Así actúa 'WannaCry', el 'ransomware' que ha atacado a las grandes empresas

Varias organizaciones españolas, entre las que se encuentra Telefónica, han sido victimas este viernes de un ciberataque de tipo ransomware, que secuestra los equipos y la información que contienen y solicita una suma de dinero para liberarlos, según ha informado Europa Press.

El Centro Criptológico Nacional (CCN), adscrito al Centro Nacional de Inteligencia (CNI), ha alertado del ataque y ha explicado que se trata de un malware denominado WannaCry, que afecta a sistemas Windows cifrando todos sus archivos y los de las unidades de red a las que estén conectadas, e infectando al resto de sistemas Windows que haya en esa misma red.

Como explica el director general de Sophos Iberia, Ricardo Maté, algunos empleados de las entidades afectadas recibieron por la mañana un correo electrónico pidiendo el pago de dinero en bitcoins para eliminar las restricciones a los archivos y equipos secuestrados, que habían cifrados por el propio virus.

El ransomware Wannacry tiene la particularidad de que en determinadas condiciones se propaga solo, como ha apuntado el socio director de S2 Grupo, José Rosell. Esto significa que el malware, al igual que otros similares, necesita una vía de acceso, un email por ejemplo, pero una vez ha infectado el sistema, se propaga solo por el resto de equipos a través de la Red.

Esto hace que la recomendación de no pinchar en emails sospechosos no sea suficiente, dado que no es necesario que todos los miembros de la empresa pinchen en correo para su difusión, sino que una vez ha conseguido entrar, lo que lo frena es bien apagar los equipos bien desconectar la red. De hecho, los equipos pueden seguir encendidos si no están conectados a la red.

No obstante, y aunque la prevención sobre los emails no sea suficiente, conviene recordar algunos consejos para enfrentarse a una posible ataque de ransomware, como explican desde Sophos Iberia, que entienden como imprescindible realizar copias de seguridad periódicamente y cifrarlas para que solo las personas autorizadas puedan hacer uso de los archivos. Más aún, las copias de seguridad no deben estar guardadas en el mismo ordenador.

En cualquier caso, hay que tener actualizados los equipos y programas. El malware aprovecha las vulnerabilidades en el software, y en este caso específico ha aprovechado una vulnerabilidad de Windows ya conocida, como ha apuntado Rosell, quien ha matizado que esta vulnerabilidad contaba con una actualización que la corregía, pero no disponible para versiones anteriores a Windows 7.

Un nuevo ciberataque masivo afecta a grandes empresas e instituciones de varios países europeos

Ver más

También aconsejan no habilitar los macros, dado que, como explica, gran parte del ransomware se distribuye a través de documentos Office que engañan a los usuarios para que habiliten los macros e incluso valorar la instalación de visores de Microsoft Office, dado que permiten ver un fichero Word o Excel sin macros.

También les aconsejan desde la compañía de seguridad que en las empresas se conecten como administrador solo el tiempo necesario, y evitar navegar o abrir documentos en ese tiempo, además de ofrecer a sus empleados formación en seguridad para evitar problemas.

Asimismo, recomiendan segmentar la red local, como explican desde Sophos, es decir, separa las distintas áreas con un firewall, de manera que los sistemas y servicios solo sean accesibles cuando son realmente necesarios. Y por último, es imprescindible contar con una solución de ciberseguridad para ransomware instalada en los equipos.