- sistema & mantenimiento -

EST. 1991

** CONTACTO **
www./sysmain.es/sysmain.com
/sysmain.info/sysmain.eu
/sysmain.net/sysmain.com.es
/sysmain.org.es/sysmain.org
SySmain | Cyberataques
52
archive,category,category-cyberataques,category-52,ajax_updown_fade,page_not_loaded,boxed,select-theme-ver-3.2.3,side_area_uncovered,,wpb-js-composer js-comp-ver-4.12,vc_responsive

Más routers afectados y las conexiones seguras en riesgo: la amenaza de VPN Filter se agrava

A finales de mayo se avisó sobre la amenaza que suponía VPN Filter. Un malware que ataca a los dispositivos para convertirlos en bots, y así controlar de forma remota para lanzar ataques masivos coordinados. En ese momento eran 14 los modelos afectados.

Parecía entonces que la amenaza estaba restringida a un número concreto de routers, algo que no evitó que desde el FBI se recomendará tomar medidas con todos los modelos existentes en el mercado. Además, las páginas seguras parecían estar a salvo… Y puede que algo más supieran por aquel entonces, pues ahora nos enteramos que el problema es más extenso de lo que creíamos en un principio.

No se libran ni las conexiones seguras

Los hackers rusos podrían haber llegado a infectar hasta 500.000 routers antes que el FBI tomara medidas. Motivos más que suficientes para pensar en que el malware podría haber infectado en ese lapso de tiempo a un indeterminado número de routers mediante ataques man-in-the-middle.

El malware se habría encargado de inyectar código malicioso para lograr extraer información de carácter sensible de los usuarios afectados mediante el análisis del tráfico web. El proceso se llevaría a cabo mediante el análisis de las URL de las páginas y la información que se transmite, la cual sería enviada a servidores que los hackers aún controlan.

El problema se agrava porque el malware sería capaz de vulnerar las conexiones que consideramos seguras, esto es, las HTTPS. En este sentido no se librarían ni siquiera comunicaciones que se envían a sitios cómo Google, Facebook, Twitter o YouTube, los cuales hacen uso de funcionalidades de seguridad extra.

“Inicialmente, cuando vimos esto, pensamos que estaba hecho principalmente para capacidades ofensivas como ataques de enrutamiento en Internet”

Todos los datos que por lo tanto, circulan cuando visitamos una web supuestamente segura, pueden estar al descubierto. Pensemos en páginas web de entidades bancarias, médicas… un abanico enorme y con muchos puntos débiles que pueden ser atacados.

Y si esto no es suficiente, además se ha descubierto que el número de modelos afectados por el malware es mayor del que se tenía pensado en un principio. Por marcas, el listado completo de los routers amenazados a estas alturas es este:

  • Modelos afectados de ASUS: RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, RT-N66U
  • Modelos afectados de D-Link: DES-1210-08P, DIR-300, DIR-300A, DSR-250N, DSR-500N, DSR-1000, DSR-1000N
  • Modelos afectados de Huawei: HG8245
  • Modelos afectados de Linksys: E1200, E2500, E3000, E3200, E4200, RV082, WRVS4400N
  • Modelos afectados de Mikrotik: CCR1009, CCR1016,CCR1036, CCR1072, CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik, STX5,
  • Modelos afectados de Netgear: DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN, UTM50
  • Modelos afectados de QNAP: TS251, TS439 Pro, otros NAS de QNaP que usen software QTS
  • Modelos afectados de TP-Link: R600VPN, TL-WR741ND, TL-WR841N
  • Modelos afectados de Ubiquiti: NSM2, PBE M5
  • Modelos afectados de Upvel: modelos desconocidos
  • Modelos afectados de ZTE: ZXHN H108N

Fuente | Ars Technica
En Xataka

Descubren un agujero en Intel y la solución podría ralentizar tu ordenador hasta un 30%

Intel se corona como responsable de la primera pifia tecnológica del año. Después de que  el pasado mes de noviembre pusieran en riesgo a millones de ordenadores de todo el mundo por un agujero, inauguran enero con otro fallo masivo en sus procesadores. En este caso, se trata de una vulnerabilidad de seguridad en los chips desarrollados durante la última década, sin importar la marca de ordenador ni el sistema operativo utilizado.

