Un virus de origen ruso ataca a importantes empresas españolas

Al menos dos empresas en España han sufrido un ciberataque que ha bloqueado sus sistemas informáticos desde la madrugada del lunes. La Cadena SER y Everis, una consultora tecnológica, son las dos víctimas conocidas del ataque. Durante todo el día del lunes otras compañías salieron a negar haber sufrido un ciberataque. El Incibe, organismo encargado de la ciberseguridad de las empresas privadas españolas, no ha dado detalles aún sobre el número de afectados ni las características: "Es información confidencial", ha dicho a este periódico.

Según ha podido confirmar EL PAÍS de fuentes de la SER, el virus implicado en el ataque es Ryuk, el mismo que atacó al Ayuntamiento de Jerez el pasado 27 de septiembre. Ryuk es un ransomware, un programa que encripta los archivos de las víctimas y pide un rescate económico para permitir su recuperación. Ryuk apareció en agosto de 2018 y es manejado por un grupo ruso llamado Grim Spider, según la consultora Crowdstrike. Hasta enero de 2019 había logrado 3,5 millones de euros en 52 transacciones. "Son profesionales del sector, con años dedicados al fraude bancario", dice un experto en ciberseguridad.

Cajamar e ING han negado a este periódico que hayan sido víctimas de ningún ciberataque, a pesar de haber admitido problemas en sus líneas de comunicación, informa Íñigo de Barrón. La aseguradora Mapfre también lo ha negado y ha insistido en que tienen a sus equipos listos por si llega una nueva oleada. KPMG y Accenture también han salido públicamente a desmentir distintas informaciones que las implicaban.

Incibe ha sido la única entidad que ha admitido de forma oficial el ataque: "Trabajamos en la mitigación y recuperación del incidente en coordinación con las empresas afectadas", ha señalado en un comunicado público.

La Cadena SER detectó el ataque hacia las 2 de la madrugada. "Desde entonces nos hemos centrado en preservar la emisión, lo que hemos logrado", dicen fuentes de la dirección de la emisora. La empresa alertó a los organismos públicos correspondientes, que les confirmaron que el ataque no respondía a connotaciones políticas. "Forma parte de la delincuencia cibernética al uso y es un ataque a empresas europeas", dicen las mismas fuentes. La cadena pidió a sus trabajadores que no usaran ningún equipo informático de la empresa ni la red wifi para conectarse a Internet.

En la SER no han recibido el mensaje de extensión ".txt" en el que se pide el rescate, como es habitual en los ataques de Ryuk. No hay por tanto una cantidad económica vinculada al ataque. Sí había un archivo con el nombre del virus y una cuenta de correo. Es habitual que Grim Spider calcule la recompensa que quiere recibir según el tamaño y el valor de la empresa víctima.

A pesar de que solo se conozca el nombre de dos empresas víctimas del ataque, es muy probable que haya más afectadas que prefieran no ser identificadas, de ahí la cautela del Incibe. "Es un ataque más bien masivo", han indicado las fuentes de la SER a este periódico. Es posible que en los próximos días aparezcan nuevos casos o que el Incibe acabe dando una cifra más completa del número de afectados.