La sede de Telefónica en Madrid ha sufrido hoy un ataque informático que se ha extendido entre los equipos de cientos de empleados de la compañía, según han confirmado a Teknautas fuentes de la compañía y empleados de la operadora. Pero no es la única gran empresa afectada. El Centro Criptológico Nacional y Centro Nacional de Inteligencia ha confirmado que el ataque es nacional (CCN-CERT) y afecta a un "elevado número de organizaciones españoles". Y España no es tampoco el único país que lo está sufriendo: el ataque ya se ha extendido a nivel mundial.

Así fue el primer ciberataque masivo que ha paralizado el mundo Manuel Ángel Méndez Viernes negro para la ciberseguridad. Un ataque masivo de 'ransomware' que comenzó tumbando a Telefónica se ha extendido paralizando a medio planeta. Ya hay 100 países afectados

Cientos de empresas en múltiples países están ya sufriendo el mismo ataque que ha sufrido este viernes Telefónica y otras compañías españolas. Turquía, Reino Unido, Portugal, China, EEUU, Rusia... la lista, como muestra el mapa debajo, es casi interminable.

"Se ha alertado de un ataque masivo de 'ransomware' a varias organizaciones que afecta a sistemas de Windows cifrando todos sus archivos y los de las unidades de red a las que estén conectadas, e infectando al resto de sistemas Windows que haya en esa misma red", ha comunicado hoy el CCN-CERT. El organismo, explica que el ransomware, una versión de WannaCry, infecta la máquina cifrando todos sus archivos y, utilizando una vulnerabilidad de ejecución de comandos remota, se distribuye al resto de máquinas Windows que haya en esa misa red.

El ataque informático masivo que afectó a España se extiende a nivel global

Telefónica fue una de las primeras empresas en España en alertar del ataque y reconocerlo. La empresa pidió a sus empleados por megafonía y por correo electrónico que dejen de trabajar y apaguen sus ordenadores para evitar que el ataque se extienda, según han confirmado a Teknatuas varios empleados de la compañía que se han visto afectados. Fuentes de la empresa han asegurado que el ataque de momento solo está afectando a varios cientos de empleados de la sede central de Telefónica.

Pantallazo de uno de los mensajes recibidos con el 'ransomware'.

Se desconoce de momento el origen geográfico del ataque, pero está confirmado que se trata de un ciberataque con 'ransomware', una modalidad de 'malware' que pide un rescate por liberar los equipos infectados. Empleados de Telefónica han confirmado la recepción de mensajes pidiendo el pago de dinero en bitcoins para liberar los equipos afectados y los archivos de los mismos, que habrían sido cifrados por el virus. Según estos mensajes, los atacantes daban un plazo de horas para liberar los ordenadores tras el pago de 300 dólares en bitcoins. De no hacerlo, subirían el precio del rescate en fechas posteriores. Amenazan con eliminar los archivos de no realizarse el pago.

[Disney, víctima de 'hackers': les roban 'Piratas del Caribe 5' y 'Cars 3']

El responsable global de datos de Telefónica y 'hacker' Chema Alonso, ha reconocido el ataque y, de paso, ante los miles de comentarios en redes sociales que le han llevado a 'trending topic', ha aclarado que la seguridad interna no es su responsabilidad. También ha aclarado que se trata de un ataque global. "Se trata de un ataque genérico, global, está afectando a muchas más empresas aunque muchas dirán que no están teniendo impacto. En el caso de Telefónica, estamos trabajando en resolverlo, pero es una incidencia interna, no ha afectado a nuestros clientes ni al servicio que les prestamos", explica Alonso a Teknautas en conversación telefónica.

Como muchos sabéis, la seguridad interna de Telefónica no es una de mis responsabilidades directas. Pero todos somos parte de la seguridad.. — Chema Alonso (@chemaalonso) 12 de mayo de 2017

Según empleados internos de la empresa, el BBVA está también entre las empresas afectadas por el mismo ataque, aunque la compañía lo han negado oficialmente. Portavoces de Everis, Vodafone, Iberdrola o Capgemini, supuestamente también afectadas, han negado oficialmente a Teknautas haber sufrido algún impacto. El CCN-CERT, sin embargo, asegura que el 'hackeo' afecta a un gran número de empresas en España, pero no da nombres concretos.

