Una red roba datos clave de 74.000 ordenadores en el mundo

Una red de cibercriminales ha infiltrado, durante el ¨²ltimo a?o y medio, los ordenadores de m¨¢s de 100.000 usuarios de 196 pa¨ªses, incluida Espa?a, y, s¨®lo en el pasado mes, han robado unos 75 gigabites de informaci¨®n relativa a cuentas de correo electr¨®nico, a redes sociales, y a nombres de usuario, claves de acceso y preguntas de seguridad de portales web de banca online, seg¨²n revel¨® ayer en un informe la empresa estadounidense de seguridad online NetWitness, que ha descubierto el ataque.

Los hackers -desde China, pero tambi¨¦n desde Europa- infectaron m¨¢s de 74.000 ordenadores (1.400, en Espa?a), muchos de ellos de uso compartido, a trav¨¦s de correos electr¨®nicos contaminados con archivos corruptos o enlaces a p¨¢ginas web contaminadas. A trav¨¦s de esos mensajes lograban descargar en los ordenadores un paquete de software infeccioso, con unas 30 aplicaciones cuya finalidad era sortear los programas de seguridad de los internautas. Una vez completada la infecci¨®n, el troyano, bautizado como Kneber, robaba la informaci¨®n desde sus servidores. Seg¨²n NetWitness, menos de un 10% de los antivirus existentes detecta esa infecci¨®n.

El virus proviene de direcciones en China, Rusia y Alemania

Existe un mercado negro de venta de contrase?as inform¨¢ticas

"Las organizaciones criminales roban esa informaci¨®n para venderla. Hay todo un mercado negro de venta de informaci¨®n inform¨¢tica", explica el jefe de seguridad de NetWitness, Eddie Schwartz. "Seg¨²n datos del FBI hay unos 100 pa¨ªses con capacidades de ataque cibern¨¦tico, pa¨ªses que est¨¢n interesados en el espionaje online de informaci¨®n empresarial y gubernamental. Esta informaci¨®n se les puede vender a ellos, o a grupos terroristas con la capacidad e intenci¨®n de organizar ataques coordinados".

La informaci¨®n robada afecta a unas 2.400 empresas privadas y agencias gubernamentales internacionales, todas con ordenadores que funcionan con Windows, en sus versiones XP o Vista. Los pa¨ªses m¨¢s afectados son Egipto, con un 19% del total, M¨¦xico (15%), Arabia Saud¨ª (13%), Turqu¨ªa (12%) y EE UU (11%). El principal cometido de los hackers era robar contrase?as e informaci¨®n personal almacenada en las cuentas de las redes sociales de Facebook, Hi5 o Sonico, y el correo electr¨®nico de Yahoo.

"No s¨®lo se trata de contrase?as", a?ade Schwartz. "Accediendo a esas cuentas, y controlando la informaci¨®n que el usuario introduce, los esp¨ªas pueden tener perfiles completos: nombre, edad, lugar de residencia, familia, listas de contacto, mensajes privados, cuentas de banco y contrase?as, por ejemplo".

En semanas recientes, la botnet hab¨ªa cambiado el objetivo de su espionaje: se centraba, ahora, en copiar los nombres de usuario y claves de acceso a portales de banca online. Seg¨²n el informe de la consultora NetWitness, "el archivo de configuraci¨®n m¨¢s reciente que descarg¨® el virus antes de que se desarmara la red estaba casi exclusivamente destinado a robar las claves de sitios de banca electr¨®nica o cambio de divisas". La consultora ha encontrado m¨¢s de 60 p¨¢ginas financieras o de compra y venta de las que se ha robado informaci¨®n, entre ellas PayPal o Ebay.

En algunas instancias, el troyano ha robado n¨²meros de tarjetas de cr¨¦dito o ha copiado respuestas de usuarios a las preguntas de seguridad que se almacenan en los servidores inform¨¢ticos de esas empresas para restaurar contrase?as, como "?cu¨¢l es el nombre de soltera de su madre?", "?en qu¨¦ calle se cri¨®?" o "?cu¨¢l era el nombre de su primera mascota?".

En Espa?a, han sido afectados sitios web relacionados con bancos del Grupo Santander (Open Bank, Banesto y Banco Santander), BBVA y Bancaja. Fuentes de estas instituciones financieras aclararon ayer que ataques de este tipo, a usuarios que intentan acceder a sus cuentas bancarias, son frecuentes desde los inicios de la banca electr¨®nica y que recomiendan siempre la instalaci¨®n de los antivirus m¨¢s recientes.

El ataque a cuentas de correo afect¨® a empleados cuyos ordenadores actuaron como puerta de entrada involuntaria a unas cien empresas. Entre ellas se encuentran la farmac¨¦utica Merck y Cardinal Health, seg¨²n avanz¨® ayer el diario The Wall Street Journal. Adem¨¢s, los esp¨ªas se infiltraron en diez agencias y departamentos del Gobierno norteamericano, entre ellos el Pent¨¢gono, a trav¨¦s de la cuenta de correo de, al menos, un soldado. Portavoces del Departamento de Defensa declinaron hacer comentarios al respecto ayer, alegando motivos de seguridad nacional.

Casos de robo de contrase?as como ¨¦ste son frecuentes, sobre todo en p¨¢ginas de banca. La principal novedad es que el ataque, a m¨¢s de 100.000 usuarios, haya sido coordinado desde un solo botnet o robot remoto, que ha actuado a trav¨¦s de un dominio registrado por un solo usuario, bajo la direcci¨®n hilarykneber@yahoo.com. Esa direcci¨®n est¨¢ asociada a la difusi¨®n de otros troyanos previos, como Zeus, identificado por primera vez en 2007 y que roba informaci¨®n a trav¨¦s de las pulsaciones del teclado de los ordenadores.

Al rastrear las direcciones IP a las que se ha asociado la actividad criminal cibern¨¦tica de hilarykneber@yahoo.com en el pasado, los ingenieros de Netwitness han identificado, como m¨ªnimo, una treintena de direcciones IP, casi la mitad de ellas radicadas en China.

De China, precisamente, procedi¨® un ataque que sufrieron el pasado mes de diciembre Google y otra treintena de empresas, a trav¨¦s del cual unos hackers, a los que diversas empresas de seguridad online han asociado a agencias gubernamentales de Pek¨ªn, robaron informaci¨®n personal y de cuentas de correo electr¨®nico de activistas de derechos humanos y relacionados con el Tibet. Aquella operaci¨®n de espionaje tambi¨¦n logr¨® informaci¨®n secreta de los servidores corporativos de otras compa?¨ªas como la contratista del Pent¨¢gono Northrop Grumman, Dow Chemical y Yahoo. El Gobierno de EE UU pidi¨® entonces una investigaci¨®n p¨²blica en China.