Unos ‘hackers’ bloquean 400.000 archivos de Ifema

Cuando, a finales del pasado enero, un empleado de la Institución Ferial de Madrid (Ifema) recibió un correo electrónico, no sabía la debacle que estaba a punto de provocar. El mensaje contenía un virus informático que bloqueó en cuestión de un minuto más de 400.000 documentos de los servidores. Los atacantes pedían un rescate para acabar con el encriptado, pero al final la solución llegó, sin realizar pago ninguno, de las propias copias de seguridad de la entidad ferial y gracias a la intervención de los especialistas del Cuerpo Nacional de Policía.

Aquellos días circulaba un falso correo que llevaba un archivo adjunto muy peligroso. Llegó a miles de usuarios bajo la apariencia que lo había enviado el organismo público Correos. “Todo tenía muy buena apariencia y tenía una verosimilitud que hizo que muchos usuarios lo abrieran”, explican fuentes del sector informático.

Algunas empresas lo detectaron y enviaron un correo de alerta a sus empleados para que no abrieran esos mensajes, por las graves consecuencias que eso traería para todo el sistema.

Un trabajador recibió

Pero se coló en Ifema. Un empleado recibió el famoso correo en el que se le informaba de que había recibido un paquete a su nombre y que para recogerlo tenía que abrir el archivo adjunto. El trabajador lo abrió pensando que se trataba de un documento PDF. Y esa fue la versión que le salió en la pantalla, pero detrás había mucho más.

Al darle a descargar el archivo, el usuario había descargado un virus llamado CryptoLocker, un troyano dirigido a los ordenadores que trabajan con el sistema operativo Windows y que se popularizó a finales de 2013. Cuando se descarga este virus, cifra ciertos tipos de archivos almacenados en discos locales y en unidades de red pública por las que se mueve el empleado. El usuario sigue viendo en todo momento ese documento. Nunca se percata de lo que hay detrás.

Lo siguiente que hizo este virus fue aún más sorprendente. Menos de un minuto fue lo que tardó, en el caso de Ifema, en encriptar todos los documentos. “Afectó a varios departamentos, como compras o gestión, pero no llegó al área de clientes, que es mucho más sensible. Estos datos estaban en otro servidor ajeno al de ese empleado”, explica la directora de Sistemas de Ifema, María Martínez.

La Policía Nacional logró el código para acabar con el ataque en solo cuatro días

La acción inmediata del CryptoLocker consiste en crear una pantalla con un mensaje muy claro. El programa instalado ofrece descifrar los archivos afectados. Eso sí, para ello es necesario realizar un pago antes de una fecha límite. A veces da un tiempo muy corto para que la persona afectada no reaccione y pague lo antes posible. En el mensaje se amenaza incluso con destruir la clave de descifrado en caso de que no se haga el pago, con el consiguiente riesgo de perder todos los documentos. “Son bandas organizadas que trabajan muchas veces desde China, Rusia o Rumanía, y que mandan indiscriminadamente este virus hasta que algunos usuarios lo ejecutan. Es muy difícil llegar hasta ellos, porque trabajan con servidores interpuestos”, relata Martínez.

El empleado de Ifema alertó de inmediato a sus superiores y al departamento de Informática. De momento decidieron no pagar. Los responsables de la institución llamaron a la Unidad de Investigación Tecnológica (UIT). Estos especialistas del Cuerpo Nacional de Policía aconsejaron que no se hiciera nada con el ordenador afectado. De hecho, se lo llevaron a sus dependencias y lo analizaron.

Ifema logró recuperar en cuestión de un día todos los archivos, ya que tenía copias de seguridad de todos los servidores. Además, eran muy recientes, por lo que no resultó afectado ningún documento importante. “Los técnicos del departamento que dirijo trabajaron a toda velocidad y restablecieron los servidores sin ningún problema. Lo hicieron, además, en un tiempo récord para la cantidad de información que resultó afectada”, señaló la directora de Sistemas de Ifema.

Los especialistas de la UIT lograron el código para acabar con el encriptado. Realmente, ya no fue necesario porque Ifema estaba trabajando sin problemas y a pleno rendimiento. “Una vez visto con lejanía, resultó toda una experiencia, porque siempre se habla del riesgo de sufrir un ciberataque y de que los hackers [piratas informáticos] están al acecho o de que hay que aumentar las medidas de seguridad, pero nunca te crees que eso le pueda pasar a uno mismo”, añade María Martínez.

La responsable de Sistemas de Ifema saca una lección de este ataque: “Hay que educar y reeducar a los usuarios de informática para que no abran cosas raras que reciban en el correo electrónico. Muchas veces basta acceder a las cuentas privadas de los empleados para que el virus se descargue y se ejecute en la red”. También apuesta por hacer copias de seguridad continuas y evitar las posibles pérdidas de información.