«El reciente ataque informático ha sido una avanzadilla y habrá más»

Julio César Miguel, propietario de la empresa CFI, dedicada a la seguridad cibernética y la protección de datos, este experto informático, que preside además la Asociación Palentina de Empresarios de Tecnologías de la Información y la Comunicación (Apetic) ha trabajado en los últimos meses, junto a un importante grupo de organizaciones tecnológicas españolas en la creación de un sello de ciberseguridad, que garantiza la existencia de protocolos en las empresas frente a posibles ataques informáticos.

¿Ha sido tan grave este ciberataque o se está exagerando con sus efectos?

Lo es sobre todo porque está demostrando la fragilidad del sistema global o del tejido de ordenadores y sistemas informáticos a nivel global. Es decir, que han bastado unas horas para que haya más de doscientos mil ordenadores infectados en 150 países, en tan solo unas horas. Lo que evidencia claramente la fragilidad de ese sistema.

¿Si los equipos hubieran contado con los sistemas operativos totalmente actualizados el problema no habría tenido tanta incidencia?

Desde luego, el efecto hubiese sido muy inferior. Este virus inicial es como tantos otros virus de este tipo que se denominan ramsonware, que son aquellos que te cifran los archivos de un ordenador y luego te piden un rescate. Hasta ahora el ordenador que se infectaba era porque el usuario descargaba o abría el adjunto de un correo electrónico, y quedaba ahí. Solo le afectaba a él. Pero qué ocurre con este virus, que viene con esteroides, aprovecha una vulnerabilidad de los sistemas Windows y lo que hace es propagarse por una red, hablamos de una red interna, con lo que si un solo usuario descarga ese fichero, ese malware, automáticamente quedan infectados todos los ordenadores de esa red.

¿Y puede afectar a todos los equipos hasta los que tengan los sistemas operativos más modernos?

Claro, porque es una vulnerabilidad de Windows, un fallo en la programación, que siempre hay muchísimos, y de hecho todos los meses Microsoft saca nuevos parches para corregir fallos de seguridad. Y precisamente este fallo de seguridad se conoce desde el día 14 de marzo y ya existe un parque que los soluciona. Pero todos aquellos ordenadores que no han actualizado este parche de seguridad de Microsoft porque no tienen las actualizaciones automáticas activadas o porque la frecuencia de instalación de los parches no es la adecuada, pues entonces siguen con esa puerta abierta. Es decir, que dos meses después de existir una solución, se evidencia que la mayoría de los ordenadores no han instalado esos parches.

¿Luego si tienes el sistema operativo totalmente actualizado no entraría en tu ordenador?

No te entraría. En una intranet, por ejemplo, entraría solo a aquellos equipos que no tenían parcheada esa vulnerabilidad. Con lo cual, hemos evidenciado que casi nadie tiene las actualizaciones de seguridad instaladas.

-Una vez infectado, te exigen un rescate...

Sí, 300 dólares, que se lo pagues en bitcoins, la moneda virtual de Internet.

¿Pero hay que pagar, hay formas de evitarlo? ¿Qué puede hacer un particular que se infecta y no pertenece a ninguna empresa u organización?

Lo primero es comprobar si se tiene una copia de seguridad la información. Si se tiene, es tan fácil como borrar los ficheros infectados e instalar la copia de seguridad, con lo que no supone ningún problema, más que el tiempo que vas a emplear en ello. Ahora bien, si no tienes copia de seguridad, sí tienes un problema.

Y por supuesto esa copia de seguridad debe estar fuera del equipo afectado...

Fuera, desde luego, pero también que no esté conectado en ese momento. Este virus lo que hace es cifrar toda la información del ordenador, pero también de los dispositivos extraíbles que estén conectados. También de las unidades de red que estén conectadas. Busca todo lo que puede cifrar y lo cifra. Si la copia de seguridad está por ejemplo en un disco duro externo, pero está conectado en ese momento, quedará también encriptada y no servirá de nada. Tiene que esta fuera o guardar esa copia de seguridad a través de Internet, que eso tampoco lo puede cifrar. Si está en una nube, no puede infectarla. Luego recapitulando, si se tiene copia de seguridad, la restauramos y ya está. Si no tenemos esa copia, tenemos dos opciones. O nos quedamos sin la información o pagamos el rescate, pero corremos el riesgo de que no nos envíen la clave de desencriptado. No lo sabemos, porque, al fin y al cabo, estamos pagando a delincuentes y no sabemos cómo de serios van a ser ellos.

¿Pero qué son esas bitcoins?

Es una criptomoneda, es decir que solo se puede usar para pagar en Internet y no tiene trazabilidad. Cuando alguien hace una transferencia bancaria, el dinero va de un banco a otro banco y puede seguirse ese rastro. Hay una trazabilidad. En bitcoin, lo que tienes es una cartera con un número de esa cartera, a la que se envían las monedas, pero no hay ninguna trazabilidad, por eso es la moneda utilizada por los ciberdelincuentes, porque esa cartera no pertenece a una persona identificada, no se puede saber quién es.

