Multinacionales del transporte y la logística, el Parlamento británico, empresas petroleras y bancos ucranianos y rusos están entre las primeras víctimas conocidas de un ciberataque mundial con ransomware (software que encripta ordenadores) que amenaza con ser peor que el reciente de Wannacry, que afectó al menos 300.000 máquinas en sus primeras 72 horas, y que se aprovecha del mismo fallo del sistema operativo Windows de Microsoft.
El Centro de Alerta Temprana de Seguridad e Industria (Certsi) confirmó ayer que había varias multinacionales afectadas en España, aunque ninguna reconoció públicamente el ataque, como suele ser habitual. Aunque se vieron afectadas delegaciones españolas de la empresa de transporte de contenedores Maersk, la cristalera Saint Gobain y la cadena de supermercados Auchan. El Parlamento británico también sufrió el ataque, así como muchas empresas, infraestructuras y bancos en Ucrania, Rusia, Polonia, Italia, Alemania, Suiza y el Reino Unido. A última hora de la tarde se informó ya de los primeros casos en EEUU.
SIN RELEVANCIA / El ministro de Energía, Turismo y Agenda Digital, Álvaro Nadal, dijo que el Gobierno había puesto sobre aviso a las infraestructuras estratégicas ante la nueva amenaza, si bien subrayó que en España no tiene, al menos de momento, demasiada relevancia. «Creemos que no va a afectar a usuarios particulares porque ataca una vulnerabilidad que un equipo doméstico ya ha solucionado con las actualizaciones de Windows», afirmaba Vicente Díaz, analista jefe de Kaspersky en España.
El responsable del ciberataque es, según Symantec y otras compañías de antivirus, una variante del virus Petya.A o Petrwrap, de cuyo original alertaron el pasado mes de marzo. Se trata de un ransomware que encripta el directorio principal del disco duro del ordenador y reinicia el equipo. Cuando la máquina vuelve a estar en marcha, el virus descarga un archivo que muestra una pantalla con letras rojas que dan un mensaje en inglés sobre el bloqueo de la máquina y que pide 300 dólares en bitcoins. La nueva versión también se autorreplica como Wannacry, con una parte del código en el ordenador del usuario y otra en los servidores, lo que la hace técnicamente mucho más sofisticada, según los primeros análisis. La variante, sin embargo, es tan innovadora que en Kaspersky han decidido nombrarla como un nuevo ransomware y la han bautizado como NotPetya.
El virus informático se vale para difundirse del mismo fallo que aprovechaba el Wannacry, lo que indica que muchos administradores de sistemas no han puesto remedio para solucionarlo. Se trata de un problema en Windows que afecta al protocolo de compartición de archivos del sistema operativo, el SMB. El fallo fue descubierto por la filtracion del material que tenía la NSA para espiar a los ciudadanos de todo el mundo y que reveló el caso Snowden.
Las herramientas, conocidas como Eternal Blue, fueron robadas por un grupo de activistas, Equation Group, que las publicaron para denunciar su existencia. Otro grupo, en este caso llamado Shadow Brokers, se hizo con el kit y se les ha acabado atribuyendo la autoría del Wannacry, aunque algunas fuentes lo ponen en duda. Shadow Brokers, sin embargo, ha anunciado un «servicio de suscripción» al material robado a la NSA o a lo que ellos decidan, según publicaron en un foro de ciberseguridad.
