'Botnets', el lado oscuro de Internet
Un red de cibercriminales se ha infiltrado en el ¨²ltimo a?o en ordenadores de m¨¢s de 100.000 personas y 2.400 empresas de 196 pa¨ªses - Los delincuentes se hacen remotamente con la informaci¨®n que corre por esas computadoras, esp¨ªan, bombardean y env¨ªan millones de correo basura
Febrero ha sido un mes prol¨ªfico para las botnets (robots de la Red), las redes de ordenadores zombis. Han pasado bruscamente de 4.000 a 6.000 en todo el mundo, seg¨²n la Fundaci¨®n Shadowserver, siguiendo una tendencia al alza que hace a?os que dura. Las redes de botnets se emplean para rentables negocios sucios, incluido el reciente ataque y espionaje contra empresas, descubierto la semana pasada por Net Witness, con m¨¢s de 74.000 ordenadores bajo su control, 1.400 de ellos en Espa?a.
Una botnet se crea infectando ordenadores sin que sus propietarios lo sepan. Cada m¨¢quina reclutada por el virus se pone en contacto sigilosamente con el criminal a la espera de sus ¨®rdenes. Y as¨ª es como los investigadores han descubierto una forma de espiar estas redes: hacerse pasar por ordenadores infectados que acceden a ellas. Si hay suerte, incluso consiguen hablar con quienes las controlan.
As¨ª conocimos a Moudi y Arz, dos genios del lado oscuro de la Red. Nos citan para hablar por Messenger, pero antes debemos llamar a un n¨²mero de tel¨¦fono internacional y responder algunas preguntas que les demostrar¨¢n nuestra identidad. Despu¨¦s de la llamada, m¨¢s confiados, explican que tienen 21 a?os y viven en L¨ªbano. Se conocieron en un remoto chat y un d¨ªa Arz propuso a Moudi trabajar juntos.Arz y Moudi se dedican a las botnets y al cibercrimen. Ellos lo llaman diversi¨®n. "Tengo bajo control estable miles de ordenadores, pero la mayor¨ªa ni los uso; los asalt¨¦ para demostrar mi poder", explica Arz, quien a lo largo de la charla negar¨¢ cobrar por ello. "La polic¨ªa no puede hacerme nada si no lo hago por dinero y, adem¨¢s, no tienen idea de lo que tengo".
Son muy pocos los operadores de botnets encarcelados. Esconden sus localizaciones reales saltando a trav¨¦s de ordenadores comprometidos, de forma que la direcci¨®n que aparece en los registros es la de esas m¨¢quinas y no la suya. Tambi¨¦n son expertos en ocultar, dentro de los ordenadores, los programas que les permiten controlarlos, llamados bots.
Es un mundo cada d¨ªa m¨¢s complejo, donde act¨²an desde grandes organizaciones mafiosas hasta peque?os grupos de t¨¦cnicos como el que forman Arz y Moudi, un amigo rumano y "el aprendiz". La funci¨®n de estos t¨¦cnicos es crear los virus e infectar las p¨¢ginas que a su vez infectar¨¢n a sus visitantes; crear los programas para montar y gestionar las botnets, y administrarlas.
Sueldos de 100.000 al a?o
Los t¨¦cnicos pueden trabajar en una organizaci¨®n o ir por libre. En este caso, venden o alquilan sus botnets a empresas que desean mandar correo basura, bombardear o espiar a otras empresas, o robar datos bancarios. "Un botmaster que se dedique a mandar spam gana entre 50.000 y 100.000 d¨®lares al a?o", asegura Bernardo Quintero, de Hispasec.
Tambi¨¦n pueden vender o alquilar sus paquetes de webs infectadas o programas para crear botnets a otros que quieran construir la suya. El precio de un bot (programa para controlar los ordenadores de una botnet) en el mercado negro es de unos 1.000 d¨®lares si es indetectable para los antivirus, y m¨¢s de 3.000 para los sofisticados.
Hay best-sellers, como ZeuS, que permite crear una botnet personalizada: "Un grupo lo desarroll¨®, lo vendi¨® y en la actualidad puede haber cientos o miles de botnets que lo usan", explica Quintero. ZeuS se dio a conocer en 2007 y actualmente hay variantes de ¨¦l, como el troyano Kneber, con el que se cre¨® la botnet de 74.000 ordenadores esclavos que identific¨® Net Witness.
El problema, dice David Barroso, de S21sec, es que en este mercado "existe confianza cero entre vendedor y comprador. Siempre hay el miedo de que el programa tenga una puerta trasera y se aprovechen de tu trabajo". Por eso, las grandes organizaciones prefieren tener t¨¦cnicos propios que crean sus programas.
La originalidad en este campo no sale de aqu¨ª, sino de los grupos peque?os como el de Arz y Moudi, a los que Quintero califica de ¨¦lite porque "desarrollan desde cero toda la botnet, desde los binarios y protocolos hasta los paneles de control. Son los que realmente innovan, y entre ellos los hay muy buenos".
El experto en virus Ero Carrera afirma: "Hay muy buenos ingenieros en pa¨ªses donde no hay industria y el cibercrimen es su forma de ganar dinero". Arz lo corrobora: "Aqu¨ª la vida no es tan simple, aqu¨ª Internet apesta, el Gobierno apesta, el trabajo apesta y a nadie le importa. Por suerte tenemos una cosa que nos gusta".
Las edades de estos j¨®venes t¨¦cnicos suelen estar entre los 16 y 25 a?os, explica Barroso. Act¨²an desde tres puntos geogr¨¢ficos: Brasil-M¨¦xico, China y Europa del Este. Espa?a es el campo de acci¨®n de estos ¨²ltimos, aunque "tambi¨¦n hay algunos botmasters espa?oles", advierte Quintero.
