Confirma un ataque informático masivo a un "elevado número de organizaciones"

El Centro Criptológico Nacional (CCN), que trabaja con el CNI, ha confirmado en un comunicado que este
viernes por la mañana "un elevado número de organizaciones" españolas ha sufrido un "ataque masivo"
informático de ransomware. Este anuncio se produce después de que se conociera que la red interna de la
operadora Telefónica, a escala nacional, se ha visto comprometida.

Ya por la noche, el Instituto Nacional de Ciberseguridad (INCIBE) ha informado de que las primeras fases del
ciberataque ya han sido mitigadas, principalmente con la emisión de diferentes notificaciones y alertas
hacia los afectados. Por medio de un comunicado, el centro tecnológico añade que el Centro de Respuesta
a Incidentes de Seguridad e Industria (CERTSI), operado de forma coordinada por INCIBE y el Centro
Nacional para la Protección de Infraestructuras Críticas (CNPIC), continúa trabajando con las empresas
afectadas por los ciberataques ocurridos durante la jornada.

Explica que se han conseguido mitigar las primeras fases del ciberataque, principalmente con la emisión de
diferentes notificaciones y alertas hacia los afectados así como a potenciales víctimas de la amenaza,
basadas fundamentalmente en medidas de detección temprana en los sistemas y redes, bloqueo del modus
operandi del virus informático, y la recuperación de los dispositivos y equipos infectados.

En este sentido, muchas de las empresas afectadas han activado correctamente sus protocolos y
procedimientos de seguridad ante estas situaciones y están recuperando los sistemas y su actividad
habitual.

Adicionalmente, otras compañías susceptibles a este tipo de amenaza han tomado ya medidas preventivas
que impedirían la propagación del malware, y se han puesto en contacto con el CERTSI para disponer de
nuevas acciones y medidas a adoptar.

Ataque en Telefónica

Telefónica ordenó a todos sus empleados que dejaran de trabajar y apagaran sus ordenadores. Fuentes
cercanas a la empresa confirman a 20minutos que, nada más conocer el ataque, esta ha emitido una alerta
de seguridad a la plantilla y también a empresas que le prestan servicio; por su parte, trabajadores han
explicado a este diario que han recibido indicaciones para desconectar sus dispositivos y "quitarles la
batería".

La compañía ha instado a la mayoría de empleados, al menos de Madrid, a marcharse a casa y les ha dicho
que la semana que viene recibirán "instrucciones" para saber cómo operar. De cara al público, la operadora
solo ha difundido un comunicado de cuatro líneas a las 15 horas que habla de una "incidencia de
ciberseguridad" que habría afectado a los ordenadores de "algunos empleados".

Otras compañías, como BBVA y Vodafone, han negado a este diario que hubieran sufrido un incidente
similar, pese a que algunos medios las citan como atacados. Otra de las aludidas, Capgemini, también lo ha
desmentido. Un trabajador del edificio de la sede principal de Telefonica ya confirmó por la mañana a
20minutos que se trataba de un virus ransomware que llega por correo y que, al activar un enlace o un
adjunto, es capaz de bloquear el ordenador desde una ubicación remota.
El conocido informático Chema Alonso, CDO de Telefónica, lo dijo después públicamente en redes sociales
y explicó que ha afectado a otras "organizaciones". Asimismo, ha añadido que "todo el equipo de seguridad
interna trabajando a muerte".

En principio los clientes de una compañía afectada por un ataque así no tendrían que haberse visto
afectados, pero es recomendable que si se recibe algún correo de un trabajador de la empresa se consulte
con el remitente antes de abrir cualquier enlace o adjunto.
Afecta a varias versiones de Windows

Según el CCN, el ransomware es "una versión de WannaCry" y afecta a varios sistemas de Windows:
Microsoft Windows Vista SP2; Windows Server 2008 SP2 and R2 SP1; Windows 7; Windows 8.1; Windows
RT 8.1; Windows Server 2012 and R2; Windows 10; y Windows Server 2016. Aseguran que "Microsoft
publicó la vulnerabilidad el día 14 de marzo en su boletín y hace unos días se hizo pública una prueba de
concepto que parece que ha sido el desencadenante de la campaña". El centro recomienda actualizar los
sistemas a su última versión o parchear según informa el fabricante. Si no se puede -sistemas sin soporte o
parche-, recomienda "aislar de la red o apagar según sea el caso".

