Telefónica es víctima de ciberataque con Ransomware en gran cantidad de computadoras de su Intranet

Según ya lo han reportado varias fuentes, Telefónica está siendo víctima del peor ciberataque de su historia por medio de un ransomware que ha infectado gran cantidad de sus computadoras. Un ransomware (del inglés ransom, ‘rescate’, y ware, por software) es un tipo de programa informático malintencionado que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un pago de rescate (generalmente en Bitcoins) a cambio de quitar esta restricción. Todo apunta a que el ransomware utilizado en el ataque masivo a Telefónica es el llamado Wanna Decryptor.

Esta situación ha disparado las alarmas de la compañía española y actualmente están siguiendo un protocolo de emergencia, solicitando a los trabajadores de su intranet que apaguen sus computadoras inmediatamente.

El mecanismo de propagación de los ransomware suele ser mediante correos falsos de recibos, facturas, ofertas, advertencias de seguridad, etc. Si el usuario abre cualquier tipo de archivo (camuflado como .zip con doble extensión generalmente) en ese correo falso, se ejecuta el script malicioso (javascript) que instala el malware para que el atacante active el ransomware cuando lo desee.

También un ransomware puede activarse y propagarse a través de vulnerabilidades del sistema operativo de la computadora. Caso que pareciera ser el de Telefónica, ya que Microsoft esta semana acababa de lanzar un parche para corregir una vulnerabilidad crítica llamada “zero day” potencialmente peligrosa porque puede permitir la ejecución de código remoto en Windows.

Como se puede apreciar en la imagen, en las computadoras afectadas el ransomware exige un rescate de un pago de 0.3 Bitcoins (unos USD $500 a la fecha) que deben ser cancelados en un plazo establecido para poder descifrar y desbloquear los datos del usuario, de lo contrario se perderán esos archivos. El pago de rescate total por todas las computadoras afectadas en Telefónica parece ascender por encima de los 500 mil Euros, según reporta elmundo.es.

Llegado a este punto no hay muchas opciones, al ser víctima del un ransomware la única forma de recuperar los datos es pagando el rescate, aún sin tener la garantía que el atacante realmente libere los archivos. De otra manera la única forma de evitar pagar el rescate es que el usuario haya sido precavido y tenga copias de seguridad de toda su información en disco duros externos u otros dispositivos. De esa manera podría renunciar al acceso de la computadora afectada, formatearla y restaurar los archivos desde su backup más reciente.

El ciberataque no ha comprometido el acceso a los servicios de voz y datos proporcionados por Movistar, hasta el momento siguen operando con normalidad. Sin embargo, aunque no se tiene ninguna confirmación de que tenga que ver con este ataque masivo de ransomware, la página web de Movistar Venezuela (movistar.com.ve) se encuentra caída en este momento, su código MMI *144# para recarga de saldo y otras operaciones, no se encuentra operativo, y la aplicación móvil no funciona tampoco.

Aunque hasta el momento Telefónica ha sido la víctima protagonista de este ciberataque, la CCN-CERT ha confirmado en un comunicado que hay muchas otras empresas afectadas por este ransomware. Los sistemas afectados son Windows en distintas versiones: Windows 7, 8.1, Windows 10, Windows Vista SP2, Windows Server 2008/2012/2016.

Recuerda realizar las actualizaciones críticas religiosamente de tu sistema operativo para evitar el riesgo que tu computadora sea vulnerable a este tipo de ataques.