Ransomware Telefonica


Bonito fin de semana hemos tenido…

El viernes a primera hora Telefónica era objetivo de un ataque que comprometía su red interna. Varios compañeros que tengo de la época en la que trabajaba por esos lares iban comentado la jugada conforme si implementaban los controles de seguridad en las oficinas. Básicamente, desconectar cualquier dispositivo de la red, apagarlo y volverse a casa. Tantos los que trabajaban dentro de Distrito C, como aquellos que estaban en remoto y/o en empresas como externos.

Este fin de semana me tocó preparar un informe sobre la situación superficial de la amenaza para el BBVA, que en las primeras horas se aseguraba que podría haber sido uno más de las múltiples víctimas del ataque. Vodafone, Iberdrola y, en definitiva, todas las grandes y medianas empresas que trabajaban con Telefonica, corrían riesgo de seguir el mismo camino. Poco después fueron apareciendo más víctimas internacionales: Hospitales de Reino Unido (EN), empresas de más de 11 países distintos (EN)… He preparado un resumen cronológico del ataque en Twitter Moments (ES), para que se haga una idea de lo que se vivió en directo.

Joaquín Pi, de merca2, me escribía al medio día para hacerme unas preguntas con la idea de publicar un artículo resumen (ES). Aproveché entonces para volcar en esas palabras todo lo que en ese momento sabíamos, intentando quitar la innumerable paja de los rumores y quedarnos con lo que se conocía y podíamos aprender de una situación semejante:

1. ¿Cómo puede tener éxito el ataque de ransomware en una empresa? ¿Ha habido que aplicar técnicas de phishing o no tiene por qué?

Muy sencillo: Porque una empresa, como cualquier otra organización, depende de humanos para funcionar. Y ya sabemos que los humanos son el principal elemento débil de la cadena.

El ransomware se ha vuelto estos últimos años uno de los ataques más efectivos que existen, y esto no ha hecho más que empezar. En uno de los últimos white papers publicados explicaba hacia dónde está tirando el ransomware, y las perpectivas son de todo menos halagüeñas. Más que nada porque además de ser profundamente dañinos para los activos de la compañía, requieren que ésta pase por caja lo antes posible para solucionarlo. Es decir, urgencia y monetización en su estado más puro.

En el caso de esta mañana en Telefónica parece (ES) que el causante es una versión de WannaCry, un ransomware que infecta máquinas Windows  (Vista SP2, Server 2008, 7, 8.1, Server 2012, 10 y Server 2016) a través de SMB, teniendo además capacidad no solo de cifrar archivos del propio ordenador sino de expandirse por los activos conectados en la red. Microsoft liberó el 14 de marzo un parche (EN), pero como suele ocurrir en este tipo de casos, una cosa es que la compañía libere el parche, y otra muy distinta es que el parche sea aplicado de forma masiva en todos los dispositivos del parque tecnológico de una empresa. No porque los chicos del equipo de IT sean unos irresponsables, sino porque en una red tan compleja como es la de cualquier organización de mediano o gran tamaño, cualquier actualización debe pasar no pocos controles antes de que pueda ser distribuida. Y eso normalmente hace que dichos dispositivos vayan varios meses por detrás en cuanto a actualizaciones del sistema.


Sobre la manera en la que el ransomware les ha atacado, lo más probable es, en efecto, que algún trabajador conectado a la intranet haya pinchado en algún enlace, presumiblemente enviado por correo electrónico o por privado en alguna red social, que le ha dirigido a una página infectada, o bien, que contenía un adjunto con regalo. Pero no es la única manera. El que alguien haya podido pinchar un lápiz USB en algún dispositivo de la red, o hacerlo llegar de cualquier otra forma a uno de estos PC es más que suficiente.

2. ¿A algún medio le han asegurado fuentes internas que han avisado por megafonía para que se desconecten inmediatamente los ordenadores, además de poner un letrero de “Urgente” instando a lo mismo? ¿Te parece adecuado? ¿Cuál es el protocolo en estos casos?

