Un nuevo ciberataque insiste en el mismo fallo que el ‘Wannacry’

El Centro de Alerta Temprana de Seguridad e Industria (CERTSI) ha confirmado que hay varias multinacionales afectadas en España, aunque ninguna ha reconocido públicamente el ataque, como suele ser habitual. Aunque se han visto afectadas delegaciones españolas de empresa de transporte de contenedores Maersk, la cristalera Saint Gobain y la cadena de supermercados Auchan. El Parlamento británico también ha sufrido el ataque, así como muchas empresas, infraestructuras y bancos en Ucrania, Rusia, Polonia, Italia, Alemania, Suiza y Reino Unido. A última hora de la tarde se han informado ya de los primeros casos en Estados Unidos.

El ministro de Energía, Turismo y Agenda Digital, Álvaro Nadal, dijo que el Gobierno ha puesto sobre aviso a las infraestructuras estratégicas ante la amenaza, si bien subrayó que en España no tiene, al menos de momento, demasiada relevancia. «Creemos que no va a afectar a usuarios particulares porque ataca una vulnerabilidad que un equipo doméstico ya ha solucionado con las actualizaciones de Winsows», afirma Vicente Díaz, analista jefe de Kaspersky en España.

SE AUTORREPLICA // El responsable del ciberataque es, según Symantec y otras compañías de antivirus, una variante del virus Petya.A o Petrwrap, de cuyo original alertaron el pasado mes de marzo. Se trata de un ransomware que encripta el directorio principal del disco duro del ordenador y reinicia el equipo. Cuando la máquina vuelve a estar en marcha, el virus descarga un archivo que muestra una pantalla con letras rojas que dan un mensaje en inglés sobre el bloqueo de la máquina y que pide 300 dólares en bitcoins. La nueva versión también se autorreplica como Wannacry, con una parte del código en el ordenador del usuario y otra en los servidores, lo que la hace técnicamente mucho más sofisticada, según los primeros análisis.

La variante, sin embargo, es tan innovadora que en Kaspersky han decidido nombrarla como un nuevo ransomware y la han bautizado como NotPetya.

El virus se vale para difundirse del mismo fallo que aprovechaba el Wannacry, lo que indica que muchos administradores de sistemas no han puesto remedio para solucionarlo. Se trata de un problema en Windows que afecta al protocolo de compartición de archivos del sistema operativo, el SMB. El fallo fue descubierto por la filtracion del material que tenía la NSA para espiar a los ciudadanos de todo el mundo y que reveló el caso Snowden.

Las herramientas, conocidas como Eternal Blue, fueron robadas por un grupo de activistas, Equation Group, que las publicaron para denunciar su existencia. Otro grupo, en este caso llamado Shadow Brokers, se hizo con el kit y se les ha acabado atribuyendo la autoría del Wannacry, aunque algunas fuentes lo ponen en duda. Shadow Brokers, sin embargo, ha anunciado un «servicio de suscripción» al material robado a la NSA o a lo que ellos decidan, según publicaron en un foro de ciberseguridad.

A Wannacry se le pudo frenar porque un informático británico accedió a su código y pudo ver que remitía a una dirección web que además estaba libre. La compró y evitó que el virus se ejecutar en más máquinas. En este caso, Petya.A remite a un correo electrónico en un servidor gratuito que ya ha sido desactivada.

SISTEMAS SIN ACTUALIZAR // «Parece mentira pero sí, hay empresas que no siguen las recomendaciones de las compañías de seguridad», afirma Rodrigo Jiménez de Val, director técnico de la empresa de seguridad Necsia. «No solo no han actualizado los sistemas para reparar el fallo sino que ni siquiera han instalado en el servidor un script para anular el puerto afectado por EternalCry, algo que se hace en cinco minutos», añade indignado.