Por si los hospitales españoles no tuvieran bastante con el coronavirus, un nuevo virus, ahora informático, ha irrumpido en escena. Lo detectó la Policía Nacional tratando de colarse como información adjunta en correos electrónicos de sanitarios. Disfrazado de “información sobre el COVID-19”, pretendía “romper” el sistema informático de los centros médicos en plena crisis sanitaria. Se llama Netwalker y es un ransomware [secuestrador de datos]. Los expertos recomiendan al personal médico no abrir ningún correo sospechoso.

El mecanismo de este tipo de virus “que suelen provenir en un 99 % de países del este de Europa”, según explican investigadores especializados en delitos telemáticos, consiste en “corromper” la información -“en este caso la de los hospitales en lugar de empresas o bancos”-, y solicitar un rescate para recuperarla. “Si no pagan, no la devuelven”, aseguran.

La Policía Nacional detectó el domingo un intento de bloquear los ordenadores de los hospitales españoles mediante el envío al personal sanitario de correos electrónicos con un virus “muy peligroso” con el señuelo de contener información sobre el COVID-19, según informó el lunes el director adjunto operativo del cuerpo, el comisario principal José Ángel González. Por eso instó a los trabajadores de la sanidad a no abrir los correos electrónicos sospechosos para evitar posibles daños. “La mejor protección es la prevención”, dijo.

La principal característica de Netwalker, detallan fuentes policiales, es que introduce un código malicioso en el explorador del sistema informático para que los antivirus sean incapaces de detectarlo y eliminarlo. Y “aunque en España aún no se ha producido una distribución masiva, las consecuencias de un ataque exitoso con ransomware, que inutilizara los sistemas informáticos de un centro hospitalario, tendría consecuencias devastadoras”, señalan fuentes policiales.

El nombre del documento adjunto en los correos que esconden el malware [programa maligno] es CORONAVIRUS_COVID-19.vbs. Cuando algún receptor clica en el documento se ejecuta y el malware encripta los archivos: “Hey! Tus documentos han sido encriptados por Netwalker”, se anuncia. Y prosigue con las instrucciones para realizar el pago en la dark web, o la Internet profunda y desregulada.

Además de ser tremendamente desafortunado por la situación crítica mundial, el ciberataque es inesperado. Algunas bandas criminales dedicadas al secuestro de datos anunciaron hace días que iban a dejar a los centros sanitarios fuera de sus objetivos. El grupo Netwalker no es uno de ellos. La atención a otros problemas hace que sea un buen momento para atacar para estos grupos.

El 12 de marzo hubo un ataque contra una organización sanitaria en Illinois (Estados Unidos), Champaign Urbana Public Health District, que les bloqueó la página web y debieron crear una alternativa. Este ransomware fue encontrado también en febrero en un ciberataque contra Toll Group, una empresa australiana de logística.

Los sanitarios no son las únicas víctimas de la actuación de los ciberdelincuentes que se están aprovechando de la situación creada por la pandemia del COVID-19. González también ha advertido de otros correos enviados a la población que tienen como finalidad “infectar nuestro ordenador y tener acceso a todas nuestras claves e información personal”.

Este lunes, el comisario también ha pedido a la ciudadanía que tenga cuidado con los más de 200 bulos y falsas noticias detectados con la única intención de provocar miedo y pánico. Entre ellos, ha destacado dos: un audio que alertaba de una inminente declaración del estado de sitio y aconsejaba a hacer compras masivas en supermercados, y otro de un motín en una cárcel española con un video de una prisión italiana de la semana pasada. “La gente ahora tiene mucho tiempo. Hay gente que se dedica a distraerse, pero hay mucha gente que se dedica a crear estos bulos”, ha dicho González.

Además de la Policía, la Guardia Civil también está sumando esfuerzos para garantizar la ciberseguridad durante la crisis. El director adjunto operativo del cuerpo, Laurentino Ceña, ha recordado en la misma rueda de prensa que el instituto armado hace seguimiento de las redes sociales para velar por su “seguridad” y ha destacado que es “muy importante” que cualquier institución que crea estar sufriendo un ataque informático lo comunique “lo antes posible” para tomar medidas.