.
No ha sido un fallo de Notin ni una pesadilla que sólo haya afectado a sus usuarios sino que muchos otros -ajenos al ámbito notarial- se han visto igualmente perjudicados (más aquí).
.
El thriller que ahora pasamos a detallar bien podría tomarse como ejercicio preventivo de futuros -y peores- ataques informáticos. También en este ámbito convendrá acostumbrarse a los simulacros, a la prevención extrema. Ya lo advertíamos hace poco con la experiencia vivida en un reciente secuestro informático: cryptowall. El mundo tecnológico, un mundo en el que todos aparecemos interconectados, lo quieras o no, tiene estos otros riesgos: no queda sino afrontarlos.
Te entra debilidad en las piernas. No entiendes nada. Te preguntas: ¿Qué habré hecho?, ¿Qué no habré hecho?, ¿Qué se me pudo pasar?, no estas nervioso; piensas, interrogas a todo el que está a tu alrededor, escuchas, tu mente se abre y empiezas a analizar posibilidades. Te vuelves práctico, vas al grano, nada de rodeos, no hay tiempo, habrá que contestar muy pronto a los clientes y no puedes decirle que no tienes ni idea de lo que está pasando. Hay que analizar:
.
- ¿se trata del troyano que nos anunció una notaría de Valencia a las 10 a.m.?
- ¿han abierto el correo los usuarios?, ¿si dicen que lo tienen pero no lo han abierto, lo hacen por miedo a represalias?
- ¿los despachos que no han recibido el correo, como narices se han podido contagiar?
- ¿qué tienen en común los equipos que han sido afectados?
- ¿hay afectados equipos fuera de los despachos Notariales?
- ¿por qué no coge el teléfono nuestro proveedor de Antivirus?
- ¿hay algo en algún blog?…
CUADERNO DE BITÁCORA
Miércoles, 11-M. A las 2 P.M. de la tarde, comienza la recepción de mensajes y salta la alarma:
11/03/2015 13:53:07 – Buenos días, tengo un problema, intento abrir el correo electrónico y me dice » outlook.exe no se puede encontrar el componente. error al iniciar la aplicación no se encontró outllib.dll, la reinstalación de la aplicación puede solucionar el problema. me podéis ayudar, gracias
11/03/2015 14:10:30 (A partir de ahí, mensajes indicando que el Outlook -único programa que no continúa abierto en toda la sesión- dejaba de funcionar) – Me ha desaparecido el correo de la notaria me dice que outlook no es una aplicación validada
11/03/2015 14:16:50 (Los siguientes ya no hablaban de un equipo, sino de varios) – Urgente, tenemos dos equipos en el que nos ha desaparecido notin y windows no funciona bien. nos urge reparar esto
11/03/2015 14:30
Ante el aluvión de mensajes, cientos, intentamos hablar con nuestros proveedores de Antivirus. Necesitamos información de un virus que se propaga con tanta rapidez. No podemos comunicar con ellos, no cogen teléfonos, nos imaginamos que algo gordo tiene que estar pasando. Esa mañana ya se nos había avisado de un troyano que estaba enviando la gestoría de un banco nacional que trabaja con despachos notariales. Pero no nos parece suficiente volumen como para bloquear el servicio de una empresa de antivirus.
Nuestros técnicos para Registros de la Propiedad nos confirman que también han encontrado el virus, descartamos entonces que todo proceda de servicios comunes del Notariado y nos convencemos de que es un problema global, pero seguimos sin encontrar un camino que seguir.
11/03/2015 14:38:58 (se incrementan cada vez más el número de equipos infectados por despacho) – Están todos los ordenadores de la notaría rotos, solo queda vivo el mío y no se por cuanto tiempo, están cayendo uno a uno, llamen a la notaría
11/03/2015 15:00
Los síntomas son de un virus altamente contagioso, decidimos aconsejar a los clientes apagar los equipos con virus para no dañar al resto del sistema.
11/03/2015 17:07:42 (los servidores que tenían instalados el Antivirus también dejaban de funcionar y con ellos el resto del despacho) – Buenas tardes, en el ordenador del servidor no deja abrir notin porque dice que se ha removido el acceso directo…
11/03/2015 17:45:23 (comienzan los nervios de los clientes, y los nuestros) – Hola soy Javier desde el pc de mi compañera….llevo 45 minutos esperando a que me miren el pc…y lo necesito ya….me dice el notario que me lo miren de una vez .
