Ciberataque: La cepa más dañina es la que ha tocado a España

El ciberataque del viernes se convirtió hoy oficialmente en un problema de seguridad nacional después de que los técnicos de Industria, Interior y Defensa informaran al Gobierno de que el virus WannaCrypt, diseñado para extorsionar aleatoriamente a empresas del sector privado, también se ha colado en los ordenadores de determinados «sectores estratégicos» del país.

48 horas después del 'viernes negro', el Ejecutivo se vio obligado a reconocer que los daños de la ofensiva hacker son mayores de lo esperado, aunque las agencias estatales evitaron dar pistas de las compañías públicas y privadas golpeadas por este ransomware para impedir nuevos ataques.

El Instituto Nacional de Ciberseguridad (Incibe) y el Centro de Respuesta a Incidentes de Seguridad e Industria (Certsi) dependiente de Industria y Energía e Interior, confirmaron ayer los peores temores que horas antes había adelantado el Centro Nacional de Inteligencia (CNI) y señalaron que «algo menos» de una «docena» de los «operadores estratégicos nacionales» han sido ya víctimas del WannaCrypt. Según fuentes de la investigación, entre ellos habría centrales energéticas e «importantes compañías» relacionadas con el transporte público y las comunicaciones que, «sorprendentemente» y «casi siempre por motivos burocráticos», no habían aplicado el parche contra este virus que Microsoft facilitó a todos los usuarios el pasado 14 de marzo. Las agencias oficiales no quisieron facilitar nombres para evitar que este lunes, cuando miles de ordenadores de estos «operadores estratégicos» se vuelven a conectar a la red, sean objeto de nuevos ataques.

Diversos responsables de las cuatro agencias involucradas en la seguridad cibernética del país, Incibe, Certsi, Centro Criptológico Nacional (CCN) y Centro Nacional para la Protección de las Infraestructuras Críticas (Cncip), reconocieron que el Gobierno todavía no tiene datos de la verdadera magnitud del ataque.

Solo el Incibe habló de cifras, aunque muy parciales. Según Industria, se han localizado «algo menos» de 600 equipos atacados, por lo que España ocuparía, por el momento, la posición 18 del ranking mundial de víctimas del ciberataque. Siempre según el Incibe, en las «últimas 24 horas» se han identificado más de 100.000 equipos infectados en 166 países diferentes, prácticamente todos los estados del planeta.

Golpeada por el 'B'

Pero las primeras cifras oficiales del Gobierno ocultan un dato trascendental, según admitieron hoy responsables de la seguridad del Estado. Las agencias de ciberseguridad españolas solo tienen cifras del ataque de WannaCrypt.A, la cepa menos agresiva, menos dañina y más fácil de neutralizar. De hecho, admitió el Incibe, no se tienen todavía ni siquiera estimaciones de la infección provocada por la otra cepa, la WannaCrypt.B, la más violenta y la que precisamente afectó de lleno a Telefónica y desde allí a decenas de empresas nacionales.

Responsables de los equipos de ciberseguridad del CNI y del Incibe revelaron que la cepa que atacó a Telefónica es precisamente para la que no hay antídoto hasta el momento. El WannaCrypt.B es totalmente inmune al remedio que encontraron el viernes los dos «héroes» británicos, Darien Huss y el informático que se esconde tras el usuario malwaretechblog, que descubrieron que el virus pedía autorización a una web para perpetrar el ataque, comenzando el cifrado de datos cuando no obtenía respuesta. Los dos británicos desactivaron esa cepa de ransomware al comprar el dominio por menos de diez euros, haciéndose así con el control del virus.

Sin embargo, explicaron altos responsables de la seguridad nacional a COLPISA, el remedio británico solo actúa sobre la variante 'A', no sobre la 'B'. Según han descubierto los especialistas de Telefónica, Incibe y CNI, el virus 'B' que atacó al gigante de las telecomuncaciones español no pide permiso a ninguna web para comenzar a secuestrar datos. «El WannaCrypt.B comienza inmediatamente con el cifrado de los archivos para posteriormente solicitar el pago del rescate de los documentos cifrados», apuntó Incibe.

«Respecto a infecciones de WannaCrypt.B, en España de momento no hay datos disponibles, salvo que se trata de la variante que ha afectado a Telefónica», reiteró el centro dependiente del Ministerio de Energía.

A la espera de un arranque de semana «complicado», los técnicos del CNI y de Industria siguieron tratando a decenas de compañías españolas afectadas por el virus. Los especialistas del CCN lograron desarrollar a última hora del viernes una «herramienta» que permite recuperar el control de las terminales infectadas, pero que en ningún caso sirve para recuperar la información secuestrada.

Los servicios de Inteligencia del Estado dan por «perdida», al menos a corto plazo, la batalla por desencriptar los datos secuestrados por el WannaCrypt y se centran en intentar que el virus no se propague aprovechando más fallas de seguridad.