Por Jacques Klopp/Rob Lever
Londres/Washingtom/AFP
Una ola de ciberataques «sin precedentes» golpeaba este sábado a un centenar de países en todo el mundo, afectando el funcionamiento de numerosas empresas y organismos, entre ellos los hospitales británicos, el gigante español Telefonica o el constructor francés Renault.
«El ataque es de un nivel sin precedentes y exigirá una compleja investigación internacional para identificar a los culpables» indicó en un comunicado la oficina europea de policías, Europol.
El Servicio Público de Sanidad británico (NHS), quinto empleador del mundo con 1,7 millones de trabajadores, parece haber sido la principal víctima en Reino Unido, y potencialmente la más inquietante por poner en peligro a sus pacientes.
Pero está lejos de ser la única. Decenas de miles de ordenadores de un centenar de países, entre ellos Rusia, España, México, Brasil o Italia, fueron infectados el viernes por un virus «ransomware», explotando una falla en los sistemas Windows, expuesta en documentos filtrados de la Agencia Nacional de Seguridad de Estados Unidos (NSA).
El gigante estadounidense del correo privado FedEx, el ministerio de Interior ruso y el constructor de automóviles francés Renault –que suspendió su producción en varias plantas de Francia «para evitar la propagación del virus»–, indicaron este sábado a la AFP que también ellos fueron pirateados.
También está implicada la compañía ferroviaria pública alemana. Aunque los paneles de las estaciones fueron hackeados, la Deutsche Bahn certificó que el ataque no ha tenido ningún impacto en el tráfico.
Según la empresa de seguridad informática Kaspersky, Rusia fue el país más afectado por los ataques. Los medios de comunicación rusos aseguran que varios ministerios así como el banco Sberbank fueron también atacados.
El centro de monitorización del Banco Central ruso IT «detectó una distribución masiva del software dañino del primer y segundo tipo», revela un comunicado del Banco Central citado por las agencias de noticias rusas.
Las autoridades estadounidenses y británicas han aconsejado a los particulares, empresas y organizaciones afectadas que no paguen a los piratas informáticos que exigen un ‘rescate’ para desbloquear los ordenadores infectados.
«Hemos recibido múltiples informes de contagios por el virus «ransomware», escribió el ministerio estadounidense de Seguridad Interior en un comunicado. «Particulares y organizaciones están alertadas de no pagar el rescate ya que este no garantiza que será restaurado el acceso a los datos».
Falla en Windows
Los hackers habrían explotado una falla en los sistemas Windows, expuesta en documentos filtrados de Agencia Nacional de Inteligencia de Estados Unidos (NSA).
Los virus «ransomware» bloquean los ficheros de los usuarios y los hacker exigen a sus víctimas pagar una suma de dinero en la moneda electrónica bitcoin para permitirles acceder nuevamente a los archivos.
«Hoy hemos asistido a una serie de ciberataques contra miles de organizaciones e individuos en decenas de países», señaló en un comunicado la agencia británica de ciberseguridad (NCSC), que recomienda poner al día los programas de seguridad y los antivirus.
«Recibimos múltiples informes de infección por un programa de chantaje», escribió por su lado el Departamento de Seguridad Interior de Estados Unidos en un comunicado. «Alentamos a particulares y organizaciones a no pagar los sobornos, ya que ello no garantiza que el acceso a los datos sea restaurado».
Esta ola de ataques informáticos de «alcance mundial» suscita la preocupación de los expertos en seguridad.
«Relevamos más de 75.000 ataques en 99 países», dijo en un blog hacia las Jakub Kroustek, de la firma de seguridad informática Avast.
‘Gran campaña’
Este conjunto de ataques informáticos de envergadura mundial suscita inquietud entre los expertos en seguridad. El virus bloquea los ficheros de los usuarios y los hackers exigen a sus víctimas pagar una suma de dinero en la moneda electrónica bitcoin para permitirles acceder nuevamente a los archivos.
El antiguo hacker español Chema Alonso, ahora responsable de ciberseguridad de Telefonica –otro grupo afectado por el ataque–, dijo sin embargo este sábado en su blog que «el ruido mediático que produce este +ransomware+ no ha tenido mucho impacto real» ya que «se puede ver en la cartera bitCoin utilizada que el número de transacciones» es débil.