11/03/2015 18:10
Por fin conseguimos contactar con nuestros proveedores de Antivirus y reconocen que la última actualización automática del fichero de firmas contenía un bug que consideraba como un posible virus a cualquier fichero ejecutable (Word, Access, Excel, Outlook, ..). Que NO APAGUEMOS ningún equipo, que en pocos minutos dispondríamos de un antídoto que solucionaría el problema en aquellos equipos que no se hubieran apagado y más adelante dispondrían de otro que restauraría el sistema.
11/03/2015 18:15
Enviamos un mensaje interno a nuestros 3.000 usuarios advirtiéndoles que no apaguen sus equipos sin realizar la actualización indicada o sin contactar con nosotros, pero es miércoles y las Notarías no suelen estar abiertas por las tardes. La mayoría de los usuarios habría apagado sus equipos entre las dos y las tres de la tarde. Los equipos que se habían apagado con el nuevo fichero de firmas ya NO ARRANCARÍAN CORRECTAMENTE. La cuarta parte de ellos arrancarían con la pantalla en negro, la mitad con una pantalla de usuario completamente vacía, un 10% se debía de arrancar en modo “prueba de fallos” con la ayuda de los usuarios y el 5% no arrancarían nunca más. Nos prometen un antídoto en horas para poder restablecer el sistema.
11/03/2015 20:21:33 (llega la noche, los clientes que han sido conscientes del problema nos dejan sus encargos para poder trabajar al día siguiente) – He esperado hasta las 20.15 vuestras noticias y me tengo que marchar , llevo en la notaria desde las 8 de la mañana y estoy cansado. Espero que podáis solucionar los problemas esta noche, os resumo:
– Tenemos mi ordenador antonio sin funcionar notin (y sin antivirus para limpiarlo),
– El de Teresa se enciende pero no pasa de ahí, al igual que el del sr. Notario. el de Dioni, que es el que estoy utilizando (windows 8), parece que se mantiene y lo vamos a dejar encendido toda la noche por si acaso, al igual que el de Juan (winxp) que «parece» que puede seguir funcionando.
11/03/2015 22:00
Fin del día, 500 incidencias resueltas. El triple que cualquier día normal. Nos preparamos para otro día duro, anuladas vacaciones, preparada administración como primera fuerza de choque, reciclados departamentos comercial, programación y taller como departamento técnico improvisado. Sesenta efectivos disponibles, suficientemente concienciados y altamente motivados. Ampliado el horario y anuladas todas las salidas a clientes que no sean exclusivamente para poner en funcionamiento Notarías paralizadas.
.
11/03/2015 11:30
Noche larga, muy larga. La promesa de antídoto contra el virus se hace esperar hasta la madrugada. Ya lo tenemos. Pero para aplicarlo, antes hay que conseguir arrancar el equipo y trabajar a nivel de sistema operativo. Necesitamos la colaboración de cada usuario para que sus manos sean las nuestras. Preparamos sencillos manuales para enviarlos a los equipos de los compañeros o vía whatsapp.
.
Jueves 11-M
Comienzan a llegar incidencias a primera hora:
12/03/2015 8:11:52 – Buenos días! esta mañana al llegar no hemos podido iniciar el servidor, con lo que no nos deja que tengamos ningún ordenador en funcionamiento. creemos que puede ser por un virus del que nos informasteis ayer. rogamos se pongan en contacto a la mayor brevedad porque nos urge. Gracias
12/03/2015 8:42:34 – Buenos días, estamos en el servidor y no podemos encender los equipos, ¿qué podemos hacer?
12/03/2015 8:48:34 – Buenos días soy Inma de la notaría de Cxxx, los ordenadores no podemos encenderlos …….no podemos seguir las instrucciones que nos han enviado, el mío por ejemplo se queda en la pantalla azul de inicio de Windows pero no salen los iconos ni nada… necesitamos que se pongan en contacto con nosotros a mayor brevedad posible. tenemos hoy muchas firmas ……Gracias.