Un ciberataque afecta a bancos y empresas de todo el mundo

Decenas de empresas, multinacionales y bancos se vieron afectados por un ciberataque masivo a escala
global ayer, mes y medio después de que WannaCry pusiera en jaque a empresas de 150 países, entre ellas
el sistema de sanidad británico y Telefónica en España.

Se trata de un ransonware, un virus que secuestra información y solo la devuelve a cambio de un rescate, lo
que suele hacerse a través de la moneda virtual bitcoin. Sobre la variante exacta, no obstante, hay
discrepancias. Aunque en un primer momento todo parecía indicar que se trataba de una variante de Petya
–utilizado hace un año–, la empresa de ciberseguridad rusa Kaspersky Labs aseguró que es una variante
nunca vista, bautizada como NotPetya.

"Nuestro análisis preliminar sugiere que no se trata de una variante del ransomware Petya, como se sugirió
previamente, sino de un nuevo ransomware", explicó la compañía rusa en un comunicado. "Parece un
ataque complejo, que usa varios vectores para propagarse por las redes de las empresas afectadas".

El virus había golpeado al cierre de esta edición (23.00 h) a «unas 80 compañías» de Reino Unido, Estados
Unidos, Francia, India, España..., aunque lo había hecho con especial incidencia en Rusia y en Ucrania. En la
lista de empresas afectadas figuran la agencia de publicidad británica WPP, las francesas Saint Gobain y
Auchan (Alcampo), la farmacéutica estadounidense Merck Sharp & Dohme, la norteamericana Mars, la
alemana Nivea, la transportista marítima danesa Maersk y la petrolera rusa Rosneft, entre otras. También
los sistemas de monitorización de la radiación en Chernóbil.

Ucrania, sin embargo, fue la más perjudicada, con la infección de varias estructuras gubernamentales. Su
Banco Nacional, la compañía estatal de energía, los sistemas informáticos de sus aeropuertos, así como la
red de metro se convirtieron en diana de los piratas informáticos. Según la agencia AFP, el virus tiene su
origen precisamente en este país y en Rusia, y de ahí se propagó a nivel mundial. "Se propaga en el mundo
entero, un gran número de países se vieron afectados", avisó Costin Raiu, investigador de Kaspersky.

En España, no tuvo demasiada relevancia, tal y como explicó el ministro de Energía, Turismo y Agenda
Digital, Álvaro Nadal, puesto que no alcanzó a las administraciones ni grandes empresas. Solo se registraron
algunos problemas en las filiales de las compañías extranjeras afectadas. En este sentido, el Instituto
Nacional de Ciberseguridad (Incibe), en palabras de su subdirector Marcos Gómez, detalló que las sedes
españolas de algunas multinacionales cesaron su actividad atendiendo al protocolo que rige en estos casos.

También, que los ciberdelincuentes solicitaban un pago a través de bitcoin de 300 dólares para recuperar
los ficheros encriptados, una cantidad "baja" porque su objetivo "es conseguir muchos pequeños ‘clientes’
que estén dispuestos a pagar ese rescate". "Nuestra recomendación es que nunca se pague porque no hay
garantías de que el ciberdelincuente devuelva la información", añadió. Según las investigaciones, el
método de propagación es similar al del virus Wanna Cry, sobre todo por la rapidez del ataque.

Los ransomware son programas malintencionados que cifran los archivos informáticos y fuerzan a sus
usuarios a pagar una suma de dinero, a menudo en forma de moneda virtual para poder recuperar su uso.
La empresa rusa Kaspersky aconseja a las sociedades atacadas que actualicen las versiones de Windows
utilizadas internamente para impedir que se propague el virus.
Por qué debes actualizar ya Windows para no sufrir un ataque como el de Telefónica

Viernes negro para muchas empresas españolas: el Centro Criptológico Nacional ha confirmado que un
número elevado de organizaciones han sufrido un ataque masivo de ransomware. Microsoft ya había
avisado en marzo de una vulnerabilidad en su sistema y publicó el parche correspondiente. Las empresas
que no lo han actualizado han sido las afectadas. Este es el principal motivo por el que hay que actualizar el
sistema operativo.

