El organismo apunta que en los dos últimos años se han registrado cerca de 4.000 incidentes relacionados con este software malicioso
MADRID, 12 May. (EUROPA PRESS) -
El subdirector de Servicios de Ciberseguridad del Instituto Nacional de Ciberseguridad (Incibe), Marcos Gómez, ha señalado que es "factible" recuperar la información secuestrada por el 'ransomware' que ha atacado este viernes a varias compañías, entre ellas Telefónica, y ha incidido en que nunca es recomendable pagar el rescate porque no hay garantías de que se vaya a recuperar la información.
En declaraciones a Europa Press, Gómez ha explicado que, aunque nunca es fácil encontrar la clave de cifrado que establece el secuestrador, en el caso del virus que ha infectado a Telefónica, que es una versión de WannaCry, es factible recuperar los sistemas y existe un elevado ratio de éxito.
En este sentido, recuerda que el Incibe cuenta desde principios de año, a través de un servicio de descifrado de ficheros (antiransomware) gratuito, que tiene un ratio de éxito de entre un 65% y un 80%, dependiendo del tipo de 'malware'.
Ante un ataque de estas características, la víctima debe resetear el equipo e instalar las copias de seguridad y después parchear bien el sistema para que no utilicen la misma vía de entrada. El problema viene cuando no se han realizado estas copias, ya que la única manera de acceder a la información secuestrada es descifrando los ficheros.
Una vez que se obtienen las claves, se tarda entre 24 y 48 horas en recuperar el equipo si se trata de desbloquearlo, y algo menos de tiempo si se trata de recuperar la copia de seguridad, que sería como copiar información de un disco duro a otro.
ATAQUES CON RANSOMWARE
El ataque a través de 'ransomware' suele ser a través de un correo electrónico con ingeniería social en el que se hace creer, suplantando una entidad importante, que es, por ejemplo, un programa técnico o una factura, para que el receptor 'pinche' dentro de un enlace o un archivo adjunto e infectar así el ordenador.
Gómez ha remarcado que no es un ataque "inédito", sino que se ha convertido en "habitual" en los últimos dos o tres años, en los que utilizando cientos de miles de correos electrónicos ha intentado llegar a usuarios tanto particulares como de empresas y administraciones públicas.
En este sentido, Gómez, que ha recordado que el pasado año hubo varias campañas en las que suplantó la identidad de la Agencia Tributaria, Correos o grandes empresas privadas, ha señalado que en los dos últimos ha habido cerca de 4.000 incidentes de ciberseguridad relacionados con 'ransomware'.
Por otro lado, ha señalado que la misión del Incibe es dar soporte principalmente a los operadores estratégicos para apoyarlos a través del Cersi, que emite notificaciones, avisos y medidas de seguridad de forma gratuita.
Por ello, al conocer el incidente y los primeros afectados esta mañana, ha emitido una notificación a todos los operadores, estuviesen o no siendo atacados, con las formas de detectar que están siendo víctimas del ataque, cómo bloquearlo y, si no hay copias de seguridad, recomendar que se hagan de forma preventiva.
Las medidas más importantes son tener los equipos "bien protegidos y actualizados", hacer copias de seguridad, estar informados y concienciar a los usuarios, que suelen ser el "eslabón más débil". "Si el usuario está razonablemente concienciado y tiene una cultura de seguridad, es más probable que sea resistente a este tipo de amenaza e ingeniería social", ha agregado.
Respecto al impacto que puede tener un incidente de seguridad en una empresas, Gómez señala que dependerá del tamaño de la empresa y del número de equipos afectados. Por ello, cuantos más equipos comprometidos haya, el tiempo de recuperación e inactividad va a ser mayor.
Por ejemplo, apunta que un estudio realizado en Reino Unido afirma que un incidente de seguridad puede llegar a parar los servicios unas 48 o 72 horas y tener un impacto económico de entre 25.000 y 50.000 euros.
Asimismo, ha remarcado que en este caso el ataque parece que ha afectado a una red corporativa y no a una que presta servicio a una infraestructura o servicio esencial, por lo que no está afectando a otros servicios o entidades dependientes de las empresas perjudicadas.
