Un nuevo ataque cibernético con un virus ransomware, que bloquea el acceso a determinadas partes o archivos del sistema infectado y pide un rescate a cambio de restablecerlo, paralizó ayer decenas de empresas y organismos en todo el mundo.
Es la segunda vez en dos meses que un troyano de este tipo se extiende por todo el mundo afectando en esta ocasión a bancos, un aeropuerto, la vigilancia de radiación de la antigua central atómica de Chernobyl, que tuvo que medirse manualmente, y decenas de empresas más. “Estamos respondiendo con urgencia a los informes de otro importante ataque de ransomware contra las empresas en Europa”, dijo Rob Wainwright, director ejecutivo de Europol, la agencia policial europea. Una empresa informó que el virus se llama “Petya.A”. Asimismo, se indicó que reclamaban el pago de 300 dólares en bitcoin (medio digital de intercambio) para restablecer el funcionamiento de los sistemas afectados.
Ucrania fue el país más afectado por este nuevo ataque. Decenas de negocios de este país, entre los que había bancos, compañías energéticas, el gigante de la alimentación Mondelez (que fabrica las marcas Milka y Oreo), el servicio postal estatal e incluso el aeropuerto de Kiev Boryspil vieron sus sistemas bloqueados por el ataque del virus. El primer ministro de Ucrania, Volodymyr Groysman, calificó el ataque como sin precedentes. “Nuestros especialistas en tecnologías de la información hacen su trabajo y protegen las infraestructuras cruciales”, escribió en la red social Facebook. Por su parte, el Banco Central de Ucrania advirtió también de un ataque con un “virus desconocido”. También webs del gobierno se vieron afectadas.
Asimismo, las compañías estatales rusas de petróleo Rosneft y Bashneft y la compañía naviera danesa Maersk también se encuentran entre los afectados. Mientras, la empresa alemana Beiersdorf, que fabrica Nivea, no quiso pronunciarse sobre la caída de su sistema. Por su parte, la compañía británica de publicidad WPP informó que había sido víctima de un supuesto ciberataque. “Los sistemas de tecnología de la información en varias empresas WPP se han visto afectados por un supuesto ciberataque”, escribió en la red social Twitter. “Estamos tomando las medidas adecuadas e informaremos tan pronto como sea posible”, agregó.
El gigante estadounidense farmacéutico Merck indicó también encontrarse entre los afectados. “Confirmamos que las computadoras de nuestra compañía se han visto comprometidos hoy en el ataque cibernético global. Otras organizaciones se han visto también afectadas”, escribió en Twitter.
Por su parte, el Centro Criptológico Nacional de España alertó también del virus, que una vez que infecta una PC puede propagarse por el resto de sistemas conectados a esa misma red. “Se ha detectado ya en empresas ubicadas en Ucrania y en algunas multinacionales con sede en España”, indicó. “Al menos nueve países europeos fueron blanco de ataques”, dijo Dan Smith, un investigador de seguridad de la información de Radware, una firma de ciberseguridad. “Vi por primera vez informes de este ataque alrededor de las 8 de la madrugada, procedentes de Ucrania, pero es demasiado pronto para saber quién está detrás de esto”, dijo Smith.
De acuerdo con los primeros datos, el ataque fue similar al ocurrido hace más de seis semanas a nivel mundial con el virus “Wanna Cry” (“Quiero llorar”, en inglés) que afectó a 200 mil computadoras en al menos 150 países. En esta ocasión se trata de una versión del programa “Petya”, que se conoce desde el pasado año, y que al igual que “Wanna Cry” reclamó un pago en la divisa digital bitcoin para desbloquear los equipos.
El virus se extendió por el mismo agujero de seguridad en el software antiguo de Microsoft Windows como sucedió con “Wanna Cry”, indicaron desde la empresa de seguridad Symantec y desde la Oficina Federal de Seguridad Informática alemana (BSI). “A la vista de la grave situación de amenaza hacemos de nuevo un llamamiento a las empresas para que se tomen en serio los peligros de la digitalización y lleven a cabo las inversiones necesarias en materia de seguridad tecnológica”, declaró el presidente del BSI, Arne Schönbohm.
Informes inmediatos de que el virus informático era una variante de Petya sugieren que los atacantes serán difíciles de rastrear. Petya estaba a la venta en la llamada dark web (web oscura), donde sus creadores pusieron disponible el ransomware bajo la categoría de “ransomware como un servicio”, un juego en la terminología de Silicon Valley para entregar software a través de Internet, según la firma de seguridad Avast Threat Labs. Eso significa que cualquiera puede lanzar el ransomware con un click, cifrar los sistemas de alguien y exigir un rescate para desbloquearlo. Si la víctima paga, los autores del ransomware de Petya, que se llaman a sí mismos Janus Cybercrime Solutions, obtienen una reducción del pago.
“El ataque es en realidad una versión mejorada y más letal del WannaCry”, asegura Matthieu Suiche, un investigador de seguridad que ayudó a contener la propagación del ransomware WannaCry el mes pasado cuando creó un interruptor para matar el virus que impidió que los ataques se extendieran.
Durante los últimos siete días, Suiche señaló que WannaCry había intentado golpear a otras 80 mil organizaciones, pero se le impidió ejecutar el código de ataque debido al interruptor para matar. Sin embargo, Suiche dijo ayer que no había ningún interruptor para matar los ataques de Petya.
El punto débil en el sistema operativo de Windows fue usado en un primer momento en el pasado por el espionaje estadounidense. Los hackers alertaron de ello el pasado año. Desde hace meses existe una actualización para subsanarlo, pero sigue habiendo aún muchas empresas que no taparon este agujero. Los ataques recientes parecen eludir el popular software de antivirus. En una prueba con 61 soluciones antivirus, sólo cuatro identificaron con éxito el ransomware.