En concreto, como explica la web ComputerHoy.com, las versiones amenazadas son Windows 7, 8.1 RT y
10. El problema radica en que Windows Defender, el cortafuegos del sistema, ha sufrido una grave
vulnerabilidad: con solo enviar un correo electrónico se puede conseguir que tu ordenador ejecute un
código malicioso y conceda privilegios de administrador al hacker que quiera acceder a tu PC para robar
datos, información o instalar malware.

Windows 10 y 8.1 están menos expuestos, pero no son invulnerables. Por eso, es recomendable forzar la
actualización para disponer del Engine de Windows Defender que blinda la seguridad del sistema

¿Cómo desinfectar el ordenador?

El Instituto Nacional de Ciberseguridad de España explica cuatro consejos para desinfectar un ordenador
que ha sido infectado.

Para eliminar la infección, en principio, se podría utilizar cualquier antivirus o antivirus auto-arrancable
actualizado (ejemplo). Dependiendo de la importancia de los datos perdidos es recomendable realizar un
clonado previo de los discos (copia de la información del disco duro en otro soporte). El clonado es
importante ya que si se quiere interponer una denuncia todos los archivos serán necesarios para la
investigación, además es muy probable que exista alguna herramienta capaz de descifrar los archivos en un
futuro.

Si dispones de una licencia de algún antivirus, también puedes contactar con su departamento de soporte
técnico para que te indiquen la manera de proceder ya que muy probablemente tengan más información
de otros usuarios afectados. Para este caso, recuerda mantener el sistema actualizado a las últimas
versiones y con los parches de seguridad más recientes. Evita ser víctima de fraudes de tipo de delito
siguiendo nuestras recomendaciones:

1. No abras adjuntos en correos de usuarios desconocidos o que no hayas solicitado, elimínalos

directamente.

2. No contestes en ningún caso a este tipo de correos.

3. Precaución al seguir enlaces en correos, mensajería instantánea y redes sociales, aunque sean de
contactos conocidos.

4. Precaución al descargar ficheros adjuntos de correos aunque sean de contactos conocidos.

 Tu ordenador corre peligro: actualiza Windows inmediatamente

Tu equipo está en riesgo y deberías actualizar Windows inmediatamente. No, no es una de las clásicas
alertas de seguridad destinadas a forzarte a descargar una actualización sino un peligro real que amenaza a
los ordenadores con Windows 7, 8.1, RT y 10. Todos deben ser actualizados a la última versión del sistema
operativo a la mayor brevedad posible.

El problema de seguridad que se cierne sobre los usuarios de equipos desactualizados tiene que ver con
Windows Defender, el cortafuegos incluido de serie con el sistema. Durante bastante tiempo esta
herramienta ha sufrido una vulnerabilidad crítica, una de las peores que se han descubierto recientemente.

El exploit de Windows Defender permite ejecutar código de forma remota y sin necesidad de que el
usuario interactúe con él. Es decir, con sólo enviar un correo electrónico se puede conseguir que tu
ordenador ejecute el código malicioso, concediendo privilegios de administrador al hacker que quiere
acceder a tu PC para robar datos, información o instalar malware.

Por suerte para todos, Microsoft acaba de sacar una actualización de Windows que la parchea y soluciona,
aunque no ha llegado aún a todos los ordenadores. Los que no la hayan recibido, deben actualizar
manualmente desde el Centro de Actualizaciones del sistema operativo.
Tanto Windows 10 como 8.1 están menos expuestos al ataque, según la propia compañía, pero eso no los
deja fuera de todo peligro. Por eso es recomendable forzar la actualización para disponer del Engine de
Windows Defender que blinda la seguridad frente a esta vulnerabilidad. Es el 1.1.13704.0 o superior.

