Un red de cibercriminales se ha infiltrado en el último año en
ordenadores de más de 100.000 personas y 2.400 empresas de 196 países -
Los delincuentes se hacen remotamente con la información que corre por
esas computadoras, espían, bombardean y envían millones de correo
basura
Febrero ha sido un mes prolífico para las botnets (robots de la
Red), las redes de ordenadores zombis. Han pasado bruscamente de 4.000 a
6.000 en todo el mundo, según la Fundación Shadowserver, siguiendo una
tendencia al alza que hace años que dura. Las redes de botnets se
emplean para rentables negocios sucios, incluido el reciente ataque y
espionaje contra empresas, descubierto la semana pasada por Net Witness,
con más de 74.000 ordenadores bajo su control, 1.400 de ellos en
España.
Una botnet se crea infectando ordenadores sin que sus
propietarios lo sepan. Cada máquina reclutada por el virus se pone en
contacto sigilosamente con el criminal a la espera de sus órdenes. Y así
es como los investigadores han descubierto una forma de espiar estas
redes: hacerse pasar por ordenadores infectados que acceden a ellas. Si
hay suerte, incluso consiguen hablar con quienes las controlan.
Así
conocimos a Moudi y Arz, dos genios del lado oscuro de la Red. Nos
citan para hablar por Messenger, pero antes debemos llamar a un número
de teléfono internacional y responder algunas preguntas que les
demostrarán nuestra identidad. Después de la llamada, más confiados,
explican que tienen 21 años y viven en Líbano. Se conocieron en un
remoto chat y un día Arz propuso a Moudi trabajar juntos.Arz y
Moudi se dedican a las botnets y al cibercrimen. Ellos lo llaman
diversión. “Tengo bajo control estable miles de ordenadores, pero la
mayoría ni los uso; los asalté para demostrar mi poder”, explica Arz,
quien a lo largo de la charla negará cobrar por ello. “La policía no
puede hacerme nada si no lo hago por dinero y, además, no tienen idea de
lo que tengo”.
Son muy pocos los operadores de botnets
encarcelados. Esconden sus localizaciones reales saltando a través de
ordenadores comprometidos, de forma que la dirección que aparece en los
registros es la de esas máquinas y no la suya. También son expertos en
ocultar, dentro de los ordenadores, los programas que les permiten
controlarlos, llamados bots.
Es un mundo cada día más
complejo, donde actúan desde grandes organizaciones mafiosas hasta
pequeños grupos de técnicos como el que forman Arz y Moudi, un amigo
rumano y “el aprendiz”. La función de estos técnicos es crear los virus e
infectar las páginas que a su vez infectarán a sus visitantes; crear
los programas para montar y gestionar las botnets, y
administrarlas.
Sueldos de 100.000 al año
Los
técnicos pueden trabajar en una organización o ir por libre. En este
caso, venden o alquilan sus botnets a empresas que desean mandar
correo basura, bombardear o espiar a otras empresas, o robar datos
bancarios. “Un botmaster que se dedique a mandar spam gana
entre 50.000 y 100.000 dólares al año”, asegura Bernardo Quintero, de
Hispasec.
También pueden vender o alquilar sus paquetes de webs
infectadas o programas para crear botnets a otros que quieran
construir la suya. El precio de un bot (programa para controlar
los ordenadores de una botnet) en el mercado negro es de unos
1.000 dólares si es indetectable para los antivirus, y más de 3.000 para
los sofisticados.
Hay best-sellers, como ZeuS, que permite
crear una botnet personalizada: “Un grupo lo desarrolló, lo
vendió y en la actualidad puede haber cientos o miles de botnets
que lo usan”, explica Quintero. ZeuS se dio a conocer en 2007 y
actualmente hay variantes de él, como el troyano Kneber, con el que se
creó la botnet de 74.000 ordenadores esclavos que identificó Net
Witness.
El problema, dice David Barroso, de S21sec, es que en
este mercado “existe confianza cero entre vendedor y comprador. Siempre
hay el miedo de que el programa tenga una puerta trasera y se aprovechen
de tu trabajo”. Por eso, las grandes organizaciones prefieren tener
técnicos propios que crean sus programas.
La originalidad en este
campo no sale de aquí, sino de los grupos pequeños como el de Arz y
Moudi, a los que Quintero califica de élite porque “desarrollan desde
cero toda la botnet, desde los binarios y protocolos hasta los
paneles de control. Son los que realmente innovan, y entre ellos los hay
muy buenos”.
El experto en virus Ero Carrera afirma: “Hay muy
buenos ingenieros en países donde no hay industria y el cibercrimen es
su forma de ganar dinero”. Arz lo corrobora: “Aquí la vida no es tan
simple, aquí Internet apesta, el Gobierno apesta, el trabajo apesta y a
nadie le importa. Por suerte tenemos una cosa que nos gusta”.