12/03/2015 9:00 Reunión de seguimiento para evaluación de daños:
25 Notarías completamente inutilizadas, 20 Notarías con solo un equipo o dos, cientos de puestos inutilizables. Nos centramos inicialmente en las Notarías sin posibilidades alguna de funcionamiento, y recuperando dos o tres equipos únicamente porque la recuperación de todos los equipos implicaría la anulación de un efectivo para toda la mañana. Seguiremos con las Notarías diezmadas en más de un 70% según tamaño y continuaremos con el resto.
.
12/03/2015 9:10
Damos directivas a técnicos de evaluar las incidencias y si no son prioritarias las cerramos contestando con un mensaje estándar:
“El problema ha sido producido por una actualización de del antivirus distribuida inadecuadamente en la que interpreta que todos los ficheros son susceptibles de tener virus y procede a bloquearlos. Ha afectado seriamente a 500 usuarios (cerca del 20% de nuestros usuarios actuales).
Nos encontramos completamente desbordados, prestando atención a las Notarías que están completamente paralizadas. Los casos particulares de puestos concretos que no funcionen o que funcionen parcialmente se irán atendiendo según disponibilidad. Envíenos su nombre, móvil y crearemos un parte para realizar su servicio.
Esperamos que entienda que hacemos todo lo que podemos y que hemos puesto todos nuestros medios a su disposición.
El equipo NOTIN”
12/03/2015 12:41:28 (los usuarios más valientes en lo que a informática se refiere de cada Notaría buscan un PEN y siguen nuestras instrucciones) – Se ha descargado el recovery a través de pen-drive de alta velocidad. hemos arrancado en equipos que no funcionaban a través del pen-drive pero…. no puede llegar a entrar porque faltan librerias dll. En el equipo del notario con W-8 le permite recuperar al sistema «limpio» sin nada .de hp remitiendo la información de enero 2014 ?????
12/03/2015 12:46:39 – Buenos días: para recuperar el ordenador infectado hemos descargado en un pen drive vacío notin.es/Window portable.rar en un ordenador que funciona, lo he puesto en el que está infectado pero no se arranca ni pulsando f8, f1 o escape
Y los que consiguen llegar a eliminar el virus, no siempre funcionan al 100%:
“Buenos días, no puedo convertir en pdf ni hacer copias telemáticas, me dice que no hay impresora”
“Buenos días. sigo sin poder usar notin, he probado todas las configuraciones posibles pero sigue sin verse la pantalla completamente. Gracias”
“Buenas tardes: Y por adelantado, perdonad las molestias. Tras seguir vuestras indicaciones, hemos conseguido que vuelva nemo, funcione notin, funcione FT, pero no conseguimos nada con el WORD. Nos da error al actualizar plantillas. Y no se abre para poder trabajar. Sé que estaréis agobiados, pero necesitamos poder utilizar el ordenador. Rogamos nos ayudéis.”
“Buenas he actualizado notaria y referencias y sigue dando problemas.”
“Buenos día, el ordenador de la compañera Olga no va bien, después de la reparación de ayer, cuando escribes las letras van con un retardo de 30 segundos más o menos, no tiene acceso a internet, y su nemo no tiene opción de comunicarse con vosotros. podéis decirme un id y nos conectamos desde su ordenador. Gracias”
«Buenas tardes. acabamos de hablar por teléfono con ustedes. nos han dicho que mandemos un nemo porque hay 5 equipos que no funcionan, y que nos darían instrucciones para repararlos. Gracias.»
12/03/2015 21:30
Fin del día. Reunión de seguimiento. Acabamos el día 2 con un nuevo récord, 786 incidencias atendidas. Un récord que no nos gustaría volver a superar jamás. No obstante, contentos. En principio, todos nuestros despachos se encuentran funcionando con un porcentaje alto de puestos. Hemos contabilizado 25 equipos irrecuperables que procederemos a reparar o sustituir con desplazamiento presencial de técnicos. Calculamos que pueden quedar todavía otros 50 puestos inutilizables total o parcialmente. Se preparan los desplazamientos técnicos inaplazables para el viernes y se comunican.
Viernes 13-M: Tenía que ser viernes 13, claro.
