Un ataque masivo de ransomware ha afectado a varias compañías y organismos de hasta 74 países. Entre los afectados confirmados están Telefónica en España y los hospitales de la NHS, la seguridad social de Reino Unido.

En la sede de Telefónica en Madrid, un grupo de hackers ha tomado el control de varios ordenadores infectados con este tipo de malware, bloqueándolos y mostrando después un mensaje que pide dinero a cambio de liberar los dispositivos. La cantidad exigida son 300 dólares en bitcoins, una moneda virtual.

Estos ataques "se basan en oleadas o campañas que buscan a través del correo electrónico infectar una red y, a partir de ahí, lograr acceso al resto de los equipos", explica a eldiario.es Marcos Gómez, subdirector del servicio de ciberseguridad del INCIBE (Instituto Nacional de Ciberseguridad).

"Una vez infectado un equipo, [el ransomware] busca alguna vulnerabilidad de la red que ataca para buscar más equipos vulnerables y sabotearlos", continúa Gómez, que no esconde que haya varias empresas españolas afectadas, aunque rechaza dar nombres sobre el resto de compañías a las que el INCIBE está prestando soporte.

El dato de que hay varias compañías que han sufrido el ataque en España ha sido también confirmado por el CNI, que en la web del Centro Criptográfico Nacional ha alertado de "un ataque masivo que afecta a un elevado número de organizaciones españolas", sin detallar cuáles.

La vulnerabilidad que ha provocado este ataque fue parcheada en marzo por la compañía de Bill Gates. El INCIBE también menciona otra vulnerabilidad de este mismo mes, ya parcheada también.

España no es el único país afectado. El ataque a nivel mundial ha golpeado también a los hospitales de la NHS de Reino Unido, según ha confirmado el periódico The Guardian. Muchos centros han tenido que desviar a los pacientes de urgencias a otros centros cercanos. Los ordenadores de los hospitales han recibido un mensaje igual que el de Telefónica, que exigía la misma cantidad de dinero por liberar el equipo.

Los hospitales británicos, nada más tener conocimiento del ataque han desconectado sus equipos de la red. Entre los afectados se encuentran todos los del distrito financiero de Londres así como los del este de la capital. Otros centros en Manchester y Liverpool también han sido atacados por WCry, nombre con el que se conoce a este programa malicioso.

El ransomware WCry es un tipo de malware que se caracteriza por el secuestro del ordenador, donde el atacante "bloquea" todos los archivos del disco duro y pide un rescate por ellos.

De momento, al menos 74 países habrían sufrido ataques de WCry, según Costin Raiu, responsable del equipo de investigación de la firma de seguridad Karspersky. Advierte que por el momento han registrado más de 45.000 ataques de este ransomware y que el número sigue creciendo.

So far, we have recorded more than 45, 000 attacks of the #WannaCry ransomware in 74 countries around the world. Number still growing fast.

Cuenta Motherboard que Rusia suma el mayor número de amenazas con 29. En segundo lugar se sitúa Taiwán y en tercero está España.

El Gobierno ha emitido un comunicado en el que dice estar trabajando "con las empresas afectadas con el objetivo de solucionar cuanto antes la incidencia". El ministerio de Energía, Turismo y Agenda Digital señala que el ataque "no afecta ni a la prestación de servicios, ni a la operativa de redes, ni al usuario de dichos servicios".

La alerta, sin embargo, se ha extendido a otras grandes compañías que trabajan con conexión Movistar como Iberdrola o Vodafone, que han pedido a sus trabajadores que no usen sus equipos conectados a Internet.

Fuentes de Gas Natural explican a este diario lo siguiente: "Hemos desconectado los ordenadores de forma preventiva, pero aún no sabemos daños. Las unidades críticas de negocio funcionan con normalidad, porque van por otras plataformas, no por Wifi". En el Grupo Prisa piden a sus empleados, a través de un correo interno, que "cuando acabe su jornada laboral, apague su estación" y les recuerdan que no deben "abrir ni ejecutar documentos o archivos adjuntos o hacer 'clic' en vínculos de correo electrónico o de publicaciones de redes sociales".

Sobre las 12 de la mañana, "han empezado a salir pantallazos azules" en los equipos de los trabajadores de Telefónica en la sede en Madrid, según relatan fuentes internas, que hacen referencia a un error de disco. Las mismas fuentes añaden que, a continuación, la compañía ha avisado por megafonía que debían desconectar inmediatamente los ordenadores. La alerta por los altavoces solo suena en casos de evacuación del edificio.

Según empleados de Telefónica, "se han desenchufado los ordenadores, las regletas eléctricas y el resto de equipos" así como las VPN (redes de trabajo internas), y se ha pedido que no se saquen equipos informáticos del edificio.

En varias capturas de pantalla a las que ha tenido acceso eldiario.es, se ve un mensaje típico de los ataques de ransomware, en el que los hackers 'secuestran' los equipos, avisan de que los archivos han sido cifrados y piden una cantidad económica para liberarlos.

En este caso, los atacantes dan un plazo de unas horas para liberar los archivos previo pago de 300 dólares en bitcoins, lo que al cambio son 0, 1675 btc. Si no se hace, el 15 de mayo subirán el precio del rescate y el 19 de mayo serán eliminados definitivamente. El virus podría haber afectado a archivos internos de la compañía.

Fuentes oficiales de Telefónica han rebajado la importancia del suceso. Según aseguran a este diario, habría afectado a unos cien ordenadores de un total de 40.000 y no afecta al servicio que presta la compañía. Un trabajador de la compañía explica a este diario que solo en su planta "hay unos 100 o 150 ordenadores" y que el ataque ha afectado "a todo el edificio". En la sede de Telefónica de Madrid trabajan unas 15.000 personas.