Varias empresas e instituciones europeas, incluyendo la naviera danesa Maersk, la petrolera rusa Rosneft y la firma británica de publicidad WPP, han sido víctimas de un ciberataque masivo protagonizado por el virus Petya variante de Wannacry, el ransomware que afectó a miles de ordenadores de todo el mundo el pasado mes de mayo.

El ataque empezó en Ucrania, el país más perjudicado, donde ha alterado el funcionamiento normal de bancos y aeropuertos. En las pantallas de los ordenadores aparece un mensaje extorsionador en el que se exige un rescate de 300 dólares en bitcoins para que el usuario pueda volver a acceder a su dispositivo.

“Si ves este texto, entonces ya no tienes acceso a tus archivos, ya que han sido cifrados. Tal vez estás ocupado buscando una manera de recuperar tus archivos, pero no pierdas el tiempo. Nadie puede recuperar sus archivos sin nuestro servicio de descifrado”, reza el mensaje.

La variante del virus ‘Petya’ pide un rescate para acceder al equipo y recuperar los archivos

El Centro Criptológico Nacional, dependiente del Centro Nacional de Inteligencia (CNI), ha confirmado el ciberataque y ha señalado que, por el momento, no ha afectado a ninguna administración pública en España.

En Rusia, Rosneft, uno de los mayores productores de petróleo del mundo, dijo que fue víctima de un “fuerte ataque “, pero aseguró que su producción no había sido interrumpida. La siderúrgica Evraz también ha sido atacado, dijo un portavoz de la agencia de noticias RIA-Novosti.

Con sede en Londres, WPP, la agencia de publicidad más grande del mundo, fue el primero en suelo británico en informar de los problemas. La multinacional ha comunicado que varias de sus empresas se han visto afectadas por “un presunto ataque informático”, señalando que la compañía ha adoptado las medidas apropiadas. El Centro de Ciberseguridad Nacional del Reino Unido, integrado en los servicios de inteligencia británicos, también confirmó un “incidente global de ransomware” y aseguró que está “monitorizando la situación”.

También ha sido atacado el gigante danés de transporte marítimo Moller-Maersk, lo que afecta a sus operaciones en el Puerto de Barcelona. “Podemos confirmar que los sistemas se han caído en múltiples sitios y unidades de negocio debido a un ciberataque”, ha confirmado la compañía danesa, indicando que continúa “analizando la situación”.

La farmacéutica estadounidense Merck, la segunda más grande del país, confirmó en su cuenta de la red social Twitter que su “red de ordenadores se vio comprometida como parte del ataque global”. “Otras organizaciones también se han visto afectadas. Estamos investigando el asunto y proporcionaremos información adicional a medida que sepamos más sobre el tema”, dijo en Twitter la compañía, que tiene sedes en diferentes países, incluida Ucrania.

Según confirmó a EFE uno de los portavoces del Departamento de Seguridad Nacional estadounidense, se están monitoreando las informaciones sobre ataques cibernéticos. “Estamos preparados para prestar ayuda ante cualquier solicitud de ayuda”, dijo el portavoz.

Otra de las empresas afectadas es la fabricante de material para la construcción Saint Gobain, que tiene plantas en Catalunya.

Entre las empresas multinacionales afectadas con sede en España también se encuentra Mondelez Internacional, que ha confirmado que está sufriendo una incidencia en sus sistemas de información a nivel internacional y que su equipo global de gestión de situaciones especiales está trabajando en ello para encontrar una solución “lo más rápido posible”.

Ucrania, el país más afectado

Debido a este ataque, los pasajeros del metro de Kiev no podían pagar con tarjeta de crédito, vallas publicitarias del aeropuerto de la capital ucraniana no funcionaban y los bancos del país han tenido que suspender momentáneamente algunos de los servicios ofrecidos a sus clientes.

A su vez, el Banco de Ucrania, donde el ciberataque ha sido particularmente virulento, ha emitido un comunicado advirtiendo de un “ataque hacker exterior” a las páginas web de algunos bancos y empresas públicas y privadas ucranianas. En este sentido, el banco central ha señalado que todos las entidades han adoptado las medidas de seguridad para hacer frente a estos ataques y ha expresado su confianza en que la infraestructura bancaria del país esté protegida de forma eficiente frente a ciberataques.

La pantalla de un ordenador muestra el mensaje que aparece cuando la variante del virus 'Petya' infecta un equipo (Oleg Reshetnyak / AP)

La compañía estatal de electricidad Ukrenergo, el principal operador de telefonía fija Ukrtelecom y varios operadores de telefonía móvil, entre otras muchas empresas, también se han visto afectados.

Asimismo, el primer ministro ucraniano, Volodimir Groisman, ha denunciado un ataque “sin precedentes”, si bien ha destacado en un mensaje de Facebook que “los sistemas importantes no se han visto afectados”, según la agencia de noticias Reuters, que ha confirmado acciones contra varias entidades financieras, entre ellas el Banco Central y el aeropuerto internacional de Borispil.

El Consejo de Seguridad Nacional de Ucrania ha asegurado que el ciberataque lleva las “huellas” de Rusia.

El nuevo ciberataque es más profesional y desarrollado que ‘WannaCry’

El virus responsable del nuevo ciberataque es una variante de Petya y se está extendiendo “bastante rápido” por decenas de organizaciones importantes de todo el mundo, según expertos consultados por Efe, que señalan que, si bien es pronto para saber si es más o menos virulento que el de mayo, parece “un trabajo bastante profesional y más desarrollado”.

El experto en ciberseguridad Deepak Daswani ha señalado que “se trata de un ransomware ya conocido y aún así ha logrado afectar a muchas organizaciones, con lo cual es un trabajo bastante profesional”. El virus se propaga a través de los mismos mecanismos que WannaCry y, según Daswani, “parece que explota las mismas vulnerabilidades, por lo que es raro que sigan existiendo tantos equipos expuestos sin actualizar en organizaciones tan importantes”.

Josep Albors, responsable de investigación y concienciación del laboratorio de ciberseguridad ESET, ha relatado que este malware no parece que cifre la información, sino que modifica el “índice del disco duro” haciendo imposible el acceso a la misma. WannaCry cifraba la información directamente y mostraba un mensaje pidiendo un rescate, pero el actual virus cambia el índice, por lo que el equipo no sabe buscar la información, lo que, en su opinión, significa que “han invertido en desarrollo”.

En estas circunstancias, Albors ha apuntado que no se debe trata de actuar sobre el disco duro, que se debe poner en manos de especialistas y no utilizar herramientas de reparación si no se dominan, ya que se pueden producir mas daños.

¿Qué es un ‘ransomware’ y como se produce?

Un ransomware es un programa malicioso (malware) que bloquea los ordenadores personales y dispositivos móviles –tabletas, teléfonos– o cifra los archivos de los equipos infectados para impedir el acceso al usuario. Los ciberdelincuentes envían un mensaje donde piden una cantidad de dinero (en el caso de Telefónica fue de 300 dólares en bitcoins) para desbloquear el equipo y recuperar los datos. Este bloqueo no supone una fuga de datos.

¿Cómo se producen estos ataques?

Las infecciones de equipos más comunes con este tipo de códigos dañinos se dan a través de un correo electrónico que remite a un enlace de una página en internet o al descargar un fichero adjunto, o navegando por la red. Así, se instala el programa que bloquea el equipo.