El Centro Criptológico Nacional (CCN), dependiente del Centro Nacional de Inteligencia (CNI), ha confirmado que esta mañana se ha producido un ciberataque a varias empresas españolas. Concretamente en la nota del CNI se señala que se trata de un virus que afecta a un "elevado número de organizaciones". La confirmación del CNI se producía horas después de que "un virus malicioso (malware) ha afectado esta mañana a los equipos del personal de Telefónica que trabaja en la sede central de la operadora en el Distrito C de Las Tablas, en Madrid". El virus provoca la detención del ordenador, cuya pantalla se vuelve azul, inutilizando el equipo.

"Se ha alertado de un ataque masivo de ransomware a varias organizaciones que afecta a sistemas Windows cifrando todos sus archivos y los de las unidades de red a las que estén conectadas, e infectando al resto de sistemas Windows que haya en esa misma red", dice el organismo. El atacante o atacantes piden un rescate en bicoints (moneda virtual) y algunas informaciones apuntan a que procede de China.

El Ministerio de Industria, del que depende el Instituto Nacional de Ciberseguridad de España (INCIBE), ha reconocido en un comunicado que "el ataque ha afectado puntualmente a equipos informáticos de trabajadores de varias compañías". Según este organismo, se trata de un "malware del tipo ramsonware", que actúa sobre la vulnerabilidad de los componentes de ofimática de los PCs, y que, tras instalarse en el equipo, bloquea el acceso a los ficheros del ordenador afectado y pide un rescate. No compromete la seguridad de los datos ni se trata de una fuga de datos.

Telefónica 

Telefónica ha reconocido que sobre las doce del mediodía de este viernes, se ha detectado "un incidente de ciberseguridad" que ha afectado los PCs de algunos empleados de la red corporativa interna.  El ciberataque no ha tenido ninguna incidencia en los sistemas que controlan los servicios de Telefónica de Internet y telefonía fija y móvil para sus más de 15 millones de clientes.

Según informa el diario El País, los creadores del ataque contra Telefónica se basaron en filtración de Wikileaks Vault 7, según fuentes de la ciberseguridad española. El portal publicó el pasado marzo documentos que mostraban las tácticas de la CIA para espiar a través de tabletas, teléfonos o televisores. Incluía datos de los denominados fallos de seguridad para realizar los ataques Día Cero (Zero Day) que exprimen errores en la programación para infiltrarse.

El responsable de Big Data e Innovación de Telefónica, Chema Alonso, ha reconocido en un tuit en su cuenta personal que se trata de un ataque de ransonware, programas informáticos que secuestran el ordenador y datos y piden un rescate para liberarlos. 

Las pantallas de los ordenadores de algunos empleados se han bloqueado con mensaje pidiendo un rescate de 300 dólares en bitcoins y dando de plazo hasta el 19 de mayo para pagarlo si no se desea que se borren los archivos. En otros equipos las pantallas se han tornado azules, con mensajes del sistema en letras blancas, haciendo inoperativos los equipos.

Otras compañías

En redes sociales han aparecido inforamciones de otras compañías que también  habrían sufrido el mismo ciberataque que telefónica, se trata de KPMG, BBVA, Santander, Iberdrola, Gas Natural o Vodafone, han informado en varias cuentas de Twitter usuarios que decían ser empleados de estas firmas. Algunos usuarios de Twitter que afirmaban ser empleados de algunas de estas compañías  han confirmado, incluso, haber recibido peticiones de rescate de sus datos en bitcoins.

Ninguna de las empresas ha reconocido esos ataques, no obstante Vodafone ha pedido a sus empleados que no utilizaran internet Iberdrola asegura que no ha sufrido ningún tipo de ataque y que han apagado los ordenadores y han enviado a casa a sus trabajadores por "medidas de precaución"

Por su parte BBVA ha desmentido "categóricamente" las informaciones,  al igual que el banco Santander y KPMG .