Un nuevo ransomware llamado “Petya” atacó a varios sitios web de grandes compañías. En los meses anteriores, el ataque de WannaCry causó caos en más de 300,000 computadoras a través del mundo; Petya se cree que está conectado al mismo tipo de herramientas de hacking que WannaCry y comparte vectores de propagación similares.
Petya ya tomó miles de computadoras como rehenes, impactando a compañías y a sus infraestructuras que abarcan desde Ucrania hasta Estados Unidos e India. Esto afectó al aeropuerto internacional ucraniano, al envío multinacional, a firmas legales y de publicidad, y llevó al cese de los sistemas de monitoreo de radiación en las instalaciones nucleares de Chernóbil, evidenciando el gran impacto global de este ransomware sobre infraestructuras críticas y servicios esenciales.
Alcance e impacto global de Petya
Numerosas compañías en todo el mundo se han visto afectadas por este ataque de ransomware que impacta a equipos con sistemas Windows y que, habitualmente, requiere un rescate en bitcoins para intentar recuperar el acceso. Los países más afectados incluyeron Ucrania, Rusia, Reino Unido e India, aunque también se registraron incidentes en España y diversas regiones de América del Norte, América del Sur y Asia.
Expertos en seguridad identificaron variantes relacionadas con Petya (también referidas como Petrwrap), mientras que compañías como Kaspersky y otros proveedores identificaron una variante llamada NotPetya, considerada por muchos especialistas como un pseudo-ransomware cuyo objetivo principal es causar daño y no necesariamente recaudar fondos.
En el ámbito corporativo, Petya afectó a grandes grupos de publicidad, empresas de infraestructura, energía, farmacéuticas, así como oficinas de gobierno y administraciones públicas. El verdadero coste no se limita al rescate: incluye pérdida o robo de información, interrupción prolongada de operaciones, daño reputacional y costes técnicos y legales. En numerosos incidentes, el sistema de pago de rescates quedó inutilizado o no se proporcionó ninguna clave de descifrado, lo que refuerza la hipótesis de que en muchos casos el propósito era destruir datos y generar inestabilidad.
Respuesta de organismos internacionales y fuerzas de ley
Europol no pudo proveer datos operacionales relacionados al ataque en sus primeras fases; su portavoz Tine Hollevoet indicó que trataban de “tener una imagen completa del ataque” trabajando con la industria y sus socios en las fuerzas de seguridad. Petya “es una demostración de cómo los crímenes cibernéticos pueden evolucionar y crecer, y una vez más, es un recordatorio del negocio y de la importancia que es la seguridad cibernética,” afirmó el director ejecutivo de la Europol, Rob Wainwright.
Además de Europol, equipos de Respuesta a Incidentes de múltiples proveedores (como Check Point, Cisco y otros) detectaron variantes de Petya que se expandían lateralmente dentro de redes corporativas. Muchos informes coinciden en que el ataque comenzó con especial fuerza en Ucrania, ocasionando interrupciones masivas en infraestructuras críticas antes de extenderse al resto de Europa y otros continentes.
Cómo funciona Petya y por qué es tan destructivo
Petya es especialmente dañino porque, a diferencia de ransomware que cifra archivos uno a uno, puede bloquear la unidad de disco completa. Muchas variantes cifran el Master Boot Record (MBR) y sectores críticos del disco, y muestran un mensaje que simula una “reparación del sistema de archivos” mientras en realidad están cifrando el equipo.
A diferencia de WannaCry, el ataque de Petya no incluye un “kill switch”, según Europol y análisis de la industria, lo que dificulta su desactivación una vez que se ha propagado. En algunos casos el malware espera alrededor de una hora tras la infección antes de reiniciar el sistema y mostrar el aviso de cifrado, tiempo durante el cual puede seguir extendiéndose por la red.
El Equipo de Respuesta a Emergencias Informáticas de Estados Unidos (US-CERT) y otros centros de respuesta comenzaron a recibir numerosos reportes de infecciones y observaron que esta variante cifra los registros de Windows y explota vulnerabilidades en el servicio de mensajes SMB. Estos fallos permiten que sistemas sin parches actualizados resulten comprometidos incluso si disponen de protecciones básicas.
El fichero identificado como RAMSON_PETYA.SMA incluye diferentes variantes y vectores de infección, algunos de los cuales también se usaron en el ataque de WannaCry. Las técnicas de propagación combinan el exploit SMBv1 “EternalBlue”, herramientas de administración remota como PsExec para movimiento lateral, y campañas de phishing con adjuntos o enlaces maliciosos.
Estrategias de prevención: qué hacer antes, durante y después de un ataque
La mejor protección frente a Petya es una estrategia preventiva integral. Los especialistas recomiendan medidas en tres fases: antes del ataque, durante la infección y tras el incidente, combinando controles técnicos con gestión del factor humano.
Antes del ataque: mantener copias de seguridad periódicas y verificadas mediante simulacros de restauración; aplicar parches y actualizaciones de sistemas operativos y aplicaciones; deshabilitar protocolos inseguros como SMBv1 cuando sea posible; desplegar soluciones de prevención de amenazas y realizar formación en ciberseguridad para usuarios.
Durante el ataque: desconectar los equipos afectados de la red para contener la propagación, notificar a las autoridades y a los equipos de respuesta, dimensionar el alcance mediante inteligencia de amenazas y coordinar la respuesta con apoyo legal y técnico especializado.
Tras la contención: realizar una evaluación de seguridad profunda, limpiar puertas traseras y artefactos persistentes, realizar un análisis forense de la cadena de eventos, y reforzar la conciencia de los usuarios. Implementar arquitecturas de seguridad que prioricen la prevención y segmentación de redes puede reducir significativamente el impacto de futuros incidentes.
El caso de Petya y sus variantes demuestra que el ransomware ha pasado de ser un problema marginal a una amenaza estratégica para empresas, gobiernos y ciudadanos. Aprender de estos ataques y aplicar medidas proactivas es la única forma de mitigar el alcance de futuros brotes.