 

Como indican en The Register, el error se solucionaría con una actualización que tampoco está exenta de consecuencias negativas. Aunque aún están evaluando los efectos, los primeros indicios estiman que arreglarlo provocaría pérdidas de rendimiento entre el 5 y el 30%, dependiendo de la tarea realizada y del modelo de procesador. Este periódico ha contactado con Intel y Microsoft, pero por el momento no ha recibido respuesta sobre los datos del defecto.

Entonces, ¿cuál es exactamente la vulnerabilidad? “Los detalles de Intel son secretos, pero un embargo debe salir a la luz a principios de este mes, a tiempo para que Microsoft lance su parche la próxima semana”, indican en el medio británico de tecnología. Ni siquiera son públicos en un software libre como Linux, ya que el código fuente del parche ha sido ha sido modificado para ocultar el problema.

A pesar de ello, en The Register sí que han descubierto algunos elementos de la vulnerabilidad y ya conocen algunas de las consecuencias que tendrían para los usuarios. Concretamente el fallo estaría en el hardware de Intel con tecnología x86-64, que es la versión 64 bits de los microchips desarrollados por la compañía y que llegaron para sustituir a los procesadores de 32 bits. Al adoptar la nueva arquitectura, los ordenadores permitían a los programas almacenar una mayor cantidad de memoria y, por ello, aumentar el rendimiento.

Pero lo que era una ventaja en el plano teórico, ha terminado siendo un inconveniente en la práctica. Ahora, los microprocesadores de Intel con esas características que  soportan la ejecución fuera de orden tienen un agujero de seguridad que incluso podría ser aprovechado por terceros para acceder a contenido cifrado.

El error, según el medio inglés, está relacionado con el modo en que los chips de Intel gestionan los procesos en el kernel (o núcleo), que es una de las partes más importantes de los sistemas operativos, ya sea Android, iOS o Windows. Es la encargada dar acceso a los programas para garantizar un funcionamiento óptimo entre hardware y software. Si no funcionara el kernel, entonces no podrían habría comunicación entre los periféricos y ni siquiera podría usarse el ratón o el teclado.

Todos los procesos que gestiona el kernel están protegidos, ya que ahí es donde se almacenan datos que comprometen la estabilidad del sistema y la seguridad del usuario (como contraseñas y caché). Sin embargo, a raíz del fallo de Intel, algunos programas podrían acceder a ciertas áreas protegidas del núcleo. Esto permitiría que aplicaciones de terceros, desde bases de datos hasta el JavaScript ejecutado en el navegador, dispongan de una puerta abierta al corazón de los ordenadores.

¿Qué consecuencias podría tener? Como explican en la web de noticias británica, existen dos posibilidades: el mejor de los casos, donde la vulnerabilidad es aprovechada por piratas informáticos para introducir malware en el dispositivo; y el peor de los casos, en el que podrían emplear el agujero para leer todo el contenido oculto almacenado en el núcleo. “Imagine una pieza de JavaScript ejecutándose en un navegador o software malicioso que se ejecuta en un servidor público en la nube”, indican en The Register.

Una solución, pero con consecuencias

Al ser un inconveniente con el hardware de Intel, este no podría solucionarse fácilmente con una actualización que modifique su código interno. Hay que ir más allá. El remedio pasa por lo que definen como Kernel Page Table Isolation, que, en otras palabras, es separar la memoria kernel del resto de procesos que esté haciendo el usuario para ofrecer una capa extra de protección.