13/03/2015 8:01:24 (lo común es que los equipos no queden bien con la primera desinfección; en algunos se realiza hasta tres veces) – Buenos días seguimos sin contestación alguna por vuestra parte el ordenador de Manoli sigue sin funcionar y el del notario no le funciona la mitad de las cosas…Desde antes de ayer que dejamos el aviso, aun no tenemos ninguna noticia vuestra, os podéis conectar? Gracias.
13/03/2015 8:06:57 – Buenos días. ayer me arreglaron el ordenador después del problema del antivirus. pero tengo dos problemas. 1.- al encender el ordenador me aparece el siguiente mensaje: «error al iniciar la aplicación porque no se encontró pfjssorghook.dll. 2.- al entrar en word aparece el siguiente mensaje: «se ha producido el error ’91’ en tiempo de ejecución». he intentado actualizar con ft.exe, pero no me deja actualizar plantillas ni referencias. únicamente me deja actualizar notaría. les dejo mi móvil por si no estoy delante de mi ordenador cuando se conecten: 555-123456. ¿pueden ayudarme? llevo dos días sin poder trabajar. Muchas gracias.
13/03/2015 8:30 Esto es realmente INTERMINABLE, el antídoto permite que funcione los programas principales, pero ha dejado algún programa que no se pudo desinfectar y no se sabrá nunca por qué. Somos conscientes de que NOS QUEDAN MESES DE TRABAJO para reestablecer todos y cada uno de los programas en los equipos de nuestros clientes. Cuando el cliente necesite un programa de poco uso, fallará y habrá que conectar para su reinstalación. Materialmente imposible comprobar el funcionamiento de todos y cada uno de los programas en los equipos de los clientes. Debido a la rapidez con la prestamos el servicio, lo consideramos un mal menor.
13/03/2015 9:00 Mas sustos y seguidos: Google Chrome se actualiza automáticamente y a partir de la versión 41 no es compatible con SIGNO. Los certificados SSL firmados con SHA-1 son considerados como inseguros (Gradually sunsetting SHA-1), por lo que no es posible acceder a Signo desde el navegador de Google. Se debe de volver a la versión 40 o anteriores si desea usarse con la plataforma SIGNO. Pero con los mensajitos que da el sistema y lo que llevamos encima nuestro corazón da otro vuelco mientras lo averiguamos:
13/03/2015 9:23:00 – Buenos días, el ordenador no me deja entrar ni a Signo ni al Sic, pero Notin sí que me funciona, podríais ayudarme??. Llamé a Ancert y me dijeron que es porque se me ha colado una página pirata llamada Bing, , necesito que me lo solucionen. Gracias.
13/03/2015 9:26:23 – Buenos días, al intentar acceder a SIGNO, me aparece el siguiente mensaje en el navegador: La conexión no es privada. Es posible que los piratas informáticos estén intentando robar tu información de signo31547.platon.notariado.org (por ejemplo, contraseñas, mensajes o tarjetas de crédito).
13/03/2015 12:13:56 (a media mañana, parece que el servicio empieza a estabilizarse) – Buenos días, ya sin prisa y cuando podáis solamente falta un equipo, los otros dos ya están solucionados.En el de Charo no deja arrancarlo, aparece el siguiente mensaje: falta el siguiente archivo o está dañado ‘windows/system32/config/system’
13/03/2015 17:37:18 (y por fin, la última incidencia de la semana fatídica) – Buenas tardes, estaba hablando con atención… y me ha dicho que descargue pasarelanotin que me ha puesto en la f pero me da error de DNS al ejecutar
Somos conscientes que pasará mucho tiempo hasta que los efectos del huracán hayan desaparecido, pero lo conseguiremos y hemos sacado de positivo ver:
- La respuesta al unísono de todo el equipo de NOTIN, sin reparos, para realizar cualquier tarea que le fuera encomendada por muy extraña que le pareciera.
- El ánimo y cariño de aquellos clientes que no se han visto afectados pero han permitido para que su incidencia se aplazara para otro día.
- El comportamiento ejemplar de los clientes afectados manteniendo la calma en todo momento.
Sentimos las molestias ocasionadas, hemos hecho todo lo que estaba en nuestra mano, agradecemos de todo corazón la paciencia y colaboración de nuestros clientes.
La redacción de Notin – 16/3/2015
.
