El problema que ha sido aprovechado está resuelto por parte de Microsoft. Y es la única que podía poner fin de forma directa a esta vulnerabilidad, porque afecta en exclusiva a sus diferentes sistemas operativos. El problema, para estas grandes empresas españolas, es que esa actualización no se instaló y, por lo tanto, los equipos que han sido atacados se mantuvieron con la vulnerabilidad a pesar de haber lanzado Microsoft una actualización.

telefonica-ransomware-ataque

Qué está pasando: ransomware a varias grandes empresas españolas

El ataque masivo de ransomware, que según ha notificado el CCN-CERT está afectando a varias grandes empresas españolas, afecta a dispositivos con sistema operativo Windows aplicando un cifrado de archivos. No sólo afecta al equipo atacado de forma directa, sino que también aprovecha la red local para su ‘instalación’ en los diferentes dispositivos Windows conectados a la red. Es una versión de WannaCry que cifra todos los archivos aprovechando una vulnerabilidad de ejecución de comandos de forma remota a través de SMB. Y los sistemas operativos afectados no son pocos, los siguientes:

  • Windows Vista SP2
  • Windows Server 2008 SP2 y R2 SP1
  • Windows 7
  • Windows 8.1
  • Windows RT 8.1
  • Windows Server 2012 y R2
  • Windows 10
  • Windows Server 2016

El problema fue anunciado por Microsoft, de forma oficial en su boletín de seguridad como un fallo crítico. La actualización para los sistemas operativos afectados llegó el 14 de marzo. No obstante, en este mismo boletín de seguridad, Microsoft desglosa los problemas posibles. Y no en todos los sistemas operativos es posible la ejecución de código de forma remota, sino que en algunos de ellos –la mayoría, los más recientes-, sólo es posible ejecutar un ataque de denegación de servicio. Sin embargo, en el entorno corporativo es habitual que no se utilicen las versiones más recientes, y que las actualizaciones demoren cierto tiempo en llegar.

No sólo Telefónica: hay más empresas afectadas por el hackeo

No hay comunicación oficial por parte de las compañías afectadas, y desde el CCN-CERT señalan a un gran número de empresas en España, pero sin citar a ninguna de ellas. Según lo comentado por empleados de las mismas, estarían afectadas la consultora Andersen, Iberdrola, Vodafone y BBVA entre otras. Hay contradicción entre las afirmaciones, porque son sus empleados quien afirman que sí hay hackeo, pero algunas de estas empresas –como BBVA- aseguran que no les ha afectado el problema que empezó siendo notificado como un hackeo a Telefónica.

¿Por qué no actualizaron los ordenadores?

La solución habría sido actualizar Windows para resolver el problema. Pero no en todos los casos, porque hay versiones como Windows 7 que no han recibido una actualización que resuelva esta vulnerabilidad. Tampoco versiones anteriores, que ya están todas ellas fuera del período de soporte oficial y de soporte extendido en la hoja de Microsoft. La solución para ellos, única y exclusivamente, es el aislamiento del equipo. Es decir, que estos equipos no tienen un parche o actualización para haber podido evitar la infección, y sólo se habría evitado desconectándolos de la red local.

Las empresas tienen problemas con las actualizaciones

Para los usuarios particulares, instalar una actualización supone un trastorno mínimo, y apenas puede suponer una demora de unos minutos. Pero incluso en ciertas ocasiones, las actualizaciones pueden dar problemas de compatibilidad con software y hardware. Pues bien, en el entorno corporativo se complica la situación porque hay programas específicospor ejemplo-, y no se pueden asumir los mismos riesgos en las actualizaciones. El ritmo es más lento para renovar el software, sin importar si se trata de una renovación de sistemas operativospor costes, además-, o de una sencilla actualización.

Es por esto que, aunque el problema fue resuelto hace un mes por parte de Microsoft, bien ha podido ‘pillar’ a las grandes empresas de España con un sistema operativo sin soporte oficial por parte de Microsoft, o bien sencillamente sin actualizar. Sólo puede ser una de las dos posibilidades, y según han explicado desde el CCN-CERT, una prueba de concepto que se hizo pública es lo que habría podido desencadenar la campaña.

 

Fuente: CCN | adslzone