Una ola de ciberataques golpeó ayer de forma simultánea a grandes empresas y servicios públicos en Ucrania y Rusia, y se propagó a multinacionales de otros países, recordando el modus operandi de los ataques extorsivos de mayo.
El ataque, que comenzó contra empresas ucranianas y la petrolera rusa Rosneft, afectó luego en Europa a otras compañías mundiales como el transportista marítimo danés Maersk o al grupo alemán Beiersdorf.
El laboratorio farmacéutico Merck anunció poco después que su “sistema informático mundial” también había sufrido el ataque, convirtiéndose en la primera víctima conocida en Estados Unidos.
El virus "se propaga en el mundo entero, un gran número de países se vieron afectados", avisó en Twitter Costin Raiu, investigador de la empresa de seguridad informática rusa Kaspersky.
Según varias empresas afectadas, este virus hacía aparecer en la pantalla de las computadoras una petición de rescate de 300 dólares.
"Nuestro análisis preliminar sugiere que no se trata de una variante del ransomware Petya, como sugerido previamente, sino de un nuevo ransomware, que nunca se había visto hasta la fecha. Por eso lo hemos apodado NotPetya", explicó Kaspersky en un comunicado.
Los ramsomware son programas malintencionados que cifran los archivos informáticos y fuerzan a sus usuarios a pagar una suma de dinero, a menudo en forma de moneda virtual.
El 12 de mayo, otro ransomware, el virus Wannacry, afectó a cientos de miles de computadoras en el mundo entero, y paralizó los servicios de salud británicos, así como las fábricas del gigante automovilístico francés Renault.
El editor estadounidense de antivirus Symantec atribuyó aquel ciberataque al grupo de piratas informáticos Lazarus, sospechoso de actuar en connivencia con Corea del Norte. No obstante, Pyongyang desmintió cualquier vínculo con el incidente.
Vuelos aplazados
En Ucrania, el primer ministro, Volodymyr Groïsman, habló de un ataque "sin precedentes".
Los sistemas de monitoreo de radiación en la siniestrada central nuclear de Chernóbil también se vieron afectados por el virus y tuvieron que ser apagados, según la agencia ucraniana encargada de vigilar el área. En un comunicado, el Banco Central de Ucrania indicó haber "señalado a los bancos y a los demás agentes del mercado financiero un ataque informático externo perpetrado contra bancos ucranianos y empresas públicas y comerciales".
Asimismo, todas las pantallas de información de vuelos, excepto una, dejaron de funcionar en el aeropuerto Borispol de Kiev, declaró la dirección en la red Facebook, sin descartar que algunos vuelos sean aplazados a causa de ello.
En Europa, varias multinacionales fueron alcanzadas por el virus, entre ellas el transportista marítimo danés Maersk o el grupo británico de publicidad WPP.
En Francia, el industrial Saint-Gobain, la compañía de distribución Auchan y la empresa ferroviaria SNCF sufrieron el ataque.
Según una fuente cercana al caso, todavía es “demasiado pronto” para saber cuántas empresas se han visto afectadas y conocer el alcance de los daños. Se establecerá una colaboración a nivel mundial entre los diferentes servicios policiales, como sucedió tras el ciberataque de mayo, según esta fuente.
La fiscalía de París abrió por su parte una investigación.
En Alemania, según la cadena de televisión regional NDR, “no funciona nada en la sede” de Beiersdorf, el fabricante de la crema Nivea, y muchos de sus empleados tuvieron que volver a casa.
En Asia, un responsable del Centro de alerta informática de India señaló que todavía no se había registrado ninguna incidente sobre este ataque.
Ya cruzó el océano y llegó a la Argentina, Chile y México
El jefe del Laboratorio de Investigación de ESET Latinoamérica, Camilo Gutiérrez Amaya, aseguró que la información disponible (hasta anoche) era limitada, “pero por cómo se va propagando, se parece al WannaCry”, el ransomware que a comienzos de mayo afectó a cientos de miles de computadoras en todo el mundo, y comparte con éste “características de gusano: se propaga a otras máquinas dentro de la red”, detalló el especialista.
De hecho, este ransomware ya cruzó el océano y llegó hasta Latinoamérica, en particular a la Argentina, Chile, Colombia y México, aseguró Gutiérrez Amaya, aunque no brindó detalles sobre la identidad de las víctimas.
“Los primeros análisis muestran que los archivos que el ransomware cifra son pocos comparados con otras amenazas. Pero son archivos .doc, .xls, .zip y otros en los que los usuario suelen almacenar información importante, lo que lo hace perjudicial para las empresas”, precisó el especialista argentino.
El año pasado se detectaron 62 nuevas familias de ransomwares.
¿Cómo funcionan y cómo protegerse?
¿Qué es un ransomware?
Los ransomware son programas malintencionados que cifran los archivos informáticos y fuerzan a sus usuarios a pagar una suma de dinero, a menudo en forma de moneda virtual, para recuperar su uso. Estos dispositivos son utilizados tanto en las computadoras como en las tablets y teléfonos celulares. Estos afectan a la vez a particulares y empresas e instituciones.
¿Cómo funcionan?
Los piratas informáticos toman en general el control de las computadoras aprovechando las fallas de internet. Esto puede pasar porque la víctima consulta una página web ya infectada o porque abre un e-mail que lo invita a hacer clic en un enlace o a descargar un archivo adjunto. En unos segundos, el programa puede implantarse. “Cuando se instala, no tiene carga viral y no puede ser detectado”, explicó a Laurent Maréchal, experto en ciberseguridad en McAfee.
Es recién después cuando descarga el “payload”, es decir la carga viral, explica el especialista. Entonces, la computadora se encuentra cifrada y bloqueada. “En la mayoría de los casos, el usuario debe enviar un SMS y hacer efectivo el pago para obtener un código de desbloqueo”, detalla Maréchal.
¿Son frecuentes los ataques con ramsomware?
Sí. El fenómeno no deja de aumentar. Según el editor de programas de seguridad de Kapersky Lab, el año pasado se detectaron 62 nuevas familias de ransomwares" Y según McAfee, el número de muestras detectadas aumentó en un 88% en 2016, para alcanzar a los cuatro millones.
¿Cómo protegerse de semejante operación?
Se pueden seguir varias reglas simples para reducir los riesgos de infección, tanto en el caso de este ciberataque como para el conjunto de ransomware. Entre ellas, realizar a menudo actualizaciones de los programas de seguridad, que permiten corregir las fallas explotadas por los virus.
En caso de incidente, las autoridades aconsejan además desconectar inmediatamente de la red los equipos infectados, con el objetivo de aislarlos. En caso de que un virus afecte a una empresa o a una institución, es conveniente alertar lo más rápido posible a los responsables informáticos.
Tanto las autoridades como los editores de programas recomiendan, también de manera expresa, a las empresas y a los particulares no pagar el rescate. “Esto no garantiza que se restaure el acceso a los datos”, advirtió en un comunicado el ministerio de Seguridad Nacional estadounidense.
