Sistemas informáticos de Colombia también están en riesgo de ciberataque: MinTIC

El Ministerio de las Tecnologías de la Información y las Comunicaciones-TIC, emitió este viernes una alerta por la posible afectación masiva de un ciberataque masivo en territorio colombiano.

 

Todo equipo con sistema operativo Windows puede ser víctima de soborno informático, que ya afecta 74 países al rededor del mundo. De hecho, en Colombia ya se registró un caso del ciberataque.

 

El ataque masivo de Ransomware consiste en explotar una vulnerabilidad publicada por Microsoft para pedir dinero a cambio de la no publicación de la información; en otras palabras, un soborno informático.

 

En Colombia hay registro de un caso de ciberataque exitoso hasta el momento, según confirmó a Blu Radio Juanita Rodríguez, directora del Deati, área de Ministerio de las TIC encargada de la seguridad digital: “Tenemos un caso confirmado de una entidad que tiene cuatro máquinas con información secuestrada y estamos trabajando con ellos”.

 

 

La experta advirtió también que “hay que tener mucho cuidado con correos desconocidos desde direcciones que parezcan sospechosos y correos donde lo invitan a abrir archivos adjuntos, que hablen sobre todo de información de bancos o información comercial”.

 

Este viernes una oleada de ciberataques ha afectado los sistemas e infraestructuras informáticos de al menos 74 países, en algunos de los cuales, como el Reino Unido, ha alcanzado a más de una docena de hospitales y centros médicos.

 

La empresa rusa de seguridad informática Kaspersky estimó en más de 45.000 los ciberataques perpetrados por el virus del tipo ransomware, que ha golpeado a infraestructuras de 74 países.

 

"Hasta el momento hemos registrado 45.000 ataques (...) en 74 países. Las cifras siguen aumentando inusitadamente", escribió Costin Raiu, director global del equipo de Investigación Análisis del Laboratorio Kaspersky, en su cuenta de Twitter.

 

Raiu agregó que el mensaje que encabeza el ciberataque, que ha afectado a países como España, el Reino Unido, Turquía, Ucrania y la propia Rusia, está escrito en rumano, pero no por un nativo.

 

La primera ministra británica, Theresa May, afirmó hoy que los fallos informáticos que han sufrido hospitales y centros médicos en el Reino Unido se deben a un "ataque internacional" más amplio.

 

"Esto no estaba dirigido contra el NHS (sistema público de salud británico). Es un ataque internacional que ha afectado a diversos países y organizaciones", dijo May a la BBC.

 

Este ciberataque fue "indiscriminado", afectó a otros países y es "especialmente virulento", pues combina un "malware" con un sistema de propagación que utiliza una vulnerabilidad detectada en Microsoft, aseguró a EFE Agustín Muñoz-Grandes, director ejecutivo de S21sec, una empresa española especializada en ciberseguridad.

 

Los sistemas informáticos de numerosos hospitales y centros médicos británicos, principalmente en Inglaterra, quedaron bloqueados por un ciberataque a gran escala que obligó a derivar ambulancias y pacientes de urgencias a otros centros y cancelar visitas.

 

Los servicios de inteligencia del Reino Unido colaboran en la investigación de una incidencia que afectó al menos a 16 autoridades sanitarias locales, que engloban a hospitales, centros de salud y consultas dentales, entre otros servicios.

 

El sistema público de Inglaterra (NHS England) señaló que las primeras pesquisas apuntan a que los ordenadores de su red fueron infectados por un software malicioso conocido como "Wanna Decryptor".

 

En las pantallas de los trabajadores sanitarios apareció un mensaje que exige un pago para recuperar sus archivos, han relatado diversos testimonios, una situación similar a la que sufrieron hoy equipos informáticos de diversas compañías españolas.

 

La división tecnológica del sistema público del Reino Unido, NHS Digital, aseguró que no hay constancia de que los historiales clínicos y otros datos de los pacientes hayan quedado comprometidos con el ataque.

 

En España el Gobierno confirmó que se han producido diversos ciberataques a compañías nacionales, entre ellas Telefónica, aunque no se vieron afectados ni la prestación de servicios a los usuarios ni la operativa de redes.

 

Telefónica procedió a apagar los ordenadores de su red corporativa como medida preventiva después de detectar problemas en un centenar de dispositivos a causa de un virus informático y otras compañías, como Iberdrola, Vodafone e Indra, tomaron también medidas de prevención

 

También como precaución, los ministerios y organismos dependientes de la Administración General del Estado decidieron la desconexión de equipos informáticos.