No es la primera vez que un error en la programación de Windows permite ejecutar código remotamente y
sin el permiso del usuario. Hace poco Microsoft Office fue víctima de un exploit parecido, aunque sin tanta
facilidad para acceder a los permisos de superusuario. Este tipo de amenazas es común y cada vez más, y
esto es lo que puedes hacer para defenderte. No hay antivirus que te proteja contra errores de
programación del propio sistema, aunque es altamente recomendable utilizar uno, ya sea gratuito o de
pago. La inmensa mayoría incluye ya un cortafuegos, aunque el de Windows 10 es bastante efectivo, o lo
era, si obviamos el problema de seguridad que acaba de surgir.
 Qué es un exploit, para qué se usa y cómo prevenir su ataque
Es bastante frecuente encontrarnos con noticias sobre oleadas de virus o fallos de seguridad en diferentes
sistemas operativos que a menudo afectan a una gran cantidad de usuarios, ocasionando graves problemas
como pérdida de información, suplantación de la identidad, o incluso el secuestro o la pérdida del equipo.

¿Y dónde entra el exploit en todo esto? Es lo que podemos decir la llave de entrada a las entrañas del
sistema, de forma que personas poco amigables introducen su software malicioso a través de ese agujero
descubierto por el exploit. Por lo tanto, el exploit de por sí no es malicioso como tal, sino que es utilizado
como una puerta trasera. Lo que hace es buscar debilidades a nivel de seguridad en cualquier sistema
operativo. Esa es la razón por la que frecuentemente las actualizaciones que recibimos están enfocadas a la
seguridad.

Además, en el momento en que se pone un parte, la vulnerabilidad se busca en otra parte del código,
haciendo que sea necesario mantener el sistema actualizado durante toda la vida útil del mismo. Por eso,
cuando un sistema deja de recibir actualizaciones, ese es el momento en el que debemos plantearnos
seriamente el cambio de sistema.

Tipos de exploit

Aquí vamos a clasificarlos según el tipo de acceso que necesitan para poder ejecutarse, dando lugar a estas
posibilidades.

 Exploit remoto: en este caso el exploit actúa sin tener que estar físicamente en el equipo objetivo al
que se le va a vulnerar. Este ataque puede realizarse en la propia red local donde esté conectado el
equipo, pero también se puede recibir el ataque por el simple hecho de estar conectado a internet.

 Exploit local: La actuación del exploit se realiza cuando este se encuentra físicamente en el equipo
al que pretende aparcar. Esto no quiere decir que tenga que venir alguien a nuestro ordenador y
volcar el exploit, sino que puede llegar a nosotros a través de otro exploit remoto

 Exploit clientside: Este tipo de exploit necesita de la acción del usuario para poder ejecutarse. Este
es probablemente el más común hoy en día, ya que te pueden enviar un correo electrónico o un
mensaje para descargar un archivo, o simplemente utilizar un link para una web, y es en ese
momento cuando se ejecuta el exploit. Esta es la técnica que están utilizando para acceder a las
imágenes de las famosas en el conocido caso “the fappening”.

Por otro lado, hay quienes prefieren clasificarlos según sean conocidos o desconocidos. Los primeros tal y
como su nombre indica son fallos de seguridad localizados, y que con las medidas de seguridad adecuadas
es posible prevenir. Muchos de ellos se utilizan como parte del código de los malware.

Por otro lado, hay quienes prefieren clasificarlos según sean conocidos o desconocidos. Los primeros tal y
como su nombre indica son fallos de seguridad localizados, y que con las medidas de seguridad adecuadas
es posible prevenir. Muchos de ellos se utilizan como parte del código de los malware.

De lo contrario, los exploits desconocidos utilizan una brecha de seguridad que hasta el momento en que
aparece no se sabía de su existencia, por lo que no existe ninguna defensa frente a él. Estos son los
conocidos como Zero-Day, caso en el que los hackers han estado un paso por delante de la ciberseguridad.

Cómo se utilizan los Exploits

Ya hemos dado algunas pinceladas acerca de los usos de los exploits, pero vamos a recabar toda la
información.
En primer lugar es importante saber que los exploits no sólo son utilizados por hackers. Los consultores de
seguridad utilizan este tipo de código para buscar estas vulnerabilidades antes de que personas
malintencionadas puedan aprovecharse de dicho agujero. Por lo tanto esto suele ser una carrera que nunca
se interrumpe en busca de ser el primero en llegar al posible fallo.

Pero los hackers como hemos visto, pueden recurrir a fallos que requieran de la acción de la persona a
vulnerar, caso en el que la única barrera entre nuestros datos y el exterior es nuestro propio juicio sobre las
precauciones que deben tomarse.