Las medidas tomadas, aunque levanten muchísima rumorología, creo que han sido las adecuadas. Ten en cuenta que ante una infección por ransomware el tiempo juega a nuestra contra. Como explicaba recientemente al hilo de la guía sobre qué hacer cuando hemos sido infectados por ransomware, el protocolo más adecuado sería:

  • Actuar lo antes posible: alertando al resto de miembros, desconectándonos de la red y apagando el dispositivo o dispositivos infectados. Mientras más tiempo estén encendidos y online, más archivos podrán cifrar, y mayor será el daño hecho por los cibercriminales.
  • Identificar y alertar: Que el equipo técnico encargado, tomando las medidas de seguridad oportunas, identifique la amenaza y se busquen maneras de solventarla. Y por supuesto, informar al resto de stakeholders y autoridades (Policía, CNI, Guardia Civil) de la situación para que tomen las mismas medidas. Al tratarse Telefonica de una de las consultoras técnicas más importantes de nuestro país, la amenaza puede fácilmente propagarse a prácticamente la totalidad de grandes compañías del IBEX 35. No estamos hablando de cualquier tontería.
  • Proceder a la restauración: Una vez localizado el problema y el parque de dispositivos comprometidos, toca establecer una estrategia de limpieza. A veces hay parches para ello, otras no nos quedará otra opción que volver a cargar una copia de seguridad anterior al ataque. En este punto, el que hayamos colaborado con el resto del ecosistema nos puede ayudar muchísimo. Es bastante habitual que una empresa tenga reticencia a la hora de alertar de un fallo de seguridad tan crítico como este (les va literalmente el negocio en ello). Pero además de estar obligadas por ley, es la vía de actuación más rápida para recibir ayuda y minimizar los daños ocasionados lo antes posible.

3. Los atacantes dicen que en los próximos días 15 y 29 de mayo, me parece, van a subir el precio del rescate. ¿Tiene esta amenaza algo de farol? ¿Pueden cumplirla cuando se trata de una empresa como Telefónica?

Es bastante probable. Es más, siempre hay que tener en cuenta que hablamos con cibercriminales, personas cuya ética deja muchísimo que desear

Ni siquiera pagando nos aseguramos que en efecto nos den la llave para descifrar los documentos. No sería, de hecho, la primera vez que ocurre.

¿Qué amenazan con aumentar el precio? ¿O con dar una fecha límite a partir de la cual ya no se va a poder recuperar los documentos? Es algo totalmente normal. A veces se cumplirá, otras no. En todo caso ya te digo que la mejor opción es apoyarte en la comunidad y encontrar una solución que no implique pasar por caja, ya que esto último no te asegura más que lo obvio (que vas a perder dinero).

4. ¿Qué moraleja deben sacar empresas españolas como Telefónica para el futuro?

Que en vez de señalarles con el dedo y bromear con el asunto, ser conscientes de que esto nos puede pasar a cualquiera. 

Telefónica es quizás una de las empresas mejor preparadas del país para enfrentarse a este tipo de amenazas, y fíjate lo que les ha pasado. Absolutamente nadie está libre de que el día de mañana sean víctimas de un ataque dirigido. El establecer una buena política de formación de los trabajadores, y compaginarla con un ecosistema tecnológico a la altura solo minimiza el riesgo, pero jamás lo va a eliminar por completo.


Buscar culpables tampoco creo que sea lo más critico en estos momentos. Una campaña de phishing lo suficientemente elaborada haría picar incluso al mayor experto en estos temas. Afortunadamente los recursos necesarios para llevarla a cabo están normalmente fuera de la amplia mayoría de ataques que recibe una organización o un particular. Y contra ese otro porcentaje, el ser conscientes del riesgo y tener una postura crítica ante lo que nos llegue, es la principal receta del éxito.

Ahora toca hacer piña todos y plantarle cara a esos cibercriminales ayudando a la telco en lo que se pueda. Hoy han sido ellos, mañana quizás seamos nosotros.

Por aquí la segunda parte, donde hablamos de la autoría del ataque.