Tres personas con un nivel de usuario medio se hicieron con el control de 13 millones de ordenadores. Y todo, gracias a un bot. Un bot es un programa que permite controlar un ordenador desde otro; es decir, lo convierte en un zombi que recibe instrucciones sin el conocimiento ni consentimiento del usuario. ¿Cómo consiguieron descubrirlos? Eso es lo que vamos a desvelar en este reportaje.
Mayo de 2009. La empresa canadiense de seguridad informática Defense Intelligence (DI) recibió la llamada de un cliente cuyo sistema había sido infectado con un bot. DI investigó la infección y no solo descubrió que era un bot desconocido (bautizado como Mariposa), sino que era una red conectada a servidores en Estados Unidos y en España. DI llamó a Panda Security para solicitar su ayuda, con el propósito de rastrear el origen de la infección. “Aquí es cuando comienza la investigación”, cuenta Luis Corrons, director técnico de Panda Labs, una división de Panda Security. “En ese momento no teníamos ni idea de cuántos ordenadores estaban infectados. Además, los responsables del bot se conectaban a través de redes anónimas.” Cuando navegamos por internet, se nos otorga una dirección IP, una suerte de matrícula; la página web localiza esa IP y sabe quién eres, a qué página te has conectado y dónde te encuentras. Porque sí, gracias a esta dirección también se rastrea nuestra localización: comparando nuestro IP con el de servidores localizados que están cerca de nuestra zona. Estos servicios falsifican esa matrícula. DI y Panda Labs comenzaron una labor digna de Ariadna, solo que con una madeja en tres dimensiones. “Cuando un ordenador es infectado por un bot, cada equis tiempo llama a un servidor para preguntarle qué tiene que hacer. Al localizar los servidores, decidimos quitarles el control de la red a los responsables del bot. Esto sucedió aproximadamente en octubre.”
Octubre de 2009. Todas las pruebas fueron puestas a disposición del FBI en Estados Unidos y del Grupo de Delitos Telemáticos de la Guardia Civil en España. El capitán César Lorenzana, que pertenece a este grupo, es quien me aclara que: “Para crear una red de este tipo se utilizan servidores comprometidos de universidades, de grandes empresas y de organismos oficiales. Todos ellos con un gran ancho de banda.”El estudio de este “bicho” comenzó cuando las compañías de seguridad admitieron el virus en su sistema. Así descubrieron a qué servidores se conectaba y qué tipo de órdenes recibía. Entonces, solo faltaba anularlo.
El plan era muy sencillo. A las empresas que albergaban los servidores de los delincuentes se les pidió que cuando cualquier ordenador se conectara a ellos (con el propósito de solicitar órdenes), lo remitieran a un servidor alternativo gobernado por Panda Security o por DI. De este modo, le quitarían el control a los responsables de Mariposa.
La trampa se preparó para las cinco de la tarde del 23 de diciembre de 2009: a esa hora era de día tanto en Estados Unidos como en España. Sólo faltaba que llegara la mariposa. Y vaya si llegó.
Diciembre de 2009. Desde las cinco en punto de la tarde del 23 de diciembre y desde 190 países (la ONU tiene 192 miembros) comenzaron a llegar a los servidores de Panda y de DI solicitudes de órdenes. Y no pararon hasta llegar a casi 13 millones.La cifra es un récord: jamás se había echado abajo una red tan grande en ningún lugar. “Comenzamos a investigar los ordenadores que se habían conectado a nuestro servidor”, comenta Corrons, “y vimos que uno de los responsables había olvidado conectarse con su matrícula falsa. Así ubicamos al primero de ellos, aquí, en Vizcaya”. Y fueron a por él.
Febrero de 2010. El día 3, la Guardia Civil atrapó a un joven de 31 años: Nektairo (nick del acusado). Y estudiaron su ordenador.Su análisis desveló que en él había información de 800.000 personas: incluidos datos bancarios. Pero también que no trabajaba solo. Por lo menos había dos personas más, que fueron detenidas el 24 de febrero, una en Murcia y otra en A Coruña.
“La investigación sigue abierta”, continúa Lorenzana, “y podría haber otro implicado, quizá fuera de España. No podemos decir cuántos hay ni dónde podrían estar”.
Marzo de 2010. Pero sí sabemos para qué utilizaban su red. Según Corrons: “Hace dos o tres años investigué un caso de una red de bots en Rusia. Lo que hacían era básicamente un ataque. Si una empresa tenía un problema con la competencia, ellos alquilaban ordenadores para echar abajo su web. El precio se cotizaba por hora o día de ataque, y hasta tenían un servicio de prueba gratis.” También afecta al precio final la ubicación de los ordenadores: no es lo mismo solo España que toda Europa o Estados Unidos.
Otra forma de enriquecerse con este tipo de maniobra es alquilar la red para publicidad. Por un lado, es muy útil para enviar spam, y por otro: “También atacaban a Google Adsense. Si les digo a 13 millones de ordenadores que visiten mi página, gano dinero. Calculamos que los responsables que hemos cogido ganaban entre 2.500 y 3.000 € al mes”, explica el capitán Lorenzana.
Vale, pero esto no es algo que se pueda publicar en un periódico, en la sección de Ofertas de Trabajo… ¿O sí? Generalmente, estos servicios se “publicitan” en foros cerrados, a los que sólo se accede con invitación. Pero la Guardia Civil sabe cómo hallarlos: “Disponemos de información en los foros para saber quién propone qué servicio, al igual qué en el mundo real”.
El futuro
¿Qué sucederá ahora con los tres (o más) responsables de la Operación Mariposa? Es difícil de responder. Para Corrons: “En España queda mucho por hacer en cuanto a legislación. Puedes tener una red como esta, con más de 13 millones, y eso no es delito”. Lorenzana agrega que: “En ningún sitio del Código Penal español se recoge la palabra ciberdelito. El ataque a una red no es un delito en sí; tampoco lo es tener una red que distribuye bots. Son los daños causados por el ataque los que sí son considerados como tal”.
¿Cómo puedes evitar ser un zombi?
- Archivos de fuentes desconocidas. No los abras. Es el canal más habitual para infectar un ordenador.
- De conocidos. El primer paso es asegurarte de que ese contacto te ha enviado un archivo. Si no, bórralo.
- Publicidad. Este es otro medio muy utilizado para la distribución de bots. Las noticias, cuando no son de una página conocida, también pueden esconder detrás la propagación de un virus.
- ¿Cómo saber si lo tienes? Suponiendo que no dispongas de antivirus, o no esté actualizado, puedes recurrir al ActiveScan 2.0, un escáner de virus online gratuito que detecta el virus y lo elimina.
Así nos pillan los malos en la red
[image id=»17125″ data-caption=»» share=»true» expand=»true» size=»S»]1. El origen. Un ordenador se conecta a otro gracias a un bot y obtiene los datos personales de su propietario.
2. Quien distribuye el ‘bot’ se vuelve a conectar al ordenador zombi y comienza a darle órdenes.
3. El zombi recibe la orden de visitar páginas de internet para obtener beneficios a través de Google Adsense.
4. Los datos personales incluyen contactos y números de tarjetas de crédito. Con estos, realiza compras en páginas que pertenecen al distribuidor del bot. Unos “muleros” se encargan de blanquear este dinero.
5. A través de redes sociales, el bot se expande por la red. Los mensajes personales, los comentarios a amigos y los archivos enviados contienen copias del bot.
6. Los ‘muleros’ se consiguen enviando a los contactos personales ofertas de trabajo únicas. Estos no siempre saben que su tarea es blanquear los beneficios procedentes de una red.
Juan Scaliter