Forcepoint Security Labs, otra empresa del sector, señaló por su lado que «una campaña mayor de difusión de emails infectados» se está llevando a cabo, con el envío de 5 millones de correos electrónicos por hora para difundir un malware llamado WCry, WannaCry, WanaCrypt0r, WannaCrypt o Wana Decrypt0r.
El NHS británico intentó este sábado tranquilizar a sus pacientes pero muchos de ellos temen un riesgo de desorden, sobre todo en las urgencias médicas, dado que el sistema de Sanidad Pública, austero, ya estaba al borde de la ruptura.
«Cerca de 45 establecimientos» del Servicio de Sanidad Pública han sido infectados, indicó este sábado la ministra británica de Interior Amber Rudd, en la BBC. Muchos de ellos, se vieron obligados a anular o aplazar las intervenciones médicas.
Rudd añadió que «no ha habido un acceso malévolo a los datos de los pacientes». Sin embargo, empieza a aumentar la presión sobre el gobierno conservador a pocas semanas de las elecciones legislativas del 8 de junio.
El Ejecutivo fue acusado de no haber escuchado las señales de alarma que advertían de estos ataques, ya que el parque informático del NHS es especialmente antiguo.
El viernes, en las redes sociales se compartieron imágenes de decenas de pantallas de computadoras del NHS en las que se veían pedidos de pago de 300 dólares en bitcoins con la mención: «¡Ooops, sus archivos han sido encriptados!».
El pago debe realizarse en tres días, o el precio se duplica. Además, si la cantidad no es abonada en siete días, los archivos pirateados serán eliminados, precisa el mensaje.
Muchos sistemas todavía deben ser actualizados, aunque Microsoft lanzó una actualización de seguridad para la falla de este año, dijeron investigadores.
Según la sociedad Kaspersky Lab, un grupo de hackers llamado «Shadow Brokers» difundió el virus en abril alegando haber descubierto el defecto de la NSA.
Infección directa
Muchos sistemas todavía deben ser actualizados, aunque Microsoft lanzó una actualización de seguridad para la falla este año, dijeron investigadores.
«A diferencia de la mayoría de los ataques, este virus se difunde principalmente por infección directa de ordenador a ordenador, más que por correo electrónico», dijo Lance Cottrell, responsable del grupo de tecnología de Estados Unidos Ntrepid.
«Puede propagarse sin que nadie abra un correo electrónico o haga clic en un enlace», agregó.
«Los programas de chantaje son particularmente despiadados cuando infectan instituciones como hospitales, donde pueden poner en peligro la vida de pacientes», dijo Jacob Kroustek, de Avast.
«Si la NSA hubiera discutido en privado sobre esta falla utilizada para atacar hospitales cuando la ‘descubrió’, y no cuando les fue robada, esto habría podido ser evitado», se lamentó en Twitter Edward Snowden, el exanalista de la agencia de inteligencia estadounidense que en 2013 reveló el gran alcance de la vigilancia ejercida por la NSA.
Ataque en Brasil
Los portales web de varias instituciones brasileñas salieron del aire el viernes como medida de precaución por el ciberataque que golpeó a hospitales y empresas de decenas de países.
Las asesorías de comunicación de ambas instancias precisaron a la AFP que recibieron por la tarde la instrucción de apagar los servidores por precaución, sin previsión de reconexión.
«No tenemos informaciones de que la seguridad de nuestra red haya sido comprometida», informó la asesoría del Ministerio Público.
Ya el Tirbunal de Justicia estatal confirmó que computadores de la institución sí fueron infectados, informó el portal informativo local G1. El juez Alécio Martins Gonçalves, asesor de la presidencia de la instancia, confirmó al portal que podrían perderse algunos datos en algunas máquinas pero que el banco de informaciones de los servidores no fue afectado. «La población
puede estar tranquila», dijo.
G1 también agregó que el Instituto Nacional de Seguridad Social apagó sus servidores tras el ataque y suspendió la atención al público la tarde del viernes.
Los sitios de Petrobras, Ministerio de Relaciones Exteriores y los del judiciario de otros dos estados también salieron momentáneamente del aire.
El Gabinete de Seguridad Institucional de la Presidencia aseguró que «no hay registros o evidencias de que la estructura de archivos de las instituciones de la Administración Pública Federal fuera afectada».
La compañía de comunicaciones Vivo, perteneciente a Telefónica, una de las primeras afectadas por el ataque en España, difundió un comunicado para anunciar que activó el protocolo de seguridad específico para este tipo de incidentes, pero que el servicio en Brasil no fue comprometido».