La vuelta al trabajo puede reavivar la variante más dañina del virus, que es la que ha infectado en España a una decena de empresas de sectores estratégicos
15 may 2017 . Actualizado a las 13:20 h.El ciberataque del viernes se convirtió ayer oficialmente en un problema de seguridad nacional después de que los técnicos de Industria, Interior y Defensa informaran al Gobierno de que el virus WannaCry, diseñado para extorsionar aleatoriamente a empresas del sector privado, también se ha colado en los ordenadores de determinados «sectores estratégicos» del país. 48 horas después del viernes negro, el Ejecutivo se vio obligado a reconocer que los daños de la ofensiva hacker son mayores de lo esperado, aunque las agencias estatales evitaron dar pistas de las compañías públicas y privadas golpeadas por este ransomware para impedir nuevos ataques.
El Instituto Nacional de Ciberseguridad (Incibe) y el Centro de Respuesta a Incidentes de Seguridad e Industria (Certsi) dependiente de Industria y Energía e Interior, confirmaron ayer los peores temores que horas antes había adelantado el Centro Nacional de Inteligencia (CNI) y señalaron que «algo menos» de una «docena» de los «operadores estratégicos nacionales» han sido ya víctimas del WannaCry. Según fuentes de la investigación, entre ellos habría centrales energéticas e «importantes compañías» relacionadas con el transporte público y las comunicaciones que, «sorprendentemente» y «casi siempre por motivos burocráticos», no habían aplicado el parche contra este virus que Microsoft facilitó a todos los usuarios el pasado 14 de marzo. Las agencias oficiales no quisieron facilitar nombres para evitar que hoy, cuando miles de ordenadores de estos «operadores estratégicos» se vuelven a conectar a la red, sean objeto de nuevos ataques. Porque este es el auténtico temor y el quebradero de cabeza de los expertos.
Diversos responsables de las cuatro agencias involucradas en la seguridad cibernética del país reconocieron que el Gobierno todavía no tiene datos de la verdadera magnitud del ataque. Solo el Incibe habló de cifras, aunque muy parciales. Según Industria, se han localizado «algo menos» de 600 equipos atacados, por lo que España ocuparía, por el momento, la posición 18 del ránking mundial de víctimas del ciberataque. Siempre según el Incibe, en las «últimas 24 horas» se han identificado más de 200.000 equipos infectados en 166 países diferentes, prácticamente todos los estados del planeta.
La variante más dañina
Pero las primeras cifras oficiales del Gobierno ocultan un dato trascendental, según admitieron ayer responsables de la seguridad del Estado. Las agencias de ciberseguridad españolas solo tienen cifras del ataque de WannaCry.A, la cepa menos agresiva, menos dañina y más fácil de neutralizar. De hecho, admitió el Incibe, no se tienen todavía ni siquiera estimaciones de la infección provocada por la otra cepa, la WannaCry.B, la más violenta y la que precisamente afectó de lleno a Telefónica y desde allí a decenas de empresas nacionales.
Responsables de los equipos de ciberseguridad del CNI y del Incibe revelaron que la cepa que atacó a Telefónica es precisamente para la que no hay antídoto hasta el momento. El WannaCry.B es totalmente inmune al remedio que encontraron el viernes dos británicos, Darien Huss y el informático que se esconde tras el usuario malwaretechblog, que descubrieron que el virus pedía autorización a una web para perpetrar el ataque, comenzando el cifrado de datos cuando no obtenía respuesta. Los dos británicos desactivaron esa cepa de ransomware al comprar el dominio por menos de diez euros, haciéndose así con el control del virus.
Sin embargo, el remedio británico solo actúa sobre la variante aA, no sobre la B. Según han descubierto los especialistas de Telefónica, Incibe y CNI, el que atacó al gigante de las telecomuncaciones español no pide permiso a ninguna web para comenzar a secuestrar datos. «El WannaCry.B comienza inmediatamente con el cifrado de los archivos para posteriormente solicitar el pago del rescate de los documentos cifrados», apuntó Incibe.
A la espera de un arranque de semana «complicado», los técnicos del CNI y de Industria siguieron tratando a decenas de compañías españolas afectadas por el virus. Los especialistas del CCN lograron desarrollar a última hora del viernes una «herramienta» que permite recuperar el control de las terminales infectadas, pero que en ningún caso sirve para recuperar la información secuestrada. Los servicios de Inteligencia del Estado dan por «perdida», al menos a corto plazo, la batalla por desencriptar los datos secuestrados.