Varias grandes empresas españolas, entre ellas Telefónica, Gas Natural e Iberdrola, han sufrido este viernes por la mañana un ciberataque en toda regla.  El Centro Criptológico Nacional (CCN), adscrito al Centro Nacional de Inteligencia (CNI), ha confirmado de que se ha tratado de un "ataque masivo de ransomware" a varias organizaciones aprovechando una vulnerabilidad de los sistemas Windows.

Un ramsonware  es un virus que es capaz de bloquear un ordenador desde una ubicación remota y que secuestra sus archivos y no los libera hasta que consigue el pago de un rescate.

El centro, que ha difundido una alerta de nivel "muy alto", explica que este virus, que es una versión de WannaCry, infecta la máquina cifrando todos sus archivos y, utilizando una vulnerabilidad de ejecución de comandos remota a través de SMB, se distribuye al resto de máquinas Windows que haya en esa misma red. El organismo dependiente del CNI recuerda que Microsoft informó de esta vulnerabilidad el día 14 de marzo en su boletín y que hace unos días se hizo pública una prueba de concepto que parece que ha sido el desencadenante de la campaña,  y recomienda instalar los últimos parches de seguridad. 

La peor parte se la ha llevado Telefónica. El virus ha afectado a varios ordenadores de la red interna de Telefónica, obligando a la compañía a apagar todos los equipos de su sede central en Madrid, lo que ha provocado que otras grandes empresas activaran medidas preventivas para evitar daños: apagar los equipos informáticos y cortar el acceso a Internet a sus empleados.

Trabajadores de la operadora informaron de que algunos de los ordenadores presuntamente afectados han aparecido con la pantalla azul, mientras que otros mostraban un mensaje de infección. 

Fuentes de Telefónica han explicado que tras detectar el problema de seguridad informática, la empresa ha optado por apagar todos los equipos de la intranet del edificio del Distrito Telefónica como medida preventiva.

En un mensaje interno enviado a la plantilla con el asunto "Urgente; Apaga tu ordenador ya" al que ha tenido acceso a Europa Press, la compañía ha comunicado que el equipo de seguridad ha detectado el ingreso a la red de Telefónica de un malware que afecta a los datos y ficheros.

El jefe de la división de datos de la compañía, el antiguo hacker  Chema Alonso, ha confirmado en su cuenta de Twitter que sí se trata de un ataque de ramsonware. Es más, portavoces de Telefónica sí han explicado que en varios de los ordenadores afectados, en la pantalla se pedía en pago de una cantidad en bitcoins equivalente a 300 dólares (276 euros). En caso de no pagarse el rescate se subirá la cifra de resctae y, llegado el día 19, borrarían los archivos a los que han tenido acceso. 

La compañía ha solicitado a los trabajadores que apaguen el ordenador y no vuelvan a encenderlo "hasta nuevo aviso". Además, les recomienda que desconecten el móvil de la red de WiFi, aunque no es necesario que lo apaguen. Además, también señalan que les están pidiendo que quiten las baterías a los portátiles y que no se lleve nadie el ordenador a casa.

Asimismo, añade que cuando la situación este normalizada se lo comunicarán a través de un correo al teléfono móvil y que el martes informará en las entradas de los edificios sobre el acceso a la red.

En lo que sí han hecho mucho hincapié los portavoces en que se trata de ordenadores de la red corporativa y que en ningún momento se ha visto afectado el negocio de la multinacional. Han resaltado, además, que los trabajadores continúan desempeñando sus funciones trabajando con dispositivos móviles, por lo que asegura que el servicio no se ha visto afectado, así como tampoco los usuarios.

Precaución en las grandes empresas del Ibex

Ante esta situación, otras grandes empresas han solicitado también de forma preventiva a sus trabajadores de oficina que apaguen sus ordenadores para evitar cualquier riesgo, como es el caso de Iberdrola o Gas Natural Fenosa.

Por su parte, fuentes de Vodafone han asegurado que la compañía no ha sido atacada por ningún virus, pero han decidido cortar el acceso a Internet de los empleados también como medida preventiva.

Desde Orange señalan que mantienen operativas las comunicaciones de sus empleados y, en estos momentos, a la vista de lo sucedido en otras compañías, están "adoptando medidas preventivas" que garanticen la seguridad de sus comunicaciones.

Por su parte, otras empresas en como BBVA, Santander o Capgemini han negado que hayan sufrido algún ataque o incidencia de estas características como se había publicado y afirman que están funcionando con total normalidad.

El CNN recomienda actualizar los sistemas a su última versión o parchear según informa el fabricante. Para los sistemas sin soporte o parche, como Windows 7, se recomienda aislar de la red o apagar según sea el caso.

El Gobierno: todo controlado

El Ministerio de Energía, Turismo y Agenda Digital afirma que el ataque informático "no afecta ni a la prestación de servicios, ni a la operativa de redes, ni al usuario de dichos servicios".

Así lo ha asegurado en un comunicado en el que explica que el virus ha afectado puntualmente a equipos informáticos de trabajadores de varias organizaciones.

El Ministerio, que está trabajando con las empresas afectadas para solucionar la incidencia a través del Instituto Nacional de Ciberseguridad (Incibe), ha aclarado que el ataque "no compromete la seguridad de los datos ni se trata de una fuga de datos".

Por el momento, el instituto está ofreciendo ayuda a las empresas afectadas y asesorando a otras en una labor de prevención. Asimismo, los equipos de respuesta a incidentes cibernéticos nacionales están en contacto con las organizaciones afectadas y con el Centro Nacional para la Protección de las Infraestructuras Críticas del Ministerio del Interior.