Ayer volvió a ser día de pánico para los administradores de sistemas de medio mundo. Si hace tres décadas los temores se producían por Viernes 13, un virus que permanecía latente y se activaba cada viernes 13, el considerado día de la mala suerte anglosajón, en esta ocasión ha sido el programa Wanna Cry (quiero llorar, en inglés), un ransomware que ha encriptado ordenadores de medio mundo en un ataque indiscriminado que ha afectado sobre todo a las grandes empresas.
Ha habido casos de infección en grandes empresas en España, en la red de hospitales del Reino Unido, en universidades de Italia (Milán), en Estados Unidos y entre empresas y particulares en Rusia, Portugal (la operadora Portugal Telecom), Turquía, Vietnam, Ucrania y Taiwán. Según la empresa de seguridad informática Karspersky, habría más de 45.000 casos en 74 países, y el número sigue creciendo. El programa tiene versiones hasta en 28 idiomas, según la compañía de antivirus Avast.
La primera noticia del ataque del virus en España salió de Telefónica, donde Wanna Cry obligó a apagar ordenadores de la red interna y a desconectar otros que pudieran haberse infectado con el programa malicioso, como admitió la compañía, que tuvo que enviar a muchos empleados a casa para revisar los ordenadores. En las redes sociales aparecieron otros nombres de grandes empresas del Ibex, como BBVA, Iberdrola y Banco Santander. La mayoría negaron haber recibido el virus pero otras fueron confirmando que estaban auditando sus sistemas para encontrar si podrían haber sido infectados.
A mediodía, el Centro Nacional de Seguridad, encargado de la ciberdefensa nacional, alertaba del ataque informático, confirmaba que había sido masivo y que se trataba de una variante del ransomware Hdracrypt llamada Wanna Cry, que tenía la capacidad de replicarse a sí mismo dentro de una red y que exigía el pago de un rescate de 300 dólares (275 euros) en bitcoins (una moneda a la que es muy difícil seguir el rastro) para desencriptar los archivos que el virus había cifrado.
SISTEMAS VULNERABLES / El programa afecta a sistemas con sistema operativo o servidores Windows y se aprovecha de una vulnerabilidad que existe desde el 2009 y sobre la que Microsoft advirtió el pasado 14 de abril, cuando también publicó un parche que debía ser instalado para solucionar el problema. La actualización, de las consideradas «críticas», es decir, obligatoria, afecta a todas las versiones de Windows desde Windows Vista SP2 y Windows Server 2008 SP2. Una de las afectadas es Windows 7, que ya no tiene soporte por parte de la empresa, por lo que esa versión permanece vulnerable, de momento.
Según el Instituto Nacional de Ciberseguridad (Incibe), dependiente del Ministerio de Energía, el ataque afectó a ordenadores concretos y hubo pocas incidencias a niveles de toda una red, aunque sí se pararon varios sistemas informáticos y se desconectaron ordenadores por precaución. También se activaron las alertas ante posibles incidencias en las llamadas infraestructuras críticas, como ha ocurrido en los hospitales del Reino Unido.
En Cataluña, el Cesicat también lanzó una alerta y calificó la amenaza como «crítica». Según sus técnicos, el virus podía llegar como un adjunto en correos electrónicos con el asunto «factura.js». Solo que alguien lo abra, se activa la infección y el programa encripta archivos con las extensiones más habituales de imágenes, textos, presentaciones y documentos, toda la información que guarda un usuario. «Puede ocurrir que un ordenador que se conecta a la red no haya sido actualizado y se infecte, pero al conectarse a otras máquinas que sí estén actualizadas, la infección no traspase», afirma Manel Medina, director de un máster en ciberseguridad. Ceder al chantaje, en estos casos, advierten los investigadores, no significa que los autores del ataque envíen las claves correctas para desencriptar los archivos.
