Conecta con nosotros

Entrevistas

El Mercado Negro de los botnets

Tras el ataque del botnet Mariposa a millones de ordenadores a nivel mundial, que fue creado por tres españoles, queremos ahondar un poco más en todo lo que rodea al mundo de estas redes zombies. David Sancho, senior anti-malware Researcher de Trend Micro, nos cuenta dónde nace, cuánto puede costar y cómo actúan estos bots, así como los beneficios económicos de sus desarrolladores.

Publicado el

Tras el ataque del botnet Mariposa a millones de ordenadores a nivel mundial, que fue creado por tres españoles, queremos ahondar un poco más en todo lo que rodea al mundo de estas redes zombies. David Sancho, senior anti-malware Researcher de Trend Micro, nos cuenta dónde nace, cuánto puede costar y cómo actúan estos bots, así como los beneficios económicos de sus desarrolladores.

 

 

 

 

MuyComputerPRO: ¿Qué son las redes zombies? ¿cómo se crean? ¿cómo actúan?

David Sancho: Redes zombies o botnets son conjuntos de ordenadores infectados controlados por un mismo ente criminal. Cuando un ordenador es infectado (mediante email o mediante una página web maliciosa), se conecta al servidor central de tal forma que el que controla la red puede realizar acciones conjuntas en todos los ordenadores infectados. Estos grupos criminales centran sus actividades en ganar dinero. Por ello, suelen utilizar las botnets para enviar spam, atacar a terceros o robar contraseñas bancarias u otros datos.

MCP: ¿Es posible que el usuario se dé cuenta de que su ordenador ha sido infectado?

DS: Estas infecciones no suelen ser demasiado obvias para el usuario. El ordenador utiliza un mayor ancho de banda para conectarse con el servidor central criminal así que la conexión a Internet es más lenta. El ordenador también puede verse ralentizado. Si el equipo infectado se utiliza para realizar operaciones bancarias mediante Internet, el usuario verá su cuenta utilizada por criminales. Esto puede significar una gran pérdida de dinero.

MCP: En este caso ¿qué se puede hacer? ¿se denuncia? ¿ante quién?

DS: Si el daño ha sido monetario, lo primero es denunciar el fraude a los bancos en los que se tenga la cuenta. Respecto al virus, es preciso limpiarlo de inmediato para que no cause más daño. En este caso es preciso instalar un antivirus o actualizar el ya instalado.

 

 

 

 

MCP: El botnet Mariposa, creado por tres españoles, ha infectado 13 millones de ordenadores. Toda la prensa mundial se ha hecho eco de la noticia. ¿pueden aportarnos desde Trend Micro algún dato más que no sepamos?

DS: Dicha botnet fue creada a partir de herramientas compradas en foros del underground ruso. Éstas no eran una sóla herramienta, sino varias, y posiblemente provengan de diversas fuentes. Los comandos que cada bot aceptaba estaban personalizados para dicha botnet, dado que se encontraban en castellano. Por ejemplo, el comando para desinstalar el bot es "alinfiernoya", para descargar una actualización y ejecutarla "pillaestenuevoya" y para descargar y ejecutar otro programa "trinka". La labor de los delincuentes españoles fue la de personalizar los programas, crear la arquitectura de la red bot y gestionar toda esta infraestructura.

MCP: ¿Saben la pena que les puede caer a este tipo de ciberdelincuentes?

DS: En España no existen leyes que penalicen este tipo de delitos, así que es posible que, aunque un tribunal les halle culpables, puedan no ser encarcelados.

  

MCP: ¿Nos pueden decir algún otro ataque perpetrado desde España de esta magnitud, o parecida? ¿Cuándo fue? ¿En qué consistió?

DS: En cuanto a gestión de redes bot, no tenemos conocimiento de otro ataque de magnitudes similares. La mayor parte de ellos ocurren desde Rusia y Ucrania o China. Desde el punto de vista de los criminales, la gestión de bots es de los más utilizados ya que reporta grandes beneficios sin que sea necesario realizar un gran desembolso económico inicial.

 

 

 

 

 

 

MCP: ¿Y a nivel mundial?

DS: A nivel mundial se han descubierto muchas redes bot. El año pasado, Conficker contaba con varios millones de direcciones IP detectadas en una sola red bot cuyas intenciones pasaban por instalar antivirus falsos para timar al usuario. Otras redes bot todavía siguen funcionando, tal y como Pushdo o Rustock.

Existen también cierto número de programas para crear redes bot que uno puede adquirir en las redes underground, como Bredolab y Zeus. Es por ello que estas botnets independientes se cuentan por miles. Se calcula que existen entre 4000 y 6000 botnets Zeus en el mundo.

MCP: ¿Qué es más dañino, un malware o un botnet?

DS: Las redes bot están formadas por equipos infectados con malware. La diferencia con el malware tradicional es que éste cumplía únicamente un objetivo (borrar datos, etc.). En cambio, el malware asociado a una red bot se conecta al servidor central criminal y es capaz de realizar acciones bajo demanda, tales como descargarse más malware, atacar a terceros (esto se llama "Denegación de Servicio" y puede ser muy peligroso), enviar spam o espiar la conexión del usuario para robarle datos confidenciales.

MCP: ¿Cuál era el objetivo de los autores de esta red zombie?

DS: Los autores de la botnet Mariposa principalmente robaban datos bancarios del usuario para después transferir dinero a sus cuentas. Además, alquilaban partes de la red bot a otros entes criminales para otros propósitos.

  

 

 

 

MCP: Viendo esto parece sencillo hacer daño y beneficiarse con este sistema…

DS: Un acto criminal no es especialmente complicado. Al igual que en la vida real, robar es un acto que depende más de la honestidad del sujeto que de la dificultad de la operación. Es por ello que las leyes deben de actualizarse para desincentivar este tipo de delincuencia.

MCP: ¿Cómo funcionaba este botnet Mariposa?

DS: Los criminales infectaban a sus víctimas mediante emails maliciosos (otro método muy utilizado es la infección mediante páginas web maliciosas). Todos los equipos infectados espiaban a sus respectivas víctimas y transmitían los datos robados a la banda de delincuentes. Entre los datos, figuraban datos de acceso a sitios web bancarios, acceso a correo electrónico y otra información de acceso web.

MCP: Se dice que los detenidos no eran expertos informáticos, que compraron el virus en el mercado negro… suena a película. ¿Cómo funciona este "Mercado Negro"? ¿Qué más se puede comprar? ¿Precios?

DS: Existen herramientas variadas en venta para crear botnets y para impedir la detección por casas antivirus, es decir, por los fabricantes de antivirus y soluciones de seguridad. Algunos de estos programas incluso cuentan con soporte técnico y garantía de no-detección (en caso de ser detectados por antivirus, son capaces de generar una nueva versión que no sea detectada).

Además de todo esto, diversos foros underground venden todo tipo de datos robados, desde números de tarjeta de crédito y bases de datos de correos electrónicos hasta accesos bancarios. En cuanto a precios, éstos varían desde unos pocos euros hasta miles, todo depende de la cantidad y del tipo de información que se quiera adquirir, etc.
 

David Sancho, senior anti-malware researcher de Trend Micro.

El equipo de profesionales de MCPRO se encarga de publicar diariamente la información que interesa al sector profesional TI.

Lo más leído