¿Y si una persona decide pagar los 300 dólares qué debe hacer, cómo se convierte el dinero en bitcoins?

Pues compras bitcoins. Hay tiendas legítimas, legales, que funcionan como las de cambiar divisas normales, como si quieres cambiar euros a yenes, pero lo haces con bitcoins, y luego puedes volver a cambiarlo a euros. Lógicamente, hay unas tasas de cambio, como con cualquier otra moneda. Una vez que tienes tus bitcoins, las metes en tu cartera y tú pagas, y esas monedas irán de una cartera a otra.

¿Y no hay forma de localizar a la persona receptora?

No, porque no está identificada esa persona. Tú puedes llevar en un pincho USB mil millones de bitcoins que tienes guardadas en tu cartera, con lo que puedes sacar de España mil millones de dólares en bitcoins y llevarlos a otro país y no es trazable. Te sacas todo ese dinero en tu pincho, con toda tranquilidad. Lo único que llevas encima es un fichero. Es la cartera en la que vas metiendo las transacciones.

¿Y si no hay copia de seguridad y no se quiere pagar, no hay ninguna otra solución, no vale con restaurar el sistema operativo?

No. El problema no es restaurar un sistema operativo, que es fácil. Sino la información que se pierde. Un ordenador lo puedes comprar, un sistema operativo, también, pero los datos, no. Tu información, las fotos que has sacado, los datos de tus clientes, tu facturación, la contabilidad, tus presupuestos, eso no se puede comprar en un tienda. O la recuperas o la tienes que rehacer de nuevo.

Lo que nadie ha podido aclarar hasta ahora es de dónde viene este ataque...

Nadie lo aclara, porque no se sabe. O lo saben a nivel de agencias de inteligencia, porque no podemos olvidar que ellos están continuamente monitorizando el ciberespacio. A lo mejor lo saben, pero no conviene decirlo.

¿El objetivo ha sido conseguir dinero o hay más detrás de este ataque informático?

Desde mi punto de vista, creo que, desde luego se ha intentado conseguir dinero, pero también ver el nivel de infección que se puede provocar y la respuesta d las empresas, de las organizaciones. Tenemos que tener en cuenta que el ciberataque se ha llevado a cabo un viernes, un día en el que la gente ya está pensando en el fin de semana y la agilidad en las organizaciones es muy inferior que un martes o un miércoles. El ataque estaba muy bien planeado y muy dirigido a un centenar de países. No lo han hecho tres chavales con un ordenador en su casa.

¿Y el objetivo principal han sido las empresas?

Cualquier organización con una red informática de importancia. Las de mayor desarrollo de su red interna son las más afectadas. A los usuarios domésticos no les afecta más que cualquier otro virus similar, porque un usuario doméstico no suele tener una red en su casa.

Los técnicos de muchas empresas han alertado a sus usuarios contra la apertura de los correos procedentes de las grandes empresas de servicios públicos...

Sí, porque podía que los correos que se recibiesen con su nombre fueran fraudulentos, ilegítimos. No nos olvidemos que el ransonware entra por engaño, por ingeniería social. Por ejemplo, te llega una factura de compañía eléctrica en la que te dice que tu gasto es de 980 euros. ¿Por qué te ponen una cantidad tan alta? Para que la emoción suba, la inteligencia baje y enseguida abras ese fichero adjunto. Y en cuanto la abras, acabas de ejecutar el virus. Han podido usurpar cualquier gran empresa y por eso te decían que no abrieses nada sospechoso. Porque repito, con un solo equipo infectado en una red, está infectada toda la red.

¿Cuando dice usted que los piratas querían conocer el nivel de vulnerabilidad de las empresas, quieren decir que habrá nuevos ataques?

Yo tengo claro que esto ha sido una primera avanzadilla y que va a haber nuevos ataques. Ahora que han visto que el nivel de actualización de los equipos es bajísimo, es decir, que todos adolecen de estas vulnerabilidades, y que no en todas las empresas la respuesta es ágil, y viendo también la velocidad de propagación, yo estoy convencido de que esto va a ser una primera prueba. No podemos olvidar que este virus tenía un botón de emergencia, es decir, si se descifraba y se activaba un dominio concreto, la infección se paraba, dejaba de replicarse.

¿Luego podía pararse?

Sí, el virus comprobaba si un dominio concreto estaba activo en esa red y si no lo estaba, seguía replicándose. Alguien en Estados Unidos lo vio, descifró el código del virus y vio que hacía referencia a un dominio y decidió comprar ese dominio. En el momento en que compró ese dominio frenó el virus. El virus veía que ese dominio estaba accesible y ya no se replicaba, se quedaba en ese equipo. Era un botón de emergencia. Esto consolida más la teoría de que ha sido una prueba que se podía parar en cualquier momento. Pero igualmente puedes hacer este virus sin ese botón de emergencia y eso ya no es tan fácil de parar.

¿Este ataque se ha parado?

Está controlado, parado igual es mucho, pero está controlado. Al menos eso es lo que nos dicen las grandes organizaciones que se han infectado.

• Temas
• Palencia ciudad
• Ciberataque