo, según publica The New York Times, luego de que más de 200.000 víctimas de al menos 150 países se viesen afectados, de acuerdo con las cifras más recientes de Europol.

Pese a esta predicción, los investigadores consultados por el diario británico The Guardian aseguran que los atacantes habrían recibido por ahora algo más de 25.000 dólares. La baja cifra recaudada siembra dudas sobre la verdadera intención del ataque. "Es muy poco", explica Marcos Gómez, director de operaciones del Instituto de Ciberseguridad Nacional (Incibe), que monitoriza en tiempo real la evolución del ataque.

Tom Robinson, cofundador de Elliptic, indica que se han identificado ya tres direcciones que ingresaron estas partidas para rescatar sus ordenadores

"Se barajan dos teorías ahora mismo. Que lo hicieran por dinero o que su objetivo fuera probar la efectividad de la herramienta. Si lo hicieron por dinero, claramente no está funcionando como esperaban, en parte porque se ha reaccionado rápido y se han encontrado formas de detener su propagación. Sobre lo segundo, es posible que su único objetivo fuera probar algún componente concreto del 'ransomware', como su capacidad de contagiar a otros equipos. Eso desde luego ha sido un éxito. De momento no se descarta ninguna hipótesis", concluye.

Tom Robinson, cofundador de Elliptic, una empresa dedicada a detectar actividades ilícitas relacionadas con el mercado de monedas bitcoin, indica que se han identificado ya tres direcciones que ingresaron estas partidas para rescatar sus ordenadores. Sin embargo, el experto advierte de que los receptores no han retirado aún el dinero, por lo que “todavía no ha habido oportunidad de rastrearles”.

La mayoría de los centros sanitarios británicos afectados por el ciberataque global del viernes ha recuperado la normalidad, según informó este sábado el Gobierno del Reino Unido en medio de las críticas de la oposición por la falta de actualización de los equipos informáticos de hospitales y servicios médicos. Lo mismo ha ocurrido en Rusia, el país más perjudicado. "Está controlado. El código malicioso en particular que se utilizó para el ciberataque ya ha sido neutralizado. El viernes cogió por sorpresa a mucha gente, pero en cuanto las empresas entendieron lo que estaba pasando, todo el mundo corrió a encontrar una solución", señaló Vicente Díaz, analista de la firma rusa de seguridad cibernética Kaspersky.

Este ataque sin precedentes utilizó el software WanaCrypt0r 2.0 o WannaCry, que aprovecha una vulnerabilidad de Windows para la que Microsoft ya había lanzado un parche que arregla el problema. Sin embargo, los ordenadores que no habían realizado la actualización quedaban expuestos. El investigador anónimo de MalwareTech, un británico de apenas 22 años que logró dar con la solución para frenar el avance del 'ransomware', denuncia que “nada ha acabado” pese a la normalización de la situación.

“Esto no se ha terminado aún. Los 'hackers' se darán cuenta de cómo lo hemos parado, cambiarán el código y volverán a empezar”, aclara. “Permitid la actualización de Windows, actualizad y después reiniciad”, aconseja este ‘héroe’ autodidacta, que prefiere mantener oculta su identidad porque entiende que “no tiene sentido” dar su información personal cuando se está trabajando “contra los malos”.

A pesar de que los principales países atacados han informado ya que el ataque ha sido paralizado, la cuenta de Twitter @morb continúa informando en tiempo real sobre la cantidad de bitcoins que reciben los 'hackers' para liberar los ordenadores infectados.

El Gobierno español también ha asegurado que el número de equipos y sistemas informáticos de particulares y empresas que se vieron afectados por el ciberataque está "remitiendo", no hay nuevas infecciones y se están limpiando los dispositivos afectados. En un comunicado, el Incibe ha informado este domingo de los avances que ha hecho en este sentido el Centro de Respuesta a Incidentes de Seguridad e Industria (CERTSI) con otras empresas afectadas. De acuerdo con las conclusiones alcanzadas, España "se encuentra en la posición 18 del ránking por países, con algo menos de 600 infecciones confirmadas".

Este equipo también ha identificado dos variantes del virus informáticos: WannaCrypt.A, y WannaCrypt.B. La primera, que es el tipo de infección que se ha registrado en España, trata de conectarse en un primer momento a una página web codificada internamente. Si lo logra, no cifra documento alguno; de lo contrario, comienza el cifrado de documentos. WannaCrypt.B, por el contrario, comienza inmediatamente con el cifrado de archivos para posteriormente pedir el pago del rescate. Esta es la clase de ataque que ha sufrido Telefónica.

El ministro del Interior, Juan Ignacio Zoido, ha aplaudido este sábado el trabajo de los especialistas españoles, que "han evitado" que en el virus robase información sensible de personas y empresas. "No ha habido, que se sepa, ningún tipo de sustracción de información que pueda afectar a la intimidad de las personas ni al contenido de los datos de las empresas", ha señalado.

"O lo hicieron por dinero o para probar la efectividad de la herramienta", explica Marcos Gómez, director de operaciones de Incibe

El ministro ha "roto una lanza" a favor de los especialistas del Centro Nacional de Información (CNI) y de los ministerios de Interior y Defensa, y ha elogiado los controles tanto de las empresas privadas como de la administración pública. "Todos y cada uno, actuando de manera coordinada, fueron capaces evitar que esos ataques llegaran a afectar a algunas de las redes que de manera crítica sabemos salvaguardar", ha continuado Zoido, que ha resaltado que en España ningún servicio básico se ha visto afectado por el ciberataque.

Problemas en Renault

Junto a Telefónica se han visto afectados el sistema de hospitales británicos, la red ferroviaria de Alemania, la empresa Renault en Francia o en Rusia un amplío sector de la banca y la red de ferrocarriles. La empresa de automoción Renault se vio obligada a detener su producción en varias fábricas a lo largo del sábado para prevenir la expansión del virus.

El francés no ha sido el único fabricante de coches afectado. La japonesa Nissan también ha sido víctima del ataque en su planta en Sunderland, Reino Unido, según han confirmado portavoces de la empresa a medios británicos. "Como muchas organizaciones, algunos de los sistemas de nuestra planta de Reino Unido se han visto afectados por el ataque de 'ransomware'. Nuestros equipos están trabajando en solucionar el problema", han asegurado en un comunicado a medios.

En la compañía ferroviaria pública alemana, los paneles de las estaciones fueron 'hackeados', aunque la Deutsche Bahn certificó que el ataque no ha tenido ningún impacto en el tráfico. Según la compañía de ciberseguridad rusa Kaspersky Lab, Rusia ha sido el país más afectado, luego de que el propio Ministerio del Interior fuese infectado. La empresa indica que Ucrania, India y Taiwán siguen al Kremlin como los más perjudicados.

La agencia de cooperación policial europea Europol ha situado al ataque a “un nivel sin precedentes”, por lo que exige una "investigación internacional" para esclarecer el alcance y la autoría del ataque con 'ransomware'. El G7 de Finanzas también ha llamado a incrementar la cooperación para contrarrestar las amenazas cibernética y utilizar las políticas disponibles para favorecer un crecimiento económico inclusivo.