Los virus cambian de estrategia

El 17 de agosto, la mujer del tiempo de la cadena CNN se disculpaba porque su pron¨®stico era poco detallado, debido a que s¨®lo funcionaba uno de sus ordenadores. El responsable era Zotob, un gusano que se hab¨ªa colado en la red de la cadena.

En pocas horas el gusano infect¨® a corporaciones como Disneylandia, los peri¨®dicos The New York Times y Financial Times, y ABC News. Zotob ha puesto sobre la mesa una combinaci¨®n explosiva que los expertos han detectado en el ¨²ltimo a?o: la creaci¨®n de virus por dinero y la debilidad de las grandes empresas ante ellos.

Zotob es un gusano que no difiere mucho de los de su especie. No se transmite por correo electr¨®nico, sino que aprovecha un fallo en los sistemas operativos Windows 2000 para entrar en los ordenadores, saltando de uno a otro sin ayuda humana. Les instala una puerta trasera para que los atacantes puedan controlarlos remotamente.

Lo que sorprende de Zotob es su rapidez: el 9 de agosto, Microsoft daba a conocer un agujero en Windows 2000 y su correspondiente parche. Cinco d¨ªas despu¨¦s, cuando pocos hab¨ªan instalado el parche, aparec¨ªa Zotob, que se colaba por el agujero. En tres d¨ªas infect¨® a diversas corporaciones de Estados Unidos mientras surg¨ªan gusanos parecidos, como IRCBot y Bozori, y se desencadenaba una guerra de virus.

El 26 de agosto, despu¨¦s de la investigaci¨®n m¨¢s veloz en la historia del crimen inform¨¢tico, el FBI detuvo en Marruecos a Farid Essebar (Diabl0), de 18 a?os, y en Turqu¨ªa a Atilla Ekici (Coder), de 21 a?os, como presuntos autores de Zotob. M¨¢s tarde el n¨²mero de sospechosos subir¨ªa a 16. El FBI afirm¨® que Coder estaba relacionado con redes de robo inform¨¢tico de n¨²meros de tarjetas bancarias y que pag¨® a Diabl0 por la creaci¨®n de Zotob y otro gusano, Mytob.

Mytob, nacido en febrero, se propaga por correo electr¨®nico. Es muy parecido a Zotob y a la mayor¨ªa de los virus que circulan en la actualidad: instalan puertas traseras en los ordenadores, de forma que puedan controlarse remotamente. El objetivo es crear vastas redes de equipos esclavos, por los que compiten diversos grupos en las cada vez m¨¢s frecuentes guerras entre virus, donde se desactivan los unos a los otros, luchando por el control de los ordenadores. Pero su fin ¨²ltimo ya no es salir en la tele, 15 minutos de fama. Ahora su objetivo es el dinero, y las empresas lo tienen.

"El mundo de los virus est¨¢ cambiando desde el a?o pasado, cuando aparecieron Sober, Netsky, Bagle y Mydoom", dice Jos¨¦ Manuel Crespo, director de Marketing de Producto de Panda Software. "Dentro de su c¨®digo hab¨ªa textos que los creadores se mandaban unos a otros, con mensajes como: 'Lo siento, no es nada personal, es por mi trabajo' y otros que relacionaban virus con dinero y negocio".

En este nuevo crimen organizado, los virus son un eslab¨®n. Por una parte, se usan para robar cuentas de correo de las libretas de direcciones, que se vender¨¢n para enviarles correo basura, fraudes y m¨¢s virus. "Despu¨¦s de la aparici¨®n de Sober, el spam mundial aument¨® el 4%", explica Crespo. Adem¨¢s, instalan programas que esp¨ªan los comportamientos del usuario, para venderlos a empresas de publicidad, y otros que monitorizan las pulsaciones del teclado, para cazar n¨²meros de cuentas bancarias y contrase?as.

Por otra parte, instalan puertas traseras en los ordenadores, que los criminales usan en diversos cometidos: mandar correo basura, virus y timos; alojar p¨¢ginas web fraudulentas que imitan las de bancos o empresas, para que los incautos dejen all¨ª sus datos, o convertirlos en armas para bombardear, en ataques de Denegaci¨®n Distribuida de Servicio (DDoS), a empresas a las que se pedir¨¢ un rescate.