Las
edades de estos jóvenes técnicos suelen estar entre los 16 y 25 años,
explica Barroso. Actúan desde tres puntos geográficos: Brasil-México,
China y Europa del Este. España es el campo de acción de estos últimos,
aunque “también hay algunos botmasters españoles”, advierte
Quintero.
Las organizaciones los reclutan en los chats o
“en foros privados donde ellos mismos venden sus códigos maliciosos”,
explica Barroso. Los clientes, que buscan a alguien que mande spam
o bombardee a la competencia, usan la misma forma de contacto: “Una
compañía que lo necesite sabrá cómo encontrarte en el chat”,
explica Arz.
La red de Pushdo
Para las
empresas que no quieran buscar a informáticos en oscuros chats, hay
también “comerciales” que alquilan sus servicios. Arz dice tener amigos
dedicados a esto, pero “trabajan por su cuenta”, asegura. Su pequeño
grupo, dice, vive alejado del lado más comercial.
“Algunas
organizaciones tras las botnets son mafias que sólo quieren
dinero”, afirma Arz. Estas mafias suelen manejar las redes más grandes,
con decenas de miles de ordenadores esclavos, como Pushdo, en activo
desde 2007 y responsable del envío de casi 8.000 millones de correos
basura al día, según Trend Micro, o la red descubierta por Net Witness,
que ha espiado a 2.400 empresas de todo el mundo.
Las grandes
organizaciones las lleva gente de más edad, dedicada sobre todo a la
gestión y a las finanzas. Su estructura básica está jerarquizada: una o
más personas escriben los programas maliciosos, otras asaltan e infectan
las webs, otras controlan la o las botnets y, ya fuera
del ámbito técnico, hay “comerciales” y responsables del manejo del
dinero.
La creciente complejidad de estas redes se centra sobre
todo en el aspecto financiero: “Hay personas que buscan y gestionan las mulas
(que transfieren el dinero robado a las cuentas de los criminales) y
otras encargadas de vender o alquilar los datos, las máquinas y webs
infectadas”, enumera Barroso. Sigue Quintero: “Otros se dedican a la
venta o explotación física de números de tarjetas y al blanqueo del
dinero”.
Para Arz, las botnets son un trabajo fácil: “La
Red es insegura en un 98%, pero la gente sólo tiene la culpa de un 10%,
el resto es porque las empresas desarrollan programas inseguros”.
Echar el anzuelo y esperar
Ingredientes para crear botnets: un virus, un kit de
programas para manejarlos y un informático. El secreto está en colocar
el virus en páginas con muchas visitas: “Una vez vimos una botnet
con más de 11.000 páginas comprometidas. Cada usuario de Windows que
las visitaba con un navegador desactualizado quedaba automáticamente
infectado. En dos días consiguió 90.000 afectados”, dice Quintero.
El
virus puede mandarse por correo electrónico, aunque lo habitual es
ponerlos en las páginas. Después es cuestión de esperar a que la gente
pique. Una vez dentro del ordenador, el virus descargará un programa y
lo instalará: es el bot, el lazo entre el ordenador infectado y
la net, la red que permite su control remoto. En una hora, afirma
Arz, “se pueden reclutar miles de ordenadores”.
El botmaster
lo observa todo desde su panel de Comando y Control: ve en tiempo real
los ordenadores que entran en la botnet, los que salen porque sus
dueños los han desinfectado, estadísticas por origen geográfico,
sistemas operativos, contraseñas y datos bancarios. A través del mismo
panel, el botmaster manda órdenes a los ordenadores esclavos.
Es
una tarea que puede hacer una sola persona desde su casa, con un
ordenador y una conexión normal. A veces, un mismo técnico controla dos o
tres botnets a la vez. “El trabajo duro es desarrollar los
programas; la gestión es más llevadera”, afirma Quintero. Aún así, es un
trabajo full time: 15 horas diarias o más, según Barroso.
“Cuando están realizando un ataque masivo, le dedican mucho tiempo.
Ahora es un trabajo profesional”. El programa de Comando y Control de la
botnet puede tener una interfaz gráfica o ser una simple ventana
de chat, en el caso de los más antiguos. La segunda generación
son los programas que funcionan por web, más difíciles de espiar y
desactivar. Las máquinas infectadas se conectan con el botmaster
a través del protocolo HTTP, que la mayoría de los cortafuegos dejan
pasar. La tercera generación usa el protocolo P2P, sin nodos
centralizados y, por tanto, casi imposible de clausurar.
Autor: Mercè Molist
Fuente: El País
Original post:
‘Botnets’, el lado oscuro de Internet |
