Así fue el impacto del ciberataque en España
Los expertos señalan el severo impacto del virus informático que se propagó a gran escala pese al silencio de las numerosas compañías que se han visto afectadas
El ciberataque que se propagó por medio mundo congelando equipos informáticos y pidiendo un rescate a cambio de la recuperación de los datos comienza a estar controlado gracias a las actualizaciones de Microsoft, al ingenio de los investigadores independientes y al estado de alerta que establecieron la mayoría de empresas e instituciones al conocer la noticia.
Las investigaciones prosiguen, y todavía quedan muchas cuestiones que responder: quién es el "paciente cero", quién está detrás del ataque y cuáles han sido sus motivaciones. Las últimas pistas señalan directamente al grupo de ciberdelincuentes Lazarus Group, vinculado a Corea del Norte y conocido por el ataque a Sony Pictures en el que extrajeron información de carácter confidencial.
España fue uno de los primeros afectados en conocerse gracias al ejercicio de transparencia de la operadora Telefónica, que confirmó haberse visto afectada en la mañana del viernes. Pronto se conocieron más casos como la paralización de varios hospitales del sistema público sanitario de Reino Unido, la infección de numerosos equipos en la compañía estadounidense de transporte FedEx o los problemas en varias cadenas de montaje de los fabricantes de vehículos Nissan y Renault.
China y Rusia fueron los países a los que el ciberataque golpeó más fuerte. Afectando indiscriminadamente al sector público y privado por su gran dependencia del software pirata, señalaron varias empresas especializadas en seguridad informática como la rusa Kaspersky. Una copia pirata de Windows no está registrada y licenciada, por lo que no pueden aplicar los parches de seguridad que se incluyen en las actualizaciones periódicas que ofrece Microsoft.
Cifra baja
En España, el Instituto Nacional de Ciberseguridad (Incibe) confirmó el lunes 1.200 equipos afectados por dos variantes del ransomware WannaCry, cifra que los expertos consultados por EL PAÍS consideran la cifra "muy baja" para el impacto tan grande que han detectado en las empresas españolas.
"Entiendo que Incibe no dé datos basados en estimaciones, pero no tiene sentido hablar de una cifra de infecciones tan baja con empresas tan grandes como Telefónica afectadas", dice Vicente Díaz, analista e investigador de seguridad en Kaspersky a este periódico.
Sergio de los Santos, director de innovación y laboratorio en Eleven Paths, unidad especializada en ciberseguridad de Telefónica, concuerda con el análisis de Díaz: "El impacto ha sido enorme, ya que es un ciberataque diseñado por y para propagarse por las empresas. Cuanto más grande, peor".
"Creo que hay muchos afectados más, pero que están guardado silencio", dice el investigador. "Hay falta de transparencia, y creo que no es el camino correcto. El ciberataque fue a escala global y pudo afectar a cualquiera, que nosotros lo dijéramos abiertamente ayudó en cierta medida a contenerlo y a comenzar pronto la investigación de lo sucedido".
De los Santos, que está implicado directamente en la investigación de lo sucedido en el seno de Telefónica, confirma a EL PAÍS que están ya "operativos al cien por cien y todo ha vuelto a la normalidad" y que "la investigación sigue su curso en colaboración con el Centro Criptológico Nacional y Microsoft".
Los principales misterios todavía por resolver son cómo se produjeron las primeras infecciones y por qué todas comenzaron el mismo día en diferentes puntos del mundo
Los principales misterios todavía por resolver son cómo se produjeron las primeras infecciones y por qué todas comenzaron el mismo día en diferentes puntos del mundo cuando su propagación es a través de la red local, explica el experto en seguridad de Telefónica.
También señaló lo difícil que es para las compañías adaptarse a los ciclos de renovación de software y sus actualizaciones. "Un mes es un margen de tiempo inmanejable para muchas organizaciones", afirma De los Santos. "Las empresas grandes tienen que probar los parches antes para asegurar que los productos y servicios que ofreces no se vean afectados. No da tiempo a parchear muchas veces. Asumes un riesgo siempre, y casi nunca pasa algo grave. Hasta que pasa".
Las compañías no reconocen haber padecido el secuestro de sus equipos, pero hay costes importantes por servicios parados, investigaciones que realizar y medidas que tomar. "Algunas empresas tomarán medidas proactivas en ciberseguridad, pero en cuanto se deje de hablar de este ataque nos olvidaremos como siempre", dice el experto de ElevenPaths. "Ya pasó en 2003, en 2008 y nos volverá a pasar."
"No aprendemos", concluyó Díaz sobre el peligro que acecha constantemente a las empresas y organizaciones en materia de ciberseguridad.
"Es curioso que mientras lidiaban con multitud de ficheros secuestrados y equipos comprometidos, varias compañías de venta de servicios de las tecnologías de la información diesen consejos sobre cómo protegerse del ciberataque por las redes sociales", dice una fuente cercana a varias empresas españolas afectadas por el virus que prefiere guardar el anonimato y no señarlas directamente ya que son sus clientes. "Un gran grupo hospitalario lo está pasando muy mal. Se les ha ido todo al traste", recalca.
En la mayoría de los hospitales públicos españoles se han tomado medidas preventivas. Personal sanitario del Hospital Clínico de Salamanca y el Hospital Universitario Cruces confirmaron a EL PAÍS el bloqueo de las redes al exterior y la limitación de varios servicios de la red interna que no afectan de ninguna manera al trato ofrecido a los pacientes. Todos los centros de salud consultados tienen equipos con el sistema operativo Windows 7, que todavía cuenta con el soporte oficial de actualizaciones de Microsoft.
El virus muta
Pese al aviso de alerta sobre nuevas variantes del virus, los expertos en ciberseguridad guardan la calma, ya que todos "explotan la misma vulnerabilidad descubierta por la Agencia Nacional de Seguridad de Estados Unidos (NSA)".
Adylkuzz es una variante que usa este agujero de seguridad para instalar un programa que realiza operaciones matemáticas sin que el usuario tenga noción alguna evidente para generar una criptomoneda llamada Monero.
"Es cuestión de quita y pon", dice De los Santos. "Saldrán variantes más o menos dañinas durante mucho tiempo, pero no tiene mucho sentido instalar un software que necesita un hardware muy potente para generar una suma de ingresos importante".
Symantec, multinacional especializada en servicios y productos de seguridad informática, descartó que esta mutación pueda tener un impacto parecido al del WannaCry. "Nuestra investigación indica que el impacto de Adylkuzz es mínimo en comparación", dice Matt Nagel, representante de la compañía, a EL PAÍS. "WannaCry se expande a todas las máquinas dentro de una organización de forma rápida y voraz secuestrando información, mientras que esta variante busca en internet equipos especialmente vulnerables para instalar este software, lo que limita en gran medida su impacto".
Tu suscripción se está usando en otro dispositivo
¿Quieres añadir otro usuario a tu suscripción?
Si continúas leyendo en este dispositivo, no se podrá leer en el otro.
FlechaTu suscripción se está usando en otro dispositivo y solo puedes acceder a EL PAÍS desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripción a la modalidad Premium, así podrás añadir otro usuario. Cada uno accederá con su propia cuenta de email, lo que os permitirá personalizar vuestra experiencia en EL PAÍS.
En el caso de no saber quién está usando tu cuenta, te recomendamos cambiar tu contraseña aquí.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrará en tu dispositivo y en el de la otra persona que está usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aquí los términos y condiciones de la suscripción digital.