Dejando a un lado las vulneraciones personales, otro caso de uso de exploits se encuentra en lo que
conocemos como cracks o parches de programas informáticos y videojuegos. En algunos casos podemos
conseguir licencias, mientras que en otros podremos modificar determinados aspectos de los juegos, como
vidas, armas o incluso reglas. Estos son los famosos cheats, que tantos jugadores odiamos cuando los
sufrimos en primera persona.

Otro uso conocido son las auditorías wifi, donde se utiliza un exploit para atacar la contraseña de nuestra
red. Esto se hace para comprobar la fortaleza de nuestra contraseña, pero recordad que de la misma
manera alguien podría utilizar este método para acceder a vuestra conexión de internet, o incluso a vuestro
equipo para manejarlo de manera remota.

Qué hacer frente a los exploits

Ya sabemos que un exploit busca vulnerabilidades en nuestro sistema, así que cuanto más controlado lo
tengamos, menos probabilidades de ataques tendremos.

Por eso es muy importante mantener nuestro sistema actualizado, ya que es de esta manera como
tendremos la mayor seguridad posible. Hace tiempo que ya no se van a recibir actualizaciones para
Windows XP, mientras que Windows 7 dejará de hacerlo en 2020, por lo que debemos estar precavidos
ante este hecho para migrar nuestro sistema a uno más moderno. Afortunadamente con Windows 10
desaparece el sistema actual de licencias, y tendremos sistema operativo para siempre.

Reducir el alcance de los exploits puede salvar nuestra información o nuestro equipo. De esta forma,
cuantos más elementos de seguridad tengamos, mayores dificultades tendrá el exploit para propagarse.
Trabajar con multiples contraseñas o utilizar una sesión con privilegios limitados son algunas de cosas que
puedes hacer para mejorar tu seguridad.

De la misma manera, una correcta configuración de los sistemas de seguridad integrados es fundamental,
incrementando la seguridad del firewall, manteniendo actualizadas las bases de datos de virus, o instalando
soluciones completas de antivirus, antiphishing y antimalware.

Todos estos elementos os ayudarán a mantener vuestros equipos a raya, pero recordad que la mejor
herramienta para evitar el acceso de software malintencionado será nuestro sentido común para evitar
cualquier intrusión.
 Ciberataque mundial: ¿Qué es un ataque tipo 'ransomware'?
En septiembre del 2013 comenzó la propagación de uno de los programas malignos más peligrosos y
dañinos, de los existentes hasta ahora. Es llamado Cryptolocker Ransomware es totalmente traumático ya
que toma el control del equipo impidiendo en algunos casos ninguna acción. Es nuestra obligación prevenir
e informar a nuestros lectores sobre este peligroso malware.

Un ransomware es un tipo de virus que impide o limita el acceso del usuario a su propio sistema
informático. Este tipo de virus cifran y bloquean los archivos de sus víctimas a las que se solicita un rescate
habitualmente en bitcoins, la moneda virtual- a cambio de recuperarlos, es uno de los tipos de malware
más peligrosos en la actualidad. Las amenazas de Ransomware son creadas de forma muy inteligente ya
que se aprovechan no solo de la necesidad de los usuarios de recuperar el equipo, sino de otros factores
comunes en el ser humano: el miedo y la vergüenza. (Un bitcoin en este momento corresponde a unos
1.600 euros).

De acuerdo con la telemetría de la empresa de seguridad Kaspersky Lab, en 2016, más de 1.445.000
usuarios (incluidas empresas) de todo el mundo fueron víctimas de este tipo de malware. De las 62 nuevas
familias de ransomware descubiertas el pasado año, al menos 47 fueron desarrolladas por cibercriminales
de habla rusa. Para entender mejor la naturaleza de estos ataques, los analistas han examinado el mercado
sumergido de cibercriminales rusoparlantes

¿Cómo te puedes infectar con un ransomware?

La forma más habitual en la que pueden afectarte este tipo de virus es a través de una página web
maliciosa que descarga el virus en tu ordenador. Pero tu equipo también puede ser infectado a través del
correo electrónico, cuando se abra un archivo adjunto de un remitente supuestamente seguro, aunque en
realidad está suplantado, que instala el virus en tu ordenador.

