Así es WannaCry, el ransomware del ùltimo ciberataque masivo

Varias de las mayores empresas de España, como por ejemplo Telefónica, han sido hoy víctimas del ransomware. Este tipo de virus informático es el protagonista del hasta ahora ciberataque más peligroso acontecido en nuestro país, con consecuencias que se ramifican a varios niveles.

Según el Centro Nacional de Inteligencia (CNI), el protagonista del ciberataque a Telefónica es una versión del ransomware WannaCry. Es un tipo de malware que lleva circulando bastante tiempo y que ataca especialmente a sistemas con Windows.

¿Cómo accede WannaCry a los sistemas?

El funcionamiento del virus que ha atacado a Telefónica ya hizo saltar las alarmas en Microsoft el pasado mes de marzo. La compañía creadora de Windows detectó una vulnerabilidad crítica en sus sistemas operativos que permite a un hacker ejecutar código de forma remota. Gracias a esta circunstancia, el atacante puede concederse privilegios de administrador para ejecutar cualquier cambio en el sistema.

Así es como funciona WannaCry. Sólo hace falta que uno de sus archivos llegue al ordenador o red de ordenadores afectados para poder secuestrar un sistema al completo. Una vez dentro, el ransomware bloquea el acceso al administrador y los usuarios reales, pidiendo una recompensa a cambio. Normalmente ésta se exige en Bitcoins, una criptomoneda prácticamente imposible de rastrear.

Para cifrar los archivos, utiliza un sistema de cifrado RSA 4096, uno de los más avanzados. Una vez que ha conseguido bloquear el acceso a todas las carpetas, crea un documento de texto en el que se da instrucciones al usuario. Básicamente consiste en enviar un correo electrónico para solicitar más información y el “precio” que hay que pagar.

En el caso del ataque informático a Telefónica, el rescate solicitado es de 276€ por PC, a pagar antes del 15 de mayo. De lo contrario, todos los archivos que contienen serán borrados el próximo día 19. Este problema no afecta a los clientes de la compañía, sólo a los empleados.

Cómo saber si puedes ser atacado

Las versiones de Windows que están en peligro son las siguientes:

• Microsoft Windows Vista SP2
• Windows Server 2008 SP2 and R2 SP1
• Windows 7
• Windows 8.1
• Windows RT 8.1
• Windows Server 2012 and R2
• Windows 10
• Windows Server 2016

Para versiones posteriores a Windows 7, Microsoft ya dispone de un parche de seguridad que elimina la posibilidad de ser víctima de un secuestro. Sólo hay que actualizar el sistema a su última versión.

En cambio, si eres usuario de Windows Vista, la cosa se complica. Estas versiones del SO ya no cuentan con soporte por parte de Microsoft, es decir, están expuestas a las vulnerabilidades críticas ya que los ingenieros de la compañía no trabajan para resolverlas.

En este caso, el consejo de seguridad informática del CNI es bastante claro: hay que apagar el sistema, lo que ha hecho Telefónica nada más sufrir el ciberataque. A ser posible, actualizar a una versión posterior inmediatamente.