Gracias a esto, la memoria protegida del núcleo solo sería accesible cuando un programa del usuario necesite acceder a ella. De esta manera, ya sea para escribir en un archivo o abrir una conexión de red, el procesador tiene que ceder temporalmente el control al núcleo. La parte negativa es que esto conlleva un trabajo extra para el ordenador, que ahora debe cambiar constantemente entre el “modo kernel” y el “modo usuario” para no poner en riesgo la seguridad del sistema. Como consecuencia, un ordenador con una CPU Intel tendrá más sobrecarga e irá más lento.

El periódico inglés sostiene que el problema no solo afecta a ordenadores domésticos, también a servicios de datos en la nube como Microsoft Azure o Amazon EC2. Por ello, las grandes compañías responsables ya tienen planeadas tareas de mantenimiento y actualizaciones para solucionar el error.

El problema no aparece en dispositivos con AMD, marca que junto a Intel lidera el mercado de procesadores. Según The Register, Tom Lendacky, ingeniero de software de AMD, comunicó vía email que la microarquitectura de sus chips establece otro tipo de relación entre este y la memoria del kernel. A pesar de ello,  el parche de Linux se aplica a todos los procesadores de 64 bits, asumiendo que todos son inseguros independientemente de su marca. Debido a ello, el mismo Lendacky recomienda no habilitarlo.

Aunque aún se desconocen las consecuencias exactas,  las primeras pruebas de rendimiento tras el parche en Linux ya reflejan un descenso del 18%. A falta de un comunicado oficial de Intel, las dudas no paran de crecer. Y mientras llega una explicación, si lo hace, la recomendación para los usuarios de dichos procesadores es solo una: actualiza en cuanto puedas.

 

Fuente: Eldiario

Descubren grave fallo de seguridad en protocolo WPA2 de redes Wi-Fi

La vulnerabilidad permite interceptar las conversaciones aprovechando un fallo en los four-way handshakes.

Un fallo de seguridad en el protocolo WPA2 ha sido explotado para conseguir escuchar el tráfico de los dispositivos que se comunican mediante Wi-Fi. Se trata de una vulnerabilidad en la administración de los llamados four-way handshake, verdaderos “apretones de mano virtuales” que llevan a cabo los dispositivos electrónicos que desean entablar una comunicación.

La investigación se basó en KRACK (abreviado de Key Reinstallation Attacks), un software desarrollado específicamente para probar el exploit por Mathy Vanhoef y Frank Piessens en la universidad belga KU Leuven. La vulnerabilidad fue celosamente guardada durante semanas antes de la divulgación hoy lunes 16 de octubre.

Acorde con la investigación, el método funciona explotando los four-way handshakes que se utilizan para establecer una clave para encriptar el tráfico de los sistema Wi-Fi. En la terminología del protocolo WPA (largamente presente en los routers de Wi-Fi que se encuentran en todos lados), un four-way handshake es un paquete de datos que se intercambian entre un punto de acceso y un cliente cuando es necesario realizar un proceso de autenticación.

Durante el tercer paso de ese proceso, la clave puede ser reenviada múltiples veces. Y cuando es reenviada, se puede reutilizar un “nonce criptográfico” (o número arbitrario) para debilitar el cifrado.

Esta debilidad en el protocolo deja una puerta abierta para espiar el tráfico Wi-Fi (sniffing) mediante la información que se traspasa entre las computadora personales y los puntos de acceso.

Tras nuestra investigación inicial, descubrimos que Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys y otros, se ven afectados por alguna variante de los ataques. Para obtener más información sobre productos específicos, puedes consultar la base de datos de CERT / CC o comunicarse con su proveedor.

En tanto, las vulnerabilidades ya han sido indexadas como: CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088. Es importante considerar que el prefijo CVE (Common Vulnerabilities and Exposures), es utilizado para identificar mediante una lista las vulnerabilidades que han sido publicadas, aunque de momento se están esperando parches oficiales de seguridad.

