El jefe del Departamento de Delincuencia Tecnológica y Económica de la Guardia civil, José Antonio Berrocal. REUTERS
EUROPA PRESS - Madrid - 03/03/2010 14:39
La Guardia Civil, en colaboración con el FBI y Panda Security, ha detenido a tres ciudadanos españoles que controlaban más de 13 millones de ordenadores infectados, denominados 'zombis', de los que habían obtenido datos personales y financieros de 800.000 usuarios de 190 países del mundo.
Por el número de ordenadores que la integraban se trata, probablemente, de una de las redes de robot, denominadas botnets, la mayor de las que se han detectado hasta el momento, según informó el jefe del Departamento de Delincuencia Tecnológica y Económica de la Guardia civil, José Antonio Berrocal, que explicó que con ella se podría haber realizado un ataque de ciberterrorismo muy superior a los acometidos hasta ahora contra Estonia o Georgia, primeros casos investigados en esta nueva modalidad de delito.
Los apresados utilizaban la red para obtener recursos económicos aunque disponían de una capacidad técnica muy superior, por lo que podrían haber realizado un ciberataque de mayores dimensiones, ya que no fueron capaces de "digerir" el volumen de información adquiridos, según la Guardia Civil.
Los datos obtenidos por los ahora detenidos podían haberlos utilizado para sí o alquilarlos a bandas organizadas dedicadas al fraude bancario.
"Hemos tenido suerte de que la 'botnet' no ha sido utilizada para ningún interés estratégico, sino para robar información de los usuarios y accesos a redes. Su mentalidad delictiva no era muy grande, pero podían haber hecho mucho más", dijo el jefe del Grupo de Delitos Telemáticos de la Guardia Civil, el comandante Juan Salom.
La red atacó alrededor de 200.000 equipos en España y a la mitad de las empresas más importantes del mundo según Forbes y 40 de los bancos más importantes. Los mandos policiales no quisieron revelar más información sobre las víctimas porque "muchas de ellas no saben que han sido infectadas". "Que haya un ordenador infectado en una empresa y tengan datos, no significa que esté en peligro toda la entidad", señalaron.
En mayo, la primera pista
La denominada 'Botnet Mariposa' fue detectada en mayo del pasado año, cuando se produjeron las primeras infecciones, por técnicos de la empresa canadiense Defence Intelligence, quienes crearon un grupo de trabajo para su seguimiento, junto con la española Panda Security y el Georgia Tech Information Security Center.
Paralelamente, el FBI inició una investigación sobre esta misma botnet, pudiendo averiguar que estaba implicado un ciudadano español, por lo que se puso en conocimiento de la Guardia Civil.
Más tarde se avanzó en la investigación de forma coordinada, lo que permitió conocer los vectores de infección de la botnet y sus canales de control de los ordenadores ajenos. Asimismo, se pudo determinar la existencia de un grupo de habla hispana, identificado como DDPTEAM, que había adquirido en el mercado del 'malware' (programas maliciosos) el troyano utilizado.
A las 17 horas del 23 de diciembre, identificados prácticamente todos los canales de control de esta botnet, se procedió de una forma coordinada a nivel internacional a bloquear los dominios que habían utilizado para evitar más ataques. Estos se localizaban principalmente en dos prestadores de servicio americanos y uno español.
Como consecuencia de esta acción, probablemente como acto de venganza, los delincuentes pudieron recuperar parte de la red mariposa y produjeron un importante ataque de denegación de servicio a la empresa Defence Intelligence, afectando seriamente a un gran Proveedor de Acceso a Internet (ISP) y dejando sin conectividad durante varias horas a multitud de clientes, entre los que se encontraban centros universitarios y administrativos de Canadá.
Esta acción permitió conocer el resto de canales de control de la botnet, que finalmente fueron bloqueados, a falta de dos pequeños servidores que controlan muy pocos equipos informáticos.
Detenidos
Ante el potencial riesgo del uso de esta red para un ataque de magnitudes importantes en cualquier parte del mundo y por la existencia de ciudadanos españoles involucrados, la Audiencia Nacional dirigió la investigación, instruyéndose diligencias previas en el Juzgado Central de Instrucción 5.
Tras el bloqueo de los dominios, a través de la infiltración en foros, se logró identificar al máximo responsable del grupo, que se autodenominaba 'netkairo' o 'hamlet1917', procediéndose a su detención en su localidad de residencia, Balmaseda (Vizcaya), el 3 de febrero.
En el registro domiciliario se intervinieron varios equipos informáticos que están siendo analizados, en los que se encontraron numerosas evidencias de su actividad delictiva y de la identidad de otros miembros del grupo, lo que permitió que la pasada semana se procediera a la detención de los otros dos españoles miembros del grupo, 'OsTiaToR', en Santiago de Compostela y 'Johnyloleante' en Molina de Segura (Murcia).
Los arrestados son F.C.R., de 31 años y residente en Balmaseda (Vizcaya); J.P.R., de 30 y residente en Molina de Segura (Murcia); y J.B.R., de 25 años y residente en Santiago de Compostela. Dos de ellos vivían con su novia y uno sólo. Ahora se encuentran en libertad con cargos.
Se investiga la participación de un cuarto miembro del grupo, identificado como 'Fénix', que podría ser venezolano, para lo que se ha instado a los canales de cooperación policial internacional colaboración para su identificación y detención. No se descartan más detenidos.
Los responsables de la operación señalaron que los arrestados vivían de la actividad delincuencial a través del fraude de la red de publicidad Google Adsense. Es decir, redireccionaban a todos los ordenadores infectados a publicidad de sus páginas propias, lo que les generaba beneficios. Aunque no eran 'mileruristas' tampoco se habían convertido en millonarios, según la Guardia Civil. Otra de sus fuentes de financiación fue el alquiler del parte del botnet a terceras personas, que aún se desconocen.
Los detenidos eran buenos conocedores de informática, pero no expertos. De hecho, habían comprado el botnet en el mercado negro, una máquina cuyo diseño es muy complejo. Además, alguna vez habían comprado también algunos programas con los que pudieran contratacar a los antivirus de las víctimas.
La red mariposa
Una botnet es un conjunto de ordenadores infectados con un programa malicioso, que están bajo control de su administrador o 'botmaster'. Los usuarios se contagian a través de virus o troyanos que le llegan a través de enlaces de correos electrónicos, sistema P2P de intercambio de datos, chats y messenger. Según explicó el director técnico de Panda Security, Luis Corrons, el virus 'zombi' se transmite también a través de cualquier dispositivo USB, con el simple gesto de recargar un Ipod.
Para su control, los ordenadores infectados, conocidos como 'zombies' o 'bots' se conectan a un equipo llamado Command and Control (C&C), donde reciben instrucciones. Entre ellas, puedan realizar envíos masivos de spam, robo de datos de carácter personal, control de acceso a las redes sociales o ataques a determinadas empresas para que nieguen sus servicios, tal y como hicieron estos 'ciberdelincuentes' con Defense Intelligence.
En la actualidad existen entre 4.000 y 6.000 redes de ordenadores controladores y entre 60 y 100 millones de PC infectados. Para evitar caer en una de estas redes, el experto de Panda recomendó actualizar periódicamente los antivirus y el software, no ejecutar programas de fuentes desconocidas, desactivar el 'autorun' de los USB y realizar una navegación "responsable".