Multinacionales del transporte y la logística, el Parlamento británico, empresas petroleras y bancos ucranianos y rusos están entre las primeras víctimas conocidas de un ciberataque mundial con ransomware (software que encripta ordenadores) que amenaza con ser peor que el reciente de Wannacry, que afectó al menos a 300.000 máquinas en sus primeras 72 horas, y que se aprovecha del mismo fallo del sistema operativo Windows de Microsoft.

El Centro de Alerta Temprana de Seguridad e Industria (CERTSI) ha confirmado que hay varias multinacionales afectadas en España, aunque ninguna ha reconocido públicamente el ataque, como suele ser habitual. Aunque se han visto afectadas delegaciones españolas de la empresa de transporte de contenedores Maersk, la cristalera Saint Gobain y la cadena de supermercados Auchan. El Parlamento británico también ha sufrido el ataque, así como muchas empresas, infraestructuras y bancos en Ucrania, Rusia, Polonia, Italia, Alemania, Suiza y el Reino Unido. A última hora de la tarde se informó ya de los primeros casos en EEUU.

El ministro de Energía, Turismo y Agenda Digital, Álvaro Nadal, afirmó que el Gobierno ha puesto sobre aviso a las infraestructuras estratégicas ante la nueva amenaza, si bien subrayó que en España no tiene, al menos de momento, demasiada relevancia. «Creemos que no va a afectar a usuarios particulares porque ataca una vulnerabilidad que un equipo doméstico ya ha solucionado con las actualizaciones de Windows», afirma Vicente Díaz, analista jefe de Kaspersky en España.

VARIANTE DE PETYA / El responsable del ciberataque es, según Symantec y otras compañías de antivirus, una variante del virus Petya.A o Petrwrap, de cuyo original alertaron el pasado mes de marzo. Se trata de un ransomware que encripta el directorio principal del disco duro del ordenador y reinicia el equipo. Cuando la máquina vuelve a estar en marcha, el virus descarga un archivo que muestra una pantalla con letras rojas que dan un mensaje en inglés sobre el bloqueo de la máquina y que pide 300 dólares en bitcoins. La nueva versión también se autorreplica como Wannacry, con una parte del código en el ordenador del usuario y otra en los servidores, lo que la hace técnicamente mucho más sofisticada.

La variante, sin embargo, es tan innovadora que en Kaspersky han decidido nombrarla como un nuevo ransomware y la han bautizado como NotPetya.

El virus informático se vale para difundirse del mismo fallo que aprovechaba el Wannacry, lo que indica que muchos administradores de sistemas no han puesto remedio para solucionarlo. Se trata de un problema en Windows que afecta al protocolo de compartición de archivos del sistema operativo, el SMB. El fallo fue descubierto por la filtracion del material que tenía la NSA para espiar a los ciudadanos de todo el mundo y que reveló el caso Snowden.

Las herramientas, conocidas como Eternal Blue, fueron robadas por un grupo de activistas, Equation Group, que las publicaron para denunciar su existencia. Otro grupo, en este caso llamado Shadow Brokers, se hizo con el kit y se les ha acabado atribuyendo la autoría del Wannacry, aunque algunas fuentes lo ponen en duda. Shadow Brokers, sin embargo, ha anunciado un «servicio de suscripción» al material robado a la NSA o a lo que ellos decidan, según publicaron en un foro de ciberseguridad.

A Wannacry se le pudo frenar porque un informático británico accedió a su código y pudo ver que remitía a una dirección web que además estaba libre. La compró y evitó que el virus se ejecutara en más máquinas. En este caso, Petya.A remite a una dirección de correo electrónico en un servidor gratuito que ya ha sido desactivada.

«Parece mentira pero sí, hay empresas que no siguen las recomendaciones, y luego nos dicen que somos unos pesados», afirma Rodrigo Jiménez de Val, director técnico de la empresa de seguridad Necsia. «No solo no han actualizado los sistemas para reparar el fallo sino que ni siquiera han instalado en el servidor un script para anular el puerto afectado por EternalCry, algo que se hace en cinco minutos», añade.

«Para algunas empresas, actualizar todos los equipos es complicado, porque tienen software muy antiguo sobre el que funcionan programas propietarios que no han actualizado en años», comenta Josep Albors, analista de la empresa de antivirus Escert.

Lo que sí parece es que han aprendido algunas lecciones del Wannacry y es que de momento no han pagado a los delincuentes que propagan el virus. El martes a las 19.30 habían recogido poco más de 8.000 euros. Con Wannacry, pese a sus abultadas cifras, los delincuentes solo recogieron unos 40.000 euros.