Hernández: "La clave no es si te van a atacar o no, sino cuándo vas a ser atacado"

La infección provocada por el virus Wannacry ha sido una de las más mediáticas de los últimos años, también porque se inició en España y afectó a una gran multinacional como es Telefónica. En el trabajo de detección y resolución de los problemas estuvo presente desde el primer momento el Incibe.

– El virus que afectó a Telefónica ha ayudado a que se vea el peligro que hay ante un ataque global.
– Uno de los mensajes que ha podido llegar es que esto le puede pasar a cualquiera persona. La clave no es si te van a atacar o no, sino cuándo vas a ser atacado. Todos los que utilizamos tecnología pueden sufrir algún tipo de infección, por lo tanto es muy importante estar protegido, y además tener los mecanismos para recuperarnos en caso de que pase algo. En esta crisis ha sido muy importante la respuesta que ha tenido la propia Telefónica y el resto de empresas afectadas, que desde el primer momento que detectaron lo que pasaba proporcionaron toda la información sobre lo que pasaba y se compartió a nivel mundial. Fuimos el primer país que fue atacado, pero todos los que vinieron después ya tenían información de lo que se había generado en España. Hemos sufrido un incidente de cierta importancia, sobre todo desde el punto de vista mediático, y los mecanismos de respuesta han funcionado.

Wannacry fue virulento por la capacidad de propagación automática al aprovechar una vulnerabilidad del sistema de Microsoft – ¿Cómo trabajó el Incibe para detectarlo y solventar sus consecuencias?
–A media mañana contacta la propia empresa Telefónica con Incibe. Es otro aspecto a resaltar muy importante: esa confianza que tenemos entre las empresas que pueden ser atacadas y los organismos que trabajamos en esto. Desde Incibe activamos el dispositivo de respuesta y nos ponemos a trabajar desde muchos ámbitos: desde el análisis técnico para tratar de aportar más datos sobre lo que está pasando, con avisos a la ciudadanía, a las empresas, a los operadores estratégicos diciéndoles qué es lo que pasa, cómo se pueden proteger. Había que trasladar dos mensajes: el primero de tranquilidad, porque realmente desde el primer momento que se producían los ciberataques las empresas afectadas estaban trabajando en ello. Y segundo, hacer llegar las recomendaciones para poder prevenir la infección.

– ¿Cuáles son esas recomendaciones si uno es víctima de cualquier virus?
– Hay tres parámetros. El primero es cuando se produce la infección, no está confirmado, pero se barajó que fuera mediante correos electrónicos con algún fichero adjunto que te infectara. El segundo parámetro que hizo particularmente virulento este ‘ransomware’ fue la capacidad de propagación automática que tenía aprovechando una vulnerabilidad de Microsoft. De ahí sacamos una recomendación que teníamos que hacer: lo primero desconfiar de los correos de remitentes que desconocemos y tener los sistemas actualizados. El parámetro más importante es que unía las dos cosas, te infectabas y se propagaba muy rápido. También hay que decir que el impacto en España no fue grande, todos los días estamos identificando más de 100.000 redes infectadas por diferentes tipos de ‘malwares’ y ciberataques. Los datos que manejamos es que hablamos en torno a mil equipos infectados, es un dato pequeño. También es recomendable no tener productos obsoletos, las actualizaciones sirven para sistemas que Microsoft mantiene. Por eso se recomienda que migres a un sistema más nuevo si no se mantiene. Microsoft desarrolló actualizaciones de forma ágil, también una señal de que en esta crisis prácticamente todo el mundo se puso a trabajar desde el minuto uno.

– ¿Y cómo hay que actuar si no eres afectado?
– Si la infección fuera por correo electrónico, que era la hipótesis que se barajaba en un principio, una medida es cortar el correo y la conexión a internet como primera medida de respuesta. Muchas empresas lo que hicieron durante el fin de semana fue comprobar que estaban actualizados los sistemas y, si no lo estaban, actualizarlos. También ocurrió en otras organizaciones que sus sistemas no funcionaban a pleno rendimiento porque estaban en un proceso de actualización. Esto no es un tema tan sencillo, cuando estamos en organizaciones complejas con numerosas aplicaciones funcionando, cada vez que instalamos una actualización tenemos que comprobar que las aplicaciones funcionan. Es por eso que estaban ocurriendo las dos cosas: por un tema preventivo se cortaba la conexión a internet y se estaban actualizando sistemas, que estaban ralentizados.