Redes zombies que espían tu ordenador

En un futuro cercano, cuando la mayoría de la población esté siempre conectada a Internet, dejaremos de hacer la distinción entre delitos informáticos y los cometidos fuera de la Red. En cualquier tipo de delito habrá pruebas electrónicas vinculadas a una dirección IP. Esta es una de las conclusiones del informe de Naciones Unidas “Comprehensive Study on Cybercrime” (PDF), uno de los más completos realizados hasta ahora para tratar el problema del cibercrimen.

Las estafas a través de Internet son una de las principales amenazas con las que se enfrentan los usuarios. Uno de los métodos habituales para acceder a la información personal, como datos y claves bancarias, es mediante la instalación de software malicioso “malware” en el ordenador y en el teléfono móvil. Este tipo de software, denominado troyano, se presenta como una aplicación legítima para requerir la acción de instalación por parte del usuario o bien se instala utilizando algún fallo de seguridad en aplicaciones o sistema operativo. Normalmente, eso abre una puerta trasera para poder controlar la máquina de forma remota y silenciosa.

El control de miles de ordenadores mediante este tipo de software malicioso se realiza a través de un panel de control desarrollado por delincuentes. A la estructura creada por miles de computadoras infectadas se les denomina botnets.

La ONU ha comparado la incidencia de diferentes tipos de delitos en 21 países del mundo. Los fraudes con tarjeta de crédito, robo de identidades, ataques de phishing o acceso no autorizados a la cuenta de correos varía entre 1% y el 17% frente a un porcentaje inferior al 5% en esos mismos países para delitos como robos, hurtos y robo de vehículos. La tasa de delitos informáticos es mayor en países en desarrollo. Más del 80% de los delitos informáticos están cometidos por diferentes tipos de delincuencia organizada.

El ciclo de vida de una botnet es complejo. Pueden estar activas unos pocos meses o durante años. La ONU estima que en 2011 más de un millón de direcciones IP únicas dirigían y controlaban botnets a nivel mundial.

Una botnet se puede utilizar para muchos tipos de acciones. Entre los delitos más habituales destaca el envío de spam, realizar ataques de denegación de servicio (DDOS) o robar información bancaria de los usuarios infectados. Otro uso habitual es el llamado “click fraud”. Es decir, redes de ordenadores infectados que simulan pautas de comportamiento de los usuarios para pinchar sobre anuncios que usan modelos basados en coste por clic. De esta forma se consigue estafar a los anunciantes. Se estima que Chameleon, una de las últimas botnets descubiertas dedicadas a este fraude, generaba unas ganancias de 4,6 millones de euros (6 millones de dólares) al mes.

Uno de los troyanos dedicados al robo de información bancaria más conocido de los últimos años es ZeuS. Ha infectado a millones de ordenadores de todo el mundo en los últimos años. En 2011, su código fuente se filtró en Internet y ha servido como base para desarrollar cientos de nuevas botnets que han perfeccionado su código. A su vez puede ser parte de otras más complejas como Sopelka.

La botnet Sopelka

A primeros de marzo se celebró en Madrid el congreso Rooted CON 2013 dedicado a la seguridad informática. Este encuentro es un foro donde expertos en seguridad, hackers, fuerzas del estado o artistas intercambian conocimiento y técnicas sin censura.

José Miguel Esparza y Mikel Gastesi, investigadores especializados en botnets, malware y fraude en Internet, explicaron cómo funcionaba Sopelka, una de las botnets que han ayudado a desmantelar. Se cerró a finales de septiembre y les llamó la atención por el procedimiento utilizado.

Sopelka estaba dedicada al robo de la información bancaria de usuarios europeos, principalmente españoles, alemanes, italianos y holandeses. En total, se estima que había más de 50.000 sistemas infectados. Estaba formada por tres familias diferentes de software malicioso denominadas Feodo, Tatanga y Citadel. Esta última, basada en el código fuente de ZeuS.

Realizaban diferentes acciones para infectar a los usuarios. A alemanes y holandeses les enviaron campañas de spam con correos electrónicos que contenían un fichero adjunto o un enlace que les redirigía a una web donde aprovechaban alguna vulnerabilidad de su sistema.