Por su parte, el centro de investigación informática CERT consignó en un comunicado que:

Se han descubierto varias vulnerabilidades de administración en el ‘4way-handshake’ del protocolo de seguridad Wi-Fi Protected Access II (WPA2). El impacto de la explotación de estas vulnerabilidades incluye poder realizar descifrados, repetición de paquetes, ‘hijacking’ de conexión TCP, inyecciones a contenido HTTP, entre otros. Es importante tener en cuenta que la mayorías de las implementaciones del estándar se verán afectadas.

Fuente: FayerWayer

TeamSpy, un malware que utiliza TeamViewer para controlar los PCs

TeamViewer es una de las mejores aplicaciones que podemos encontrar para controlar un ordenador de forma remota a través de Internet. Esta herramienta se utiliza tanto en entornos empresariales, pagando su correspondiente licencia de uso, como en entornos domésticos, sin fines profesionales, donde podemos utilizarla de forma gratuita. Sin embargo, el éxito de esta herramienta también la convierte en un objetivo muy viable para los piratas informáticos, quienes constantemente buscan la forma de poder utilizarla para sus propios fines, por ejemplo, tal como hace el malware TeamSpy.

Hace algunas días, los expertos de seguridad de Avast publicaban un informe en el que analizaban el malware TeamSpy, un nuevo malware que ha empezado a circular por la red y que hace uso de TeamViewer para controlar de forma remota los ordenadores de las víctimas. Es cierto que esta amenaza no es nueva, y es que, hace varios meses, otras empresas de seguridad como Hemidal Security detectaron cierta actividad de esta amenaza, incluso en 2013 fue cuando este malware empezó sus andadas, sin embargo, en las últimas semanas, los piratas informáticos responsables de TeamSpy han intensificado su campaña y, además, lo han hecho con una nueva versión (la 6.0), la cual es mucho más agresiva y complicada de detectar.

Este malware se instala en los ordenadores utilizando la conocida técnica de las macros de Word. Los piratas informáticos detrás de este malware envían un documento adjunto a través de correos electrónicos y, cuando la víctima los ejecuta, les pide permiso para ejecutar estas macros ya que, por defecto, Word las bloquea para evitar, precisamente, infectarnos de malware.

TeamSpy - Ejecutar Macro

Cuando la víctima acepta la ejecución de la macro, el malware comienza su infección. Una vez cargado en la memoria, el malware se conecta a un servidor alojado en Rusia desde el que descarga una supuesta imagen, que en realidad oculta un .exe protegido con una contraseña, que, al ejecutarlo, descarga una versión modificada de TeamViewer.

La mayoría de los archivos son los originales de la aplicación oficial de TeamViewer, e incluso mantienen la firma de la compañía, excepto dos de ellos, msimg32.dll y tvr.cfg. El primero de ellos es donde se oculta el malware como tal, el que controlará la versión modificada de TeamViewer, mientras que el segundo solo almacena la configuración por defecto de TeamSpy.

Todo TeamViewer se ejecuta en segundo plano, por lo que el usuario no ve nada. Además, el malware utiliza 50 APIs diferentes para ocultar el proceso de la lista de procesos de manera que sea imposible levantar sospechas sobre la infección. El malware se encarga de enviar al servidor de control el usuario y la contraseña de la víctima en todo momento, permitiendo que los piratas informáticos puedan así conectarse al ordenador de forma remota y tener el control absoluto del sistema infectado por este malware.

Una vez establecida la conexión remota, el pirata informático puede controlar el ordenador por sí mismo o enviar instrucciones al malware a través del propio chat integrado en TeamViewer.

Cómo protegernos de TeamSpy

Como siempre, los piratas informáticos utilizan el correo electrónico basura, Spam, para enviar el malware a los usuarios, por lo que no existe un vector de ataque concreto ni un grupo de víctimas específico. Por ello, si utilizamos un buen filtro de correo electrónico, en un principio no tendríamos de qué preocuparnos, ya que probablemente detecte el correo como Spam y lo eliminará.

