Jueves, 4 de Marzo de 2010

Tres amos para trece millones de ordenadores esclavos

Desarticulada una red que controlaba equipos de particulares, empresas y administraciones de 190 países

MIGUEL ÁNGEL CRIADO ·04/03/2010 - 08:00h

Expertos de Panda Labs siguieron la pista de la red junto a la Guardia Civil. - Panda Labs

Trece millones de ordenadores infectados por un virus estaban bajo el control de tres españoles. La Guardia Civil, en una operación conjunta con el FBI y empresas de seguridad informática como Panda Labs, ha desarticulado la botnet Mariposa, la más grande de las redes zombis detectadas hasta hoy, donde miles de equipos actúan como esclavos a las órdenes del que los ha infectado. Por suerte, eran unos aficionados.

Las cifras dan vértigo. Más de 13 millones de ordenadores en realidad direcciones IP, lo que significa que podrían ser muchos más de 190 países habían sido infectados por un caballo de Troya, un tipo de virus que permite controlar el equipo a distancia. Más importante que la extensión geográfica de la red es la calidad de los infectados. Además de los millones de ordenadores domésticos (unos 200.000 en España), también hay equipos de la mitad de las grandes empresas de la lista Fortune, 40 grandes bancos y administraciones públicas de decenas de países. Sólo en el disco duro del ordenador de uno de los detenidos hay información de 800.000 personas.

Los PC esclavos se conectaban de forma continua a un servidor a pedir instrucciones. Y tantos ordenadores juntos pueden dar mucho poder al que los controla. En este caso, era un joven de 31 años, vecino de Balmaseda (Vizcaya) que se hacía llamar netkairo o hamlet1917 y que fue detenido el 3 de febrero. Contaba con la ayuda de otro joven de Molina de Segura (Murcia) y un chaval de 25 años de Santiago de Compostela (A Coruña), ambos detenidos la semana pasada.

Con una botnet así, además de robar información personal datos bancarios, fiscales o de tarjetas de crédito, se puede lanzar una campaña masiva de correo basura, usando a los zombis como estafetas de correo. Peor aún, podrían haber lanzado un ataque DDoS (ataque distribuido de denegación de servicio), donde miles de ordenadores piden a la vez un servicio a un servidor hasta colapsarlo. Como dice el comandante del grupo de delitos telemáticos de la Guardia Civil y responsable de la operación, Juan Salom, "con 13 millones de ordenadores se podría hacer más daño que el que sufrieron Estonia o Georgia, los primeros casos conocidos de ciberterrorismo".

Alquiler de zombis

Por fortuna no habían ido más allá de recopilar la información personal de los infectados. "Se les ha cogido pronto, antes de que conocieran bien las posibilidades de este negocio", razona el director técnico de Panda Labs, Luis Corrons. O quizá sí las conocían: los tres detenidos vivían de lo que ganaban con los equipos esclavos.

Una fuente de ingresos era un fraude en la publicidad. Tenían páginas con anuncios y obligaban a los infectados a pinchar en ellos, obteniendo unos céntimos por cada clic. También habían alquilado Mariposa, pero aún se investiga a quién y con qué propósito. Salom detalló asimismo que los detenidos no eran los autores del software infeccioso, sólo lo habían comprado. El autor de la obra sigue ahí afuera.

Fue en mayo cuando empezó a crearse la red. El troyano se propagó por medio de programas P2P como eMule, el Messenger y, en especial, con llaves y reproductores USB.

Ese mismo mes fue detectado por la firma canadiense Defence Intelligence que, viendo conexiones con España, contactó con Panda Labs y juntas lo investigaron. En octubre, el FBI y la Guardia Civil tomaron el control. Fijaron la víspera de Nochebuena para desarticular la red.

El 23 de diciembre bloquearon los servidores a los que se conectaban los esclavos, dejando la red fuera de juego. En venganza, los detenidos contraatacaron lanzando un ataque DDoS, echando abajo servidores de universidades y empresas canadienses. Pero Mariposa estaba herida de muerte. Ese movimiento llevó a la Guardia Civil hasta netkairo. Eso sí, la red ya no existe, pero los ordenadores siguen infectados, esperando órdenes.