Por el mundo tras un virus con placa

A finales de 2011, en las comisar¨ªas comenzaron a recibir una llamada desconcertante. Eran ciudadanos enfurecidos por un mensaje que saltaba al encender su ordenador y que iba avalado por el escudo de la Polic¨ªa Nacional: ¡°Su direcci¨®n IP ha sido registrada en webs ilegales orientadas a la difusi¨®n de la pornograf¨ªa infantil, zoofilia e im¨¢genes de violencia contra menores¡±. La alerta aseguraba que la ¨²nica forma de volver a usar el ordenador, bloqueado por mandato legal, era una multa de 50 o 100 euros. Uno de los grandes timos cibern¨¦ticos de nuestros d¨ªas estaba en marcha.

Los agentes de la Brigada de Investigaci¨®n Tecnol¨®gica (BIT) de la Polic¨ªa Nacional ya sab¨ªan de qu¨¦ virus se trataba porque hac¨ªa meses que agentes de seis pa¨ªses europeos estaban recibiendo llamadas id¨¦nticas. La investigaci¨®n que lanzaron ha pasado por cables de fibra ¨®ptica de medio mundo y su primer gran cap¨ªtulo culmin¨® en diciembre con la detenci¨®n en Dub¨¢i de un ruso de 27 a?os, cabecilla de la organizaci¨®n. Pero la operaci¨®n no ha terminado, como demuestra que una noche un mes despu¨¦s entraran de una patada en casa de los 10 presuntos responsables de la c¨¦lula financiera de la red en Espa?a. Seis rusos, dos ucranios y dos georgianos instalados en la Costa del Sol para lavar el mill¨®n de euros que recaudaron en un a?o. Los encontraron en pijama, con un caj¨®n con 200 tarjetas de cr¨¦dito y 50.000 euros escondidos en el ba?o junto a postizos de cabello.

La banda jugaba con la psicolog¨ªa del infectado, que muchas veces hab¨ªa visitado p¨¢ginas de las que se avergonzaba

El rastreo de esta banda, que ha atacado decenas de miles de ordenadores de 22 pa¨ªses, requer¨ªa especiales habilidades t¨¦cnicas, as¨ª que al inicio de la investigaci¨®n la BIT recurri¨® a un conocido, David Sancho, investigador especializado en amenazas inform¨¢ticas de Trend Micro, una compa?¨ªa estadounidense de seguridad en Internet con delegaci¨®n en Madrid. Sancho, que en 12 a?os de lucha contra toda clase de virus, piratas y grietas en sistemas se ha convertido en una eminencia en el campo, coopera frecuentemente con la polic¨ªa. ¡°Los chicos de la BIT me llamaron y empezamos a tomar muestras del virus. Ellos cogieron por su lado y yo por el m¨ªo¡±, cuenta por tel¨¦fono desde un congreso.

Lo que hizo Sancho fue destripar el virus para conocer su composici¨®n y el itinerario que segu¨ªa por la red. Dio con proveedores, dominios, correos utilizados para registrarlos¡­ ¡°Saqu¨¦ los servidores con los que contactaba. Yo solo puedo llegar hasta all¨ª. A partir de ese punto, la polic¨ªa hace su trabajo¡±.

Una investigaci¨®n concienzuda

Como Hansel y Gretel, la BIT y Sancho fueron recogiendo miguitas que les llevaran hasta casa. La direcci¨®n IP contaminante sobre la que comenz¨® a trabajar el investigador era la 188.190.99.174, que localiz¨® en Ucrania. Pero la banda se mov¨ªa a una velocidad tremenda cambiando de servidores (los nodos encargados de rebotar el virus): Alemania, Reino Unido, Estados Unidos... Sin embargo, detalles como la basurilla en los c¨®digos que generaba mensajes de error en cir¨ªlico eran indicios que apuntaban a Rusia. Se trataba de la pista buena y, tras un a?o de investigaci¨®n, la polic¨ªa lleg¨® al v¨¦rtice de la pir¨¢mide criminal. A partir de ese momento solo tuvo que esperar a que el cabecilla saliera de su pa¨ªs para pasar las vacaciones en los Emiratos ?rabes, donde fue detenido.

El llamado popularmente ¡°virus de la polic¨ªa¡± es un ransomware (de ransom, rescate), modalidad de virus que apareci¨® en Rusia en 2005 en una versi¨®n muy primitiva (fund¨ªa la pantalla y dec¨ªa: ¡°Esto es un secuestro, paga¡±) para ir evolucionando a enga?os m¨¢s refinados. La versi¨®n de esta banda tiene la peculiaridad de que, tras introducirse en el ordenador del usuario, localiza en qu¨¦ pa¨ªs se encuentra y, en funci¨®n de este, le extorsiona con un mensaje que finge venir de su polic¨ªa nacional.

Conocer la cantidad de infectados es imposible. En Espa?a se han llegado a 1.200 denuncias y una web oficial sobre el problema acumula 750.000 visitas. Hay decenas de miles de casos en Alemania, Francia, Italia, B¨¦lgica, Reino Unido y Austria, y Rob Wainwright, el director de Europol ¡ªimplicada en la investigaci¨®n¡ª calcula que un 3% de ellos ha pagado por rescatar su ordenador. Wainwright ha calificado la operaci¨®n como ¡°el primer gran ¨¦xito¡± en la lucha contra una modalidad de estafa que en los pr¨®ximos a?os ser¨¢ feroz.