Si por alguna razón recibimos este malware y descargamos y ejecutamos el archivo adjunto, Word bloqueará la macro para evitar infectarnos, por lo que, en ese caso, simplemente cerrando el documento abierto ya estaríamos de nuevo protegidos.

En caso de haber ejecutado ya el documento y la macro, probablemente estemos infectados por este malware. En ese caso, lo mejor en reiniciar el ordenador cuanto antes en modo seguro y pasarle un software antivirus actualizado cuanto antes para que este detecte y elimine la amenaza.

¿Has visto en otras ocasiones otras amenazas similares que utilicen aplicaciones de confianza, como TeamViewer, para hacer de las suyas?

 

Fuente: RedesZone

Un potente ciberataque afecta a grandes empresas de todo el mundo

Ucrania, con el metro de Kiev o el Gobierno, es el país con más entidades ‘hackeadas’. También el gigante ruso Rosneft o la danesa Maersk han sido atacadas

Una empleada de Oschadbank, junto a un cajero afectado por el virus, este martes en Kiev. FOTO VALENTYN OGIRENKO 

Los piratas informáticos han vuelto a poner en jaque a empresas, bancos e instituciones de todo el mundo. Este martes, decenas de compañías y entidades en varios países han sido víctimas de un potente ciberataque ransomware, un secuestro de datos. Las más afectadas por el hackeo están en Ucrania, Rusia, Reino Unido e India, según la agencia gubernamental de Suiza. También empresas de Italia, Polonia, Alemania y Estados Unidos han sido golpeadas por los piratas, que emplean un sistema muy similar al que hace un mes infectó a unos 300.000 equipos en todo el mundo, y que piden un pago de 300 dólares a través de bitcoin para liberarlos.

Los expertos apuntan a que el responsable de la infección es el virus Petya o Petrwrap. Kaspersky afirma que es uno nuevo

En Ucrania, el Banco Central, el metro de Kiev, la compañía estatal de la energía o la red informática del Gobierno ucranio, han sido atacados. Además, el gigante petrolero estatal ruso Rosneft, la multinacional danesa Moller-Maersk, la farmacéutica MSD o el holding británico WPP también han sido víctima de los piratas. El ciberataque también ha golpeado a varias multinacionales con oficinas en España, como ha confirmado el equipo especializado del Centro Nacional de Inteligencia (CNI).

Así está siendo el ataque

El equipo especializado en detección ciberataques del Gobierno español (CERTSI) ha difundido cómo está siendo el ciberataque y los equipos afectados. Así es:
Recursos afectados: Equipos con sistemas Windows.
Descripción: Se está produciendo una infección de equipos con sistemas Windows en diferentes organizaciones, por un malware del tipo ransomware y de la familia conocida como Petya o Petrwrap, y solicitando un pago a través de bitcoin de 300 dólares.
Solución: Se desconoce el método de infección con esta variante de Petya o Petrwrap, su propagación sería similar a WannaCry, pero también podría propagarse a través de otros mecanismos habituales de este tipo de malware.
Se recomienda tomar las siguientes medidas preventivas:
  • Mantener sus equipos actualizados tanto su sistema operativo como otro software instalado.
  • No abrir ficheros descargados de Internet o recibidos por correo electrónico de fuentes no confiables.
  • Realizar copias de seguridad de sus ficheros.
  • Mantenerse al tanto de las últimas informaciones que puedan publicarse sobre esta oleada.
Detalle: La infección se está produciendo a través de equipos con sistemas Windows en diferentes organizaciones, y afectando especialmente a Ucrania.