También lograron insertar un código malicioso en un comparador online de productos comerciales de Holanda. Al acceder a la página infectada, redirigían hacia sistemas Blackhole, que buscan alguna vulnerabilidad presente en el software del usuario -como Java, lector de PDF o Flash- para descargar y ejecutar aplicaciones maliciosas de forma silenciosa.

No es la primera vez que se secuestra páginas comerciales o de compañías importantes para realizar ataques. Según la empresa de seguridad Sophos, entre octubre de 2011 y marzo de 2012, cerca del 30% de las amenazas detectadas por su equipo de investigación procedían directamente de un Blackhole o redirigían a páginas con kits de Blackhole desde sitios web secuestrados. Por ejemplo, en febrero de este año la empresa holandesa de seguridad Fox-IT descubrió que unos delincuentes estaban distribuyendo software malicioso de Citadel a través de un código insertado en la página web de la televisión norteamericana NBC.

En el caso de Sopelka, sus responsables también disponían de diversas cuentas en plataformas de envio de SMS, números de teléfonos virtuales y aplicaciones maliciosas para teléfonos móviles para los sistemas operativos Android, Blackberry y Symbian. Al infectar los teléfonos móviles de los usuarios, los delincuentes interceptan los códigos SMS enviados por las entidades bancarias en los procesos de seguridad basado en dos pasos. Contaban con más de 50 nombres de dominios registrados para sus diferentes actividades delictivas.

¿Pudo robar la botnet Eurograbber 36 millones de euros?

Esparza trabaja ahora para Fox-IT y dedicó una parte de su ponencia en Rooted CON a explicar sus investigaciones sobre la botnet Eurograbber. Este ataque informático saltó a la actualidad de medios generalistas el pasado mes de diciembre, ya que se aseguraba que a través suya se pudo robar 36 millones de euros a clientes de bancos europeos.

Las empresas de seguridad que descubrieron el ataque, CheckPoint y Versafe, publicaron un caso estudio con sus conclusiones (PDF). En España, Eurograbber robó 5,8 millones de euros a 11.352 usuarios de siete entidades bancarias. También afirman que para esta acción se utilizó un nuevo tipo de troyano. Pero para Esparza esta botnet no es nueva. Afirma que Eurograbber es Sopelka pero con el nombre cambiado. Es decir, utiliza el troyano de Citadel, conocido desde hace más de un año e investigado a fondo por muchos expertos en seguridad.

Esparza explicó a eldiario.es que es muy difícil conocer las cifras exactas del dinero robado desde una botnet. A veces puede suceder que en su panel de control guarden un registro de las transacciones realizadas, pero no es lo habitual. En el caso de Eurograbber, Esparza piensa que los 36 millones de euros no es la cantidad robada, sino el saldo de las cuentas bancarias de los usuarios infectadoslos 36 millones de euros no es la cantidad robada. En sus investigaciones sobre la botnet encontró a un español con un apunte contable de unos 10.000 euros. Los servicios de seguridad del banco del usuario le confirmaron que no fue robado en esas fechas, por lo que confirma la hipótesis de que esa cantidad era el saldo disponible en su cuenta.

¿Cómo protegerse de una botnet?

La protección 100% en seguridad no existe, pero los usuarios pueden seguir algunas recomendaciones para minimizar una posible infección. Lo más importante es tener sentido común y ser cauteloso a la hora de utilizar Internet. No pulsar en enlaces sospechosos, revelar datos personales a la ligera o ejecutar archivos enviados por desconocidos. Contar con un antivirus actualizado es otra medida a tener en cuenta.

Además, este tipo de software malicioso suele utilizar fallos de seguridad en aplicaciones de uso común como Acrobat Reader, Flash o Java. Por ese motivo es conveniente tenerlas actualizadas a la última versión. También es importante utilizar la última versión del navegador y que este disponga de mecanismos de actualización constante junto con funciones de avisos de detención de intentos de phishing y de software malicioso.