 

Según fuentes del Ministerio de Energía, Turismo y Agenda Digital español, se trata sólo de una medida de precaución, ya que no ha habido ningún incidente en el caso de la Administración central.

 

En un comunicado oficial, ese mismo ministerio señaló que el ataque sólo afectaba puntualmente a equipos informáticos de empleados de varias empresas, y que trabajaba con las compañías perjudicadas para solucionar cuanto antes la incidencia.

 

Asimismo, aseguró que el ataque "no compromete la seguridad de los datos ni se trata de una fuga" de los mismos.

 

El Instituto Nacional de Ciberseguridad de España (Incibe) elaboró un diagnóstico de lo ocurrido en las empresas afectadas y ofreció ayuda para solucionar los problemas, además de asesorar a otras en prevención, según el ministerio.

 

También indicó que los equipos de respuesta a incidentes cibernéticos nacionales están en contacto con las organizaciones afectadas, al igual que el Centro Nacional para la Protección de las Infraestructuras Críticas del Ministerio del Interior.

 

El Incibe explicó que la infección masiva fue provocada por un virus informático del tipo "ransomware", que tras instalarse en el equipo, bloquea el acceso a los ficheros y pide un rescate.

 

El método de infección y propagación del virus se produce aprovechando una vulnerabilidad del sistema operativo Windows.

 

En el caso de las entidades afectadas, el que ha infectado al primer equipo ha llegado a través de un archivo adjunto descargado, que ha aprovechado la vulnerabilidad de un ordenador.

 

El virus en cuestión es una variante de versiones anteriores de "WannaCry", que ataca especialmente a sistemas con Windows y que, tras infectar y cifrar los archivos, solicita un importe para desbloquear el equipo.

 

El programa "Wanna Decryptor" es conocido entre los expertos informáticos como un "ransomware", una clase de virus informático que puede ocultarse tras enlaces de correo electrónico de apariencia inofensiva.

 

Ese software codifica los ficheros del ordenador y amenaza con borrarlos si no se paga en pocos días una cantidad en bitcoins, una moneda electrónica.

 

 

Además, según la compañía de seguridad informática A3SEC, el ciberataque masivo afecta a los siguientes sistemas operativos:

 

• Microsoft Windows Vista SP2

 

• Windows Vista x64 Edition Service Pack 2

 

• Windows Server 2008 for 32-bit Systems Service Pack 2

 

• Windows Server 2008 for x64-based Systems Service Pack 2

 

• Windows 7 for 32-bit Systems Service Pack 1

 

• Windows 7 for x64-based Systems Service Pack 1

 

• Windows Server 2008 R2 for x64-based Systems Service Pack 1

 

• Windows Server 2008 R2 for Itanium-based Systems Service Pack 1

 

• Windows 8.1 for 32-bit Systems

 

• Windows 8.1 for x64-based Systems

 

• Windows RT 8.1

 

• Windows Server 2012 and R2

 

• Windows 10

 

• Windows Server 2016

 

A3SEC emitió también algunas recomendaciones para evitar ser víctima del ataque:

 

1-Identificar si hay equipos vulnerables con InsightVM (aka Nexpose) utilizando la firma CVE- 2017-0143 MS17-010 SMB RCE Detection. Adicionalmente validar el segmento público para identificar servicios SMB expuestos. Puede descargar una versión de prueba de InsightVM desde https://www.rapid7.com/products/insightvm/download/virtual-appliance/, en formato OVA, y luego montarla en cualquier sistema de virtualización, incluido Virtualbox. Recibirá en su correo un serial para el periodo de prueba.

 

2-Instalar en los equipos vulnerables el boletín MS17-010 (Kb 4013389).

 

3-Filtrar en el firewall perimetral los servicios SMB expuestos.

 

4-Si su antivirus tiene la capacidad de identificar archivos maliciosos por hash, haga un barrido en todos los endpoint y servidores buscando el siguiente hash y póngalo en cuarentena: b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25.

 

5-Si ya fue víctima del ataque manténgase actualizado a través de las redes sociales sobre los avances que hay para solucionar el problema, muchas empresas de seguridad están uniendo esfuerzos a través del proyecto www.NoMoreRansom.org #nomoreransom y mantienen actualizada la aplicación CRYPTO SHERIFF para descifrar archivos secuestrados por Ransomware.

 

6-Actualice su antivirus y despliegue un escaneo masivo, asegúrese previamente de que el fabricante ya cuente con una firma para detectarlo.