Las organizaciones los reclutan en los chats o "en foros privados donde ellos mismos venden sus c¨®digos maliciosos", explica Barroso. Los clientes, que buscan a alguien que mande spam o bombardee a la competencia, usan la misma forma de contacto: "Una compa?¨ªa que lo necesite sabr¨¢ c¨®mo encontrarte en el chat", explica Arz.
La red de Pushdo
Para las empresas que no quieran buscar a inform¨¢ticos en oscuros chats, hay tambi¨¦n "comerciales" que alquilan sus servicios. Arz dice tener amigos dedicados a esto, pero "trabajan por su cuenta", asegura. Su peque?o grupo, dice, vive alejado del lado m¨¢s comercial.
"Algunas organizaciones tras las botnets son mafias que s¨®lo quieren dinero", afirma Arz. Estas mafias suelen manejar las redes m¨¢s grandes, con decenas de miles de ordenadores esclavos, como Pushdo, en activo desde 2007 y responsable del env¨ªo de casi 8.000 millones de correos basura al d¨ªa, seg¨²n Trend Micro, o la red descubierta por Net Witness, que ha espiado a 2.400 empresas de todo el mundo.
Las grandes organizaciones las lleva gente de m¨¢s edad, dedicada sobre todo a la gesti¨®n y a las finanzas. Su estructura b¨¢sica est¨¢ jerarquizada: una o m¨¢s personas escriben los programas maliciosos, otras asaltan e infectan las webs, otras controlan la o las botnets y, ya fuera del ¨¢mbito t¨¦cnico, hay "comerciales" y responsables del manejo del dinero.
La creciente complejidad de estas redes se centra sobre todo en el aspecto financiero: "Hay personas que buscan y gestionan las mulas (que transfieren el dinero robado a las cuentas de los criminales) y otras encargadas de vender o alquilar los datos, las m¨¢quinas y webs infectadas", enumera Barroso. Sigue Quintero: "Otros se dedican a la venta o explotaci¨®n f¨ªsica de n¨²meros de tarjetas y al blanqueo del dinero".
Para Arz, las botnets son un trabajo f¨¢cil: "La Red es insegura en un 98%, pero la gente s¨®lo tiene la culpa de un 10%, el resto es porque las empresas desarrollan programas inseguros".
Echar el anzuelo y esperar
Ingredientes para crear botnets: un virus, un kit de programas para manejarlos y un inform¨¢tico. El secreto est¨¢ en colocar el virus en p¨¢ginas con muchas visitas: "Una vez vimos una botnet con m¨¢s de 11.000 p¨¢ginas comprometidas. Cada usuario de Windows que las visitaba con un navegador desactualizado quedaba autom¨¢ticamente infectado. En dos d¨ªas consigui¨® 90.000 afectados", dice Quintero.
El virus puede mandarse por correo electr¨®nico, aunque lo habitual es ponerlos en las p¨¢ginas. Despu¨¦s es cuesti¨®n de esperar a que la gente pique. Una vez dentro del ordenador, el virus descargar¨¢ un programa y lo instalar¨¢: es el bot, el lazo entre el ordenador infectado y la net, la red que permite su control remoto. En una hora, afirma Arz, "se pueden reclutar miles de ordenadores".
El botmaster lo observa todo desde su panel de Comando y Control: ve en tiempo real los ordenadores que entran en la botnet, los que salen porque sus due?os los han desinfectado, estad¨ªsticas por origen geogr¨¢fico, sistemas operativos, contrase?as y datos bancarios. A trav¨¦s del mismo panel, el botmaster manda ¨®rdenes a los ordenadores esclavos.
Es una tarea que puede hacer una sola persona desde su casa, con un ordenador y una conexi¨®n normal. A veces, un mismo t¨¦cnico controla dos o tres botnets a la vez. "El trabajo duro es desarrollar los programas; la gesti¨®n es m¨¢s llevadera", afirma Quintero. A¨²n as¨ª, es un trabajo full time: 15 horas diarias o m¨¢s, seg¨²n Barroso. "Cuando est¨¢n realizando un ataque masivo, le dedican mucho tiempo. Ahora es un trabajo profesional". El programa de Comando y Control de la botnet puede tener una interfaz gr¨¢fica o ser una simple ventana de chat, en el caso de los m¨¢s antiguos. La segunda generaci¨®n son los programas que funcionan por web, m¨¢s dif¨ªciles de espiar y desactivar. Las m¨¢quinas infectadas se conectan con el botmaster a trav¨¦s del protocolo HTTP, que la mayor¨ªa de los cortafuegos dejan pasar. La tercera generaci¨®n usa el protocolo P2P, sin nodos centralizados y, por tanto, casi imposible de clausurar.
Tu suscripci¨®n se est¨¢ usando en otro dispositivo
?Quieres a?adir otro usuario a tu suscripci¨®n?
Si contin¨²as leyendo en este dispositivo, no se podr¨¢ leer en el otro.
FlechaTu suscripci¨®n se est¨¢ usando en otro dispositivo y solo puedes acceder a EL PA?S desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripci¨®n a la modalidad Premium, as¨ª podr¨¢s a?adir otro usuario. Cada uno acceder¨¢ con su propia cuenta de email, lo que os permitir¨¢ personalizar vuestra experiencia en EL PA?S.
En el caso de no saber qui¨¦n est¨¢ usando tu cuenta, te recomendamos cambiar tu contrase?a aqu¨ª.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrar¨¢ en tu dispositivo y en el de la otra persona que est¨¢ usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aqu¨ª los t¨¦rminos y condiciones de la suscripci¨®n digital.