La banda jugaba con la psicolog¨ªa de los infectados, que aunque no hubieran infringido la ley, muchas veces s¨ª hab¨ªan hecho algo de lo que no les apetec¨ªa hablar. Los secuestradores sab¨ªan que cuanto m¨¢s cierta pareciera la acusaci¨®n, m¨¢s probable es que pagara la v¨ªctima. Por eso la mayor¨ªa de las infecciones ven¨ªan de p¨¢ginas pornogr¨¢ficas. Los criminales contrataban all¨ª un espacio publicitario y, en vez de llenarlo con un reclamo picante, introduc¨ªan un c¨®digo que envenenaba al que pinchaba. Pero si usted pensaba ense?arle este reportaje a su pareja, padres o hijos para exculparse por ese extra?o virus que infect¨® su ordenador, a¨²n le queda un argumento: no todos los casos son por ver contenidos discutibles. ¡°Hay quien se ha infectado hasta en p¨¢ginas de magdalenas¡±, cuenta Sancho. Esto es as¨ª porque los criminales tambi¨¦n externalizan servicios: contratan piratas inform¨¢ticos para que expandan sus virus. Y estos piratas que trabajan al peso a veces dejan la carga en el primer sitio que encuentran.

La banda ha explotado diversas formas de coacci¨®n. ¡°A veces, en lugar del emblema de la polic¨ªa usaban el de la SGAE para decirte que hab¨ªas pirateado. El recurso m¨¢s creativo que he visto es que, despu¨¦s de exhibir la placa, te activaban la webcam y te ve¨ªas a ti en tu ordenador, consiguiendo el efecto de que te esp¨ªan¡±.

Blanqueo por Internet

Los miembros del grupo no parecen primerizos. La arquitectura de los virus es la misma que la de otros c¨¦lebres, y la infraestructura que utilizaban los relaciona con Rove Digital, unas leyendas del cibercrimen derribadas en 2011 por el FBI en Estonia en el golpe de mano m¨¢s espectacular contra este tipo de delitos que se conoce, dejando de lado el ataque contra Kim Dotcom y su imperio Megaupload. La operaci¨®n contra Rove Digital, llamada Ghost Click, estuvo a punto de implicar que millones de internautas se quedaran sin Internet, puesto que requiri¨® restablecer la configuraci¨®n de las redes manipuladas. La banda trampeaba ordenadores y servidores para que, cuando el internauta pinchara un anuncio, por ejemplo de Google, el virus le llevara a una publicidad de Viagra. Luego, los delincuentes, camuflados tras una empresa legal, cobraban por la publicidad que vend¨ªan. Los tribunales estonios han rechazado esta misma semana la extradici¨®n a EE UU del cabecilla del entramado, Vlad¨ªmir T?a?t?in.

La c¨¦lula detenida en Espa?a blanqueaba el dinero mediante cupones virtuales y luego lo enviaba a Rusia

Este es uno de los problemas que suele encontrar la polic¨ªa: la impunidad que ofrecen pa¨ªses del Este. El l¨ªder de la banda del ¡°virus de la polic¨ªa¡± fue detenido en Dub¨¢i porque en Rusia no cometi¨® delitos. Los criminales procuran no causar problemas en su pa¨ªs nido, como demuestra que el virus ni siquiera estuviese traducido al ruso.

La c¨¦lula financiera detenida en Espa?a se dedicaba a lavar el dinero mediante un sistema que apunta por d¨®nde puede ir el futuro del ciberblanqueo. En sus inicios, los criminales cobraban por tarjeta de cr¨¦dito, hasta que comprobaron que eran f¨¢ciles de rastrear. Entonces empezaron a exigirle al estafado en el mensaje que hac¨ªan aparecer en su ordenador que pagase mediante PaySafeCard y UKash, cupones que se adquieren en bancos, gasolineras y quioscos por un importe fijo ¡ªcomo al recargar un tel¨¦fono¡ª y que proveen de un c¨®digo PIN que sirve para comprar en cualquier tienda virtual. El estafado suministraba el c¨®digo a los delincuentes, que, para disolver sus trazas, lo revend¨ªan con descuentos en foros de Internet. As¨ª, cuando, despu¨¦s de haber pasado por varias manos, su comprador final lo usaba para algo tan inocente como adquirir una guitarra o una c¨¢mara de fotos, la polic¨ªa se topaba con un inocente a miles de kil¨®metros.

Una vez vendidos los c¨®digos, la c¨¦lula retiraba el dinero de cajeros y lo enviaba a Rusia por transferencia o locutorios. Aparte de la espa?ola, probablemente queden m¨¢s redes de blanqueo por distintos pa¨ªses, lo que habla de ganancias mucho mayores.

A pesar de que esta red se haya hundido, la amenaza no ha acabado. Hay muchos grupos desarrollando su versi¨®n del virus. ¡°No dejar¨¢n de hacerlo mientras sea rentable. Este tipo de ataques van a ir aumentando y refin¨¢ndose¡±, anuncia Sancho: ¡°Este grupo es probablemente el primero, como se puede ver por sus c¨®digos, pero cada vez son m¨¢s, y m¨¢s efectivos¡±.