Un nuevo ciberataque afecta a multinacionales con sede en España

Se trata de una variante de Petya que cifra el sistema operativo y puede propagarse por el resto de ordenadores conectados a esa red

EDURNE MARTÍNEZMADRID

Un nuevo ciberataque acecha a grandes empresas de todo el mundo. En este caso se trata de un mecanismo de propagación similar al de Wannacry. El 'malware' utilizado es una variante de Petya, cifra el sistema operativo o disco duro y una vez infectado una máquina, puede propagarse por el resto de sistemas conectados a esa misma red, según informan expertos de la empresa de ciberseguridad Innotec consultados por este diario.

Este ataque se ha detectado ya en empresas ubicadas en Ucrania y en algunas multinacionales con sede en España. Para el descifrado de los archivos, la campaña solicita un rescate en bitcoin de 300 dólares, informan las mismas fuentes.

El método de infección es "mucho más peligroso" que el Wannacry porque se trata de un ataque por 'phising', es decir, los usuarios reciben un correo electrónico y al abrirlo los ciberdelincuentes cifran el equipo. "Una vez infectado, el virus funciona igual que el Wannacry", explica a este diario José Rosell, socio director de S2 Grupo.

Los impactos en España "son claros". La multinacional Maersk, con oficinas en todo el mundo, tiene todo su sistema informático caído. Según el experto, "es posible" que alguna entidad financiera y alguna empresa española esté también entre las afectadas, aunque confiesa que "aún es pronto para confirmarlo".

Multinacionales con sede en España

El Centro Criptológico Nacional (CCN), adscrito al Centro Nacional de Inteligencia (CNI), ha confirmado que se ha identificado el ciberataque de un virus ransomware de la familiar Petya, que tiene un comportamiento similar al WannaCry, contra varias multinacionales con sede en España, según informa en un comunicado.

En concreto, el equipo del CCN-CERT alerta ante la detección de una campaña de ransomware que afecta a sistemas Windows, cifrando el sistema operativo o disco y cuya propagación es similar a la de WannaCry, es decir, una vez ha infectado una máquina puede propagarse por el resto de sistemas conectados a esa misma red.

Entre las empresas multinacionales con sede en España se encuentra Mondelez Internacional, que ha confirmado que está sufriendo una incidencia en sus sistemas de información a nivel internacional y que su equipo global de gestión de situaciones especiales está trabajando en ello para encontrar una solución "lo más rápido posible".

Víctimas del ataque

El primer ministro ucraniano, Volodimir Groisman, ha denunciado un ataque "sin precedentes", si bien ha destacado en un mensaje de Facebook que "los sistemas importantes no se han visto afectados", según la agencia de noticias Reuters, que ha confirmado acciones contra varias entidades financieras, entre ellas el Banco Central, y el aeropuerto internacional de Borispil.

Por otra parte, los medios holandeses han informado de que el ciberataque ha afectado a 17 terminales de carga controladas por la empresa APM -filial de Maersk- en distintos puertos del mundo, entre ellos dos de Rotterdam. Un portavoz de la empresa en Copenhague también ha confirmado que sus sistemas se han visto afectados.

El viceprimer ministro ucraniano, Pavlo Rozenko, ha confirmado también la caída de la red del Gobierno y ha difundido en Twitter la imagen de una pantalla de ordenador en la que muestra un mensaje de error.

Por su parte, la petrolera rusa Rosneft ha informado de que ha sido objeto de "un poderoso ataque informático", aunque ha subrayado que un reciente cambio en sus sistemas ha evitado la interrupción de la producción.

Asimismo, la multinacional británica WPP ha informado de que varias de sus empresas se han visto afectadas por "un presunto ataque informático", señalando que la compañía ha adoptado las medidas apropiadas.

Recomendaciones

Como medidas de prevención y mitigación, los expertos recomiendan actualizar el sistema operativo y todas las soluciones de seguridad, así como el cortafuegos personal habilitado. También utilizar solo protocolos seguros en los accesos administrativos desde fuera de la organización.

Además, es importante mantener una conducta de navegación segura, empleando herramientas y extensiones de navegador web completamente actualizado, así como ctivar la visualización de las extensiones de los ficheros para evitar ejecución de código dañino camuflado como ficheros legítimos no ejecutables.

En el caso de haberse visto afectados por esta campaña y no dispusieran de copias de seguridad, se recomienda conservar los ficheros que hubieran sido cifrados por la muestra de ransomware antes de desinfectar la máquina, ya que no es descartable que en un futuro apareciera una herramienta que permitiera descifrar los documentos que se hubieran visto afectados.

Fotos

Vídeos