El virus es un ransomware similar al utilizado en el ciberataque de Wannacry el pasado mayo, que se basa en una tecnología robada a la Agencia de Seguridad Nacional de EEUU (NSA, por sus siglas en inglés) y después filtrada como denuncia por el grupo Shadow Brokers. Afecta a ordenadores Windows. Algunos expertos y la compañía ucrania Novaia Potchta, una de las afectadas, afirma que se trata del virus Petya o Petrwrap. Sin embargo, el laboratorio del gigante ruso en seguridad informática Kaspersky afirma que se trata de uno nuevo, nunca antes visto; por eso lo ha llamado NotPetya.

El primer ministro ucranio, Volodymir Groysman, ha descrito el ciberataque como “inédito”; mientras que el secretario del Consejo de Seguridad de Ucrania, Oleksandr Turchynov, ve “indicios” de que Rusia esté detrás del ataque, aunque no ha ofrecido datos ni evidencias de ello. Ucrania, en un conflicto enquistado con Rusia desde hace más de tres años, ya ha acusado a Rusia antes de ser autor de varios ciberataques a gran escala a sus infraestructuras eléctricas. Ha sido Ucrania la que ha dado la voz de alarma del inicio del ataque informático, que parece extenderse a medio mundo.

De hecho, según el gigante de antivirus ruso Kaspersky, el 30% de las compañías e instituciones atacadas están en Rusia y otro 60% en Ucrania. Allí, se ha visto afectado el sistema que monitoriza el nivel de radiación de la planta nuclear de Chernobyl, que sufrió un gravísimo accidente nuclear en 1986 en uno de los reactores, que ha sido sellado. La central ha pasado al modo manual de análisis, informa Reuters

 

La escala, la diversidad de empresas y países afectados por estos hackeos (que no son teledirigidos, según los expertos) vuelve a mostrar la vulnerabilidad de compañías e instituciones ante los ataques informáticos, que pueden paralizar un país. “Todos los sistemas se han caído en todas las sedes y están afectadas todas las unidades de negocio”, ha confirmado una portavoz de Moller-Maersk, que tiene distintas divisiones dedicadas a los sectores del transporte y la energía y que dispone de sedes en 130 países. El ataque a una de sus empresas, APM Terminals, que se encarga del tráfico portuario y de mercancías, ha paralizado sus operaciones en sus terminales de los puertos de Róterdam —uno de los más importantes del mundo— y los cinco españoles donde opera.

En Ucrania, operaciones y transacciones en decenas de bancos se han visto interrumpidas por el ciberataque. Allí, la compañía nacional eléctrica y el banco Oschadbank, uno de los mayores del país, se han visto seriamente afectados. Los medios ucranios relatan que los paneles que informan de las salidas y llegadas en el principal aeropuerto de Kiev, el Boryspil, ha sido víctima del ciberataque. El director del aeropuerto ha reconocido que la situación está fuera de control y que probablemente se retrasen o cancelen vuelos.

Mikhail Golub, un ciudadano de Kiev, asegura por teléfono que ha tenido problemas para pagar en el supermercado Auchan (Alcampo) con su tarjeta de crédito y que ha tenido que pagar con efectivo. “No tengo miedo porque mi dinero está en un banco que no ha sido atacado”, afirma. Uno de sus amigos, que vive en otra ciudad ucrania, Járkov, ha tomado una fotografía de los ordenadores del supermercado Rost colapsados por el ciberataque. “Nadie sabía qué sucedía”, comenta.

También el servicio postal UkrPoshta y los bancos OschadBank y Privatbank han avisado de que no tienen sus ordenadores operativos. El metro de Kiev ha alertado en las redes sociales de que también ha sido víctima del ciberataque y ha informado de que los trenes no se han parado pero sí los sistemas de compra de billetes, que han dejado de funcionar. Otras muchas empresas públicas y privadas e instituciones han sido atacadas por el virus informático, entre otras, la manufacturera de aviones Antonov o las empresas de venta Citrus, Foxtrot, EpicenterK.