A los ransom que infectan a través de correos electrónicos se les conoce como cryptolocker. Son los
malware que te descargas si pinchas en el enlace del correo electrónico.

¿Cómo evitar la infección del Ransomware?

La solución no consiste en instalar ningún programa específico ni pagar por ningún servicio, se trata
simplemente en usar la lógica y la precaución.
✓ No abras los archivos adjuntos del correo electrónico que no han sido solicitados o procedente de
personas desconocidas.
✓ Usa en internet un navegador actualizado.
✓ Usa un antivirus en el equipo.
✓ Solo descarga aplicaciones desde sitios seguros y ante cualquier duda chequea la dirección del archivo
con el servicio de Virus Total.
✓ No entres a sitios web de mala reputación.
✓ Impide que personas que no tienen conocimiento o son imprudentes usen tu equipo.
✓ Activa las extensiones de archivos para poder identificar los archivos que de forma engañosa terminan
con la extensión EXE.
Por ejemplo Ransomware puede venir un camuflajeado como un PDF de la siguiente forma: "Libro.pdf.exe"

¿Cómo eliminar el virus Ransomware?

Existen dos tipos de bloqueos después de infestarse:

Bloqueo sin encriptación y con encriptación.
En el primer caso se deshabilita el Administrador de tareas, se bloquea el acceso al Registro y el explorador
de Windows. Es posible tomar el control instalando un antivirus específico.
En el segundo caso no existe remedio y la única solución es formatear y volver a instalar el sistema
operativo.
En el primer caso el equipo se puede recuperar el sistema creando en otro equipo un disco de inicio o
arranque con un antivirus. También puede crearse en un USB.
Al iniciar el equipo desde el disco o el USB, el antivirus se iniciará primero que Windows y podrá desinfestar
el sistema.

No pagar el rescate

El subdirector de servicios de ciberseguridad del Instituto Nacional de Ciberseguridad (Incibe), Marcos

Gómez, ha pedido a las empresas y usuarios que sufran el ciberataque en sus ordenadores que no paguen
el rescate y acudan a las autoridades.

El Incibe recomienda descartar la opción de pagar ya que no se tiene ninguna "garantía" de que se vayan a
recuperar los datos, y que se acuda en seguida a autoridades oficiales como el Incibe, que depende del
Ministerio de Energía, Turismo y Agenda Digital.

¿Qué antivirus usar para eliminar el Ransomware?

✓ Para eliminar el virus Ransomware la mejor opción es crear un disco de arranque del sistema e iniciar
desde él.
El antivirus se inicia antes de Windows y elimina completamente el virus.
Para eso es necesario descarga desde otro equipo, un archivo ISO para crear un disco de rescate.
Puedes usar el que proporciona Kaspersky gratis.
También puedes crear un ejecutable en el USB.
http://support.kaspersky.com/viruses/rescuedisk

✓ Para el virus de la Policía puedes usar la herramienta de Infospyware llamada Polifix

http://www.infospyware.com/antimalware/polifix

¿Cómo recupero la información?

Gómez también ha señalado que es "factible" recuperar la información secuestrada, Aunque nunca es fácil
encontrar la clave de cifrado que establece el secuestrador, en el caso del virus que ha infectado a
Telefónica, que es una versión de WannaCry, es factible recuperar los sistemas y existe un elevado ratio de
éxito.

En este sentido, recuerda que el Incibe cuenta desde principios de año, a través de un servicio de
descifrado de ficheros (antiransomware) gratuito, que tiene un ratio de éxito de entre un 65% y un 80%,
dependiendo del tipo de malware.

Ante un ataque de estas características, la víctima debe resetear el equipo e instalar las copias de seguridad
y después parchear bien el sistema para que no utilicen la misma vía de entrada. El problema viene cuando
no se han realizado estas copias, ya que la única manera de acceder a la información secuestrada es
descifrando los ficheros.

Una vez que se obtienen las claves, se tarda entre 24 y 48 horas en recuperar el equipo si se trata de
desbloquearlo, y algo menos de tiempo si se trata de recuperar la copia de seguridad, que sería como
copiar información de un disco duro a otro.