La extorsi¨®n

Estas extorsiones son cada vez m¨¢s frecuentes. El ¨²ltimo caso conocido sucedi¨® el 25 de agosto: la empresa de juegos en Internet Jaxx.de, de Hamburgo (Alemania), sufri¨® un ataque DDoS y se ve¨ªa conminada a pagar 40.000 euros para que cesase. Otra muestra es PGPCoder, un virus a¨²n rudimentario, aparecido en junio, que cifraba todos los documentos del ordenador infectado y ped¨ªa un rescate para descifrarlos.

"Antes los virus eran bichitos que te pon¨ªan en la pantalla el monstruo de las galletas pidiendo cookies. Ahora son una herramienta que tiene un proceso de producto. La creaci¨®n ya no pertenece a una sola persona, es una factor¨ªa: uno hace el programa que explota el fallo, otro el virus, otro lo lanza. Cuando leemos que se ha capturado al creador de un virus, nos re¨ªmos, probablemente s¨®lo sea uno y de los tontos", afirma Crespo.

Un ordenador infectado se cotiza en el mercado negro por entre 2 y 3 c¨¦ntimos; una red de 5.500 equipos se alquila por 350 d¨®lares. Por eso, explica Crespo, "hoy no te vas a enterar de que tu m¨¢quina est¨¢ infectada, los virus est¨¢n ocultos porque detr¨¢s hay negocio, buscan pasar inadvertidos y se van actualizando ellos mismos, convirtiendo el equipo infectado en lo que quieren".

Es el fin de la era de los virus masivos, dice Bernardo Quintero, responsable del servicio VirusTotal de Hispasec Sistemas: "Cuando aparece un virus masivo, en poco tiempo los antivirus distribuyen vacunas; pero los virus actuales quieren sobrevivir el mayor tiempo posible en los sistemas sin ser detectados. As¨ª, en vez de hacer un virus que llame la atenci¨®n, hacen muchas variantes con peque?as modificaciones, para infectar al m¨¢ximo n¨²mero de usuarios".

Del virus Mytob han llegado a aparecer cinco nuevas versiones en un mismo d¨ªa. "Cada una infectar¨¢ a un grupo reducido de usuarios, pero en conjunto obtienen mejores resultados", explica Quintero. Tambi¨¦n de Zotob aparecieron r¨¢pidas mutaciones. Seg¨²n el Centro de Alerta Temprana Antivirus, su incidencia en Espa?a fue m¨ªnima. No aparece en ninguna lista de los peores virus de agosto, pero su efecto fue fulminante en sitios localizados, especialmente en grandes empresas de Estados Unidos.

No hay indicios que confirmen que Zotob se concibiese para atacar a corporaciones, pero, seg¨²n Quintero, "las caracter¨ªsticas de la vulnerabilidad que aprovechaba hac¨ªan que tuviese m¨¢s posibilidades de propagaci¨®n en entornos corporativos". Zotob ten¨ªa bastantes limitaciones para infectar a usuarios dom¨¦sticos: deb¨ªan usar Windows 2000, un sistema operativo m¨¢s frecuente en las empresas, y tener abierto un puerto que los routers de ADSL y cortafuegos cierran siempre.

S¨®lo estaban expuestos los usuarios dom¨¦sticos de Windows 2000 que se conectasen por m¨®dem a la red telef¨®nica b¨¢sica, sin cortafuegos.

Las corporaciones, con decenas de miles de ordenadores, donde es usual tener un cortafuegos que protege la frontera entre la intranet e Internet, pero sin seguridad en los ordenadores del interior, eran caldo de cultivo para Zotob. "Seguramente el gusano entr¨® a la empresa en el port¨¢til de un empleado que se hab¨ªa infectado en un congreso y, cuando volvi¨® a su puesto de trabajo, enchuf¨® el port¨¢til a la red de la empresa", especula Quintero.

En pocos minutos, un solo ordenador conectado a la intranet gener¨® cientos de infecciones. Lo mismo sucedi¨® en el pasado con otros gusanos, como Blaster, Sasser o SQL Slammer, que llegaron a infectar una central nuclear y, seg¨²n Jos¨¦ Manuel Crespo, "estaba dise?ado para las empresas".