El virus que se ha lanzado este martes se aprovecha de una vulnerabilidad en el protocolo para compartir en red de los sistemas operativos Windows, que ya sirvió en mayo a WannaCry y que muchas empresas todavía no habían corregido. Entre las afectadas están importantes compañías como la petrolera Bashneft y la siderúrgica y minera Evraz, propiedad del magnate Roman Abramovich (ambas rusas). Ambas —como Rosneft— afirman que su producción no se ha visto afectada. El holding británico WPP —que tiene entre otras JWT, Ogilvy & Mather, Young & Rubicam and Grey— y la multinacional de vidrio y acero francesa Saint Gobain  también están entre las hackeadas. Entre las atacadas también hay empresas estadounidenses, como la farmacéutica MSD o la firma jurídica DLA Piper.

Vulnerabilidad

Fernando Carrazón, director de tecnología de GoNetFPI, compañía española para la prevención del fraude en ciberseguridad, apunta que las atacadas son, en su mayoría, compañías medianas, y no grandes corporaciones como las que sufrieron el 12 de mayo WannaCry. “Lo importante ahora es ver cómo se propaga la infección para saber las dimensiones globales de este virus”, señala el jefe de Tecnología de IOActive, César Cerrudo. Interpol está analizando lo sucedido.

David Barroso, fundador de la compañía de ciberseguridad CounterCraft, apunta que por ahora imposible saber de dónde procede el ataque. “Es muy sencillo manipular los indicios de un ataque para poder culpar a otro grupo o nación”, dice. “Lo que sí que es cierto, es que hay muchas relaciones con Ucrania, puesto que Ucrania está siendo uno de los mayores afectados, además de que el propio malware parece que ha utilizado un fallo en la actualización de un producto financiero ampliamente utilizado en Ucrania (MeDoc) para poder propagarse de forma masiva en ese país, lo que, o bien el que está detrás quiere hacer realmente daño a Ucrania, o bien es una pista falsa para poder culpar a otra nación del ataque”.

El experto en ciberataques César Cerrudo sostiene que desde el macroataque cibernético que afectó a casi todos los países del mundo el pasado mayo aún quedaron “cientos de miles de ordenadores expuestos a más agresiones, pues no habían realizado la actualizaciones necesarias para protegerse”. Cerrudo, no obstante, asegura que a raíz del ataque de mayo, el mundo está más y mejor preparado para responder a una agresión de este tipo.

Este tipo de ransomware se suele propagar por el mero hecho de abrir un correo electrónico o un archivo adjunto o la instalación de un programa en el ordenador. Ante un ataque de semejantes dimensiones lo primero que hay que hacer, explica este experto, es “aislar los sistemas”, después hay que analizar el malware y ver cómo se propaga, que puede llevar “varias horas”.

El ‘hackeo’ afecta a España

H. Gutiérrez., Madrid

El ciberataque ha llegado a algunas multinacionales que están presentes en España. La farmacéutica MSD, por ejemplo, ha sufrido problemas en sus ordenadores y ha enviado a casa al menos a un grupo de trabajadores. La compañía de alimentación Mondelez ha confirmado que “está sufriendo una incidencia en sus sistemas de información a nivel internacional”. Trabajan para solucionarlo. “El equipo global de gestión de situaciones especiales está trabajando en ello para encontrar una solución lo más rápido posible”, han explicado en un comunicado.

La naviera Maersk, que tiene terminales en varios puertos españoles (Algeciras, Barcelona, Valencia, Castellón y Gijón, de los más importantes del país), ha confirmado en su cuenta de Twitter que también ha sufrido el ataque. En el caso de España, explican fuentes de la empresa, las terminales están paradas y con los aparatos informáticos apagados. En las computadoras, que se apagaron y encendieron por sorpresa, aparecía un mensaje que avisaba del ataque. Han comunicado a la plantilla que no accedan al correo ni a ninguna aplicación de la empresa.