El Ministerio de Energía, Turismo y Agenda Digital ha emitido un comunicado en el que asegura que los ciberataques no afectan "ni a la prestación de servicios ni a la operativa de redes, ni al usuario de dichos servicios".

"Urgente: apaga tu ordenador ya"

Telefónica ha enviado un email interno a todos sus empleados avisando del ataque y explicando qué deben hacer. El título del mensaje, "Urgente: apaga tu ordenador ya", deja entrever la seriedad del problema.

Apaga el ordenador y ya no vuelvas a encenderlo hasta nuevo aviso (desconecta el móvil de la red wifi pero no hace falta que lo apagues)

"El equipo de seguridad ha detectado un ingreso en la red de Telefónica de un malware que afecta a tus datos y ficheros. Por favor, avisad a todos tus compañeros de la situación. Apaga el ordenador y ya no vuelvas a encenderlo hasta nuevo aviso (desconecta el móvil de la red wifi pero no hace falta que lo apagues). Te enviaremos un correo que podrás leer a través de tu móvil cuando la situación ya esté normalizada. Además, el martes informaremos en las entradas de los edificios sobre el acceso a la red. Ante cualquier duda contacta con la mesa de ayuda".

Fuentes de Telefónica han confirmado que los 12.000 trabajadores de la sede de la empresa en Madrid (Distrito C) siguieron trabajando tras la incidencia, "pero no desde sus ordenadores. Seguimos desde móviles y tabletas". Empleados de la empresa señalan sin embargo que distintos departamentos y unidades han optado por regresar a casa para seguir trabajando desde allí.

¿De dónde viene el ataque?

La unidad de emergencias del Centro Criptológico Nacional (CCN-CERT) ha confirmado en un nuevo comunicado que el ataque se ha producido utilizando una herramienta conocida como EternalBlue, usada por la NSA estadounidense para labores de espionaje y filtrada por el grupo de hackers 'ShadowBrokers'. Microsoft solucionó esta vulnerabilidad el pasado marzo, pero las compañías que no habían actualizado sus sistemas estaban expuestas.

"La especial criticidad de esta campaña viene provocada por la explotación de la vulnerabilidad descrita en el boletín MS17-010 utilizando EternalBlue/DoublePulsar, que puede infectar al resto de sistemas Windows conectados en esa misma red que no estén debidamente actualizados. La infección de un solo equipo puede llegar a comprometer a toda la red corporativa", ha explicado el CCN-CERT.

Especialistas en seguridad informática consultados por Teknautas explican que no parece ser un 'software' muy sofisticado, es un 'ransomware' normal y corriente que ni daña ni roba la información de los equipos. "Su gran virtud es que ha encontrado el camino para expandirse solo". Los usuarios no tienen que hacer nada para ayudarle: con que entre en uno de los equipos conectados a esa red, el gusano se mueve de uno a otro con rapidez.

A falta de conocerse más detalles concretos, el experto en seguridad informática Rubén Santamarta explica que estos 'hackeos' pueden provenir de distintos orígenes. "Un usuario doméstico puede descargar por error un 'malware' infectado o recibir un correo engañoso. En el caso de una infección masiva, un solo usuario puede ser el punto de entrada y luego replicarse en otros equipos utilizando fallos del sistema o porque el virus llegue a una carpeta compartida". Cuando el ataque se produce en varias empresas, como es el caso, es probable que el origen se encuentre en un servicio compartido entre varias de ellas.

En opinión del experto, la medida tomada por Telefónica al pedir a todos sus empleados que desconecten sus equipos de la red interna es "lógica dentro de la urgencia. Es una medida de mitigación para evitar que el problema se expanda antes de saber exactamente qué ocurre".

En cuanto al supuesto origen del ataque en China, Santamarta señala la dificultad de determinar el punto de partida de la infección. "Que parezca provenir de un servidor en China no significa gran cosa. Los atacantes pueden estar utilizando una infraestructura informática que reenvíe la infección de un sitio a otro del mundo antes de llegar a su destino. Es demasiado pronto para saberlo".