El centro criptológico nacional (CNN-CERT) acaba de alertar hace pocos minutos de un ataque masivo de ransomware a varias organizaciones españolas. El fallo de seguridad afecta a sistemas Windows cifrando todos sus archivos y los de las unidades de red a las que estén conectadas, e infectando al resto de sistemas Windows que haya en esa misma red.

El comunicado del organismo adscrito al CNI, ha sido enviado horas después de que Telefónica alertase a sus empleados de un ataque a gran escala con estas características. A media mañana cientos de empleados empezaron a ver las pantallas en azul o con notificaciones de ransomware. La compañía ha llegado a notificar la situación por megafonía a sus trabajadores, aunque posteriormente han confirmado que el fallo no afectó a sus redes ni a sus clientes.

El CNI confirma que no es un ataque aislado

El CNI habla de “varias organizaciones españolas afectadas” y de hecho los rumores de Internet apuntaban a que un puñado de empresas del Ibex 35 sufrían ataques similares. No obstante, Vodafone, Orange, BBVA, Capgemini, Inditex y KPMG confirmaron que, hasta el momento, no han sufrido ningún ataque en este sentido.  

En su nota, el CNI explica que el ransomware, una versión de WannaCry, infecta la máquina cifrando todos sus archivos y, utilizando una vulnerabilidad de ejecución de comandos remota a través de SMB, se distribuye al resto de máquinas Windows que haya en esa misma red. Los sistemas afectados son Microsoft Windows Vista SP2, Windows Server 2008 SP2 and R2 SP1, Windows 7, Windows 8.1, Windows RT 8.1, Windows Server 2012 and R2, Windows 10 y Windows Server 2016.

El organismo señala además que “Microsoft publicó la vulnerabilidad el día 14 de marzo en su boletín y hace unos días se hizo pública una prueba de concepto que parece que ha sido el desencadenante de la campaña”. También sugieren “actualizar los sistemas a su última versión o parchear según informa el fabricante”. “Para los sistemas sin soporte o parche, como Windows 7, se recomienda aislar de la red o apagar según sea el caso”, concluyen.

Ministerio de Energía: "no afecta el servicio" 

El Ministerio de Energía, Turismo y Agenda Digital ha enviado también ha confirmando que estos ataques se han producido en "varias compañías", pero que no "ha afectado ni a la prestación de servicios, ni a la operativa de redes, ni al usuario de dichos servicios". 

El Gobierno, a través del Instituto Nacional de Ciberseguridad (Incibe), está trabajando con las empresas afectadas con el objetivo de solucionar "cuanto antes" la incidencia. Indican que por la información disponible en estos momentos el ataque ha infectado puntualmente a equipos informáticos de trabajadores de "varias compañías". 

Han aclarado además no estamos ante una fuga de datos. "El ataque, un malware del tipo ramsonware, actúa sobre la vulnerabilidad de los componentes de ofimática de los PCs. Tras instalarse en el equipo, bloquea el acceso a los ficheros del ordenador afectado y pide un rescate. No compromete la seguridad de los datos ni se trata de una fuga de datos", han señalado.