Cae la red cibercriminal 'Mariposa', que controlaba millones de ordenadores 'zombis' en 190 pa¨ªses

Trece millones de ordenadores infectados y controlados remotamente por una red cibercriminal que se llamaba Mariposa. En sus manos ten¨ªan datos de 800.000 personas en 190 pa¨ªses. Unas cifras asombrosas por su envergadura. El martes, el Grupo de Delitos Telem¨¢ticos de la Unidad Central Operativa de la Guardia Civil (UCO) detuvo a tres personas que gestionaban la red, pero las investigaciones prosiguen a nivel internacional. Seg¨²n el teniente coronel jefe del departamento, Jos¨¦ Antonio Berrocal, se trata de la mayor red de este tipo desmantelada en el mundo. La polic¨ªa investiga a un supuesto cuarto miembro del grupo que residir¨ªa en Venezuela.

Gracias al empleo de virus troyanos, los delincuentes se hac¨ªan con el control remoto de los ordenadores y los programas maliciosos instalados en las m¨¢quinas les suministraban toda la informaci¨®n que manejaba la v¨ªctima en los mismos. Los ordenadores zombis son utilizados frecuentemente por redes criminales para apoderarse de datos bancarios y en ocasiones se utilizan para lanzar un ataque contra los sistemas financieros o gubernamentales. La firma canadiense Defence Intelligence y la espa?ola Panda han colaborado en la investigaci¨®n.

Blanqueo de dinero

La existencia del botnet (red de ordenadores controlados remotamente) se detect¨® a mediados del a?o pasado, seg¨²n ha explicado a este diario Luis Corrons, director t¨¦cnico de Panda Lab. Entonces se form¨® un grupo de trabajo integrado por Defence Intelligence, el Instituto Tecnol¨®gico de Georgia, Panda y fuerzas de seguridad de distintos pa¨ªses, la Guardia Civil y el FBI, entre otros. Una vez infiltrados en la red, llam¨® la atenci¨®n su envergadura. Ten¨ªan controladas m¨¢s de 13 millones de direcciones IP distintas. Aunque hab¨ªa direcciones din¨¢micas que, por tanto, pueden corresponder a m¨¢s de un ordenador, la cifra era asombrosa. "Nadie hab¨ªa visto ninguna de este tama?o. La empleaban para robar informaci¨®n y la alquilaban a terceros". Para blanquear el dinero que consegu¨ªan, entre otro m¨¦todos, participaban en partidas de p¨®quer en l¨ªnea donde los compinches se dejaban ganar pero no pagaban la apuesta. As¨ª, el jugador que ganaba pod¨ªa justificar unos ingresos que no proced¨ªan del juego.

El 23 de diciembre, de forma coordinada, se cort¨® el acceso del botnet a los ordenadores. "No sab¨ªamos, sin embargo, qui¨¦nes lo estaban usando porque acced¨ªan a trav¨¦s de sistemas que permiten ocultar la IP de procedencia y entrar an¨®nimamente". Los delincuentes intentaron recuperar el control del mismo y lanzaron ataques de denegaci¨®n de servicio (env¨ªo masivo de peticiones de acceso que bloquean el sistema de la v¨ªctima) a Defence Intelligence y clientes suyos en Canad¨¢. "Fue gracias a un grave error de uno de los delicuentes que pudimos llegar a identificarlos: un d¨ªa, uno de ellos olvid¨® emplear los habituales recursos para ocultar su direcci¨®n en Internet". El 3 de febrero, la Guardia Civil entr¨® en el domiclio de uno de ellos en Balmaseda (Vizcaya). Otros dos fueron detenidos en Santiago de Compostela y Murcia. El grupo se hac¨ªa llamar DDP Team (D¨ªas de Pesadillas Team). Aunque los primeros detenidos sean espa?oles, la investigaci¨®n tambi¨¦n prosigue en otros pa¨ªses. "Ten¨ªan datos de 800.000 personas distintas". El botnet est¨¢ clausurado, pero los ordenadores de las v¨ªctimas siguen infectados. El alivio es que los delincuentes ya no pueden controlarlos.

No dise?aron la red, la compraron

El m¨¢ximo responsable de la red, cuya identidad responde a las iniciales F.C.R., de 31 a