«Tenemos un virus igual que wannacry pero peor. El procedimiento de propagación es el mismo. Si entra en la organización se expande por toda la red, un virus con capacidades de gusano; el método de infección es diferente, por correo electrónico». Así lo explicaba ayer José Rosell, de la empresa valenciana de ciberseguridad S2 Grupo en un primer balance sobre la crisis.

El sistema de ataque es el phising, es decir, una suplantación de identidad que entra en los sistemas a través de un correo electrónico con la referencia «New Mail» en el asunto. Los piratas estarían reclamando, como en el wannacry, 300 euros en bitcoin para liberar los ordenadores secuestrados.

Pese a que la información era muy confusa ayer en las primeras horas de la crisis, los expertos de S2 Grupo señalan que el virus utiliza de nuevo vulnerabilidades de windows, como ocurrió en mayo con wannacry. En este caso, se trata de dos nuevas deficiencias publicadas y corregidas por Microsoft el pasado 13 de junio y señaladas como críticas, en previsión de ataques masivos o dirigidos en corto espacio de tiempo.

Así ha sido. Dos semanas después de que Microsoft liberara esos parches (actualizaciones del sistema para proteger vulnerabilidades) ha llegado el nuevo cibertaque. «La suerte que tenemos es que después de wannacry la gente está más atenta a las actualizaciones. Lo malo es que el parcheo no se hace en diez días en grandes redes de ordenadores», añade Rosell.

¿Y qué recomienda a las empresas? La compañía valenciana sugiere la aplicación del máximo nivel de parcheado en entornos windows; deshabilitar las macros en documentos de Microsoft Office; realizar un copia de seguridad extraordinaria de la información relevante y mantenerla aislada; apagar los equipos de usuario si no van a ser utilizado; desplegar reglas extraordinarias de detección y bloqueo en los sistemas de seguridad, y, por supuesto, no pagar ningún rescate en caso de cibersecuestro.