Los empleados de Telefónica han recibido el aviso de dejar de trabajar y apagar los ordenadores tras un ataque informático con ransomware Las primeras informaciones apuntan a un ataque con origen en China El Ministerio de Energía, Turismo y Agenda Digital y el CNI confirman los ataques Chema Alonso, responsable de la seguridad de Telefónica, quita hierro al ciberataque Así funciona la ciberdelincuencia, el negocio ilícito más lucrativo

La red corporativa de Telefónica ha sido hackeada la mañana de este viernes, según ha podido comprobar EL MUNDO tras consultar con varios empleados en distintas oficinas de la compañía.

El CNI ha confirmado que se trata de un ataque masivo de ransomware a varias organizaciones que se ha llevado a cabo aprovechando una vulnerabilidad en Windows. A su vez, el Ministerio de Energía, Turismo y Agenda Digital, a través del INCIBE (Instituto Nacional de Ciberseguridad), ha asegurado que "el ataque ha afectado puntualmente a equipos informáticos de trabajadores de varias compañías".

El origen de la infección no está confirmado en estos momentos, pero fuentes cercanas a la compañía apuntan que se trata de un ataque con origen en China y que se está pidiendo un rescate en bitcoins. La cifra exigida no está clara, a pesar de la imagen mostrada y podría equivaler a 300 dólares por equipo infectado o a 300 bitcoins, lo que dada la conversación actual serían 509.487 euros.

El ataque informático ha paralizado parte de la red informática de la compañía y numerosos empleados, tanto en Ronda de Comunicación como en la sede de Gran Vía en Madrid, no pueden trabajar o han sido enviados a sus domicilios.

Todos los empleados han recibido el aviso de apagar los ordenadores, incluidos colaboradores externos de la empresa que se conecten mediante VPN. Una cifra por determinar de equipos han mostrado pantallazos azules y errores a causa de la desconexión de la red, mientras que otros han mostrado rótulos e imágenes en referencia al rescate.

Fuentes de Telefónica, aseguran a EL MUNDO, que en torno a un 85% de los ordenadores de la compañía han sido afectados por el gusano informático, que ha utilizado una traza similar a programas empleados en el pasado por SLAVIC. El CNI explica que este virus es una versión de WannaCry, que infecta la máquina cifrando todos sus archivos y, utilizando una vulnerabilidad de ejecución de comandos remota a través de SMB, se distribuye al resto de máquinas Windows que haya en esa misma red.

En el mensaje que aparece en pantalla, se exige un rescate en bitcoins para antes del 15 de mayo. En caso de no pagarse en dicho momento, se subirá la cifra y, llegado el día 19, borrarían los archivos a los que han tenido acceso. Esta táctica es bastante habitual en los ataques con ransomware.

Desde Telefónica, admiten el ataque y cifran en cientos los ordenadores afectados. No ha afectado a consumidores ni clientes de Movistar, que siguen pudiendo llamar y navegar por Internet en sus terminales. Sin embargo, según ha podido confirmar EL MUNDO, el servicio de atención al cliente está funcionando con problemas.

Una de las figuras más mediáticas en lo que respecta a la seguridad de Telefónica, Chema Alonso, ha acudido a Twitter para quitar hierro al ataque. "Las noticias son exageradas y los compañeros están trabajando en ello ahora mismo", asegura.

El ataque afecta a otras grandes empresas españolas

Pese a que inicialmente se ha señalado que BBVA, Vodafone y Capgemini también habían sido atacadas, desde el banco niegan estas informaciones y aseguran estar funcionando con total normalidad, mientras que Vodafone transmite un mensaje similar: están haciendo las comprobaciones pertinentes, pero todo funciona con normalidad en su red, según han confirmado a este periódico. En cuanto a Capgemini, ha comunicado mediante nota de prensa que no han sido atacados en ningún momento.

Otras grandes empresas españolas sí han sido atacadas. Iberdrola, según fuentes a las que ha podido tener acceso este periódico, ha pedido a sus empleados por megafonía que apagaron los ordenadores y dejaran de trabajar, si bien no han confirmado que hayan sufrido ningún ataque y parecen haber desconectado sus equipos como medida preventiva.

A su vez, Gas Natural, en su edificio de Madrid, ha apagado los ordenadores de todos sus empleados después de que apareciese el mensaje que exige el rescate en bitcoins que también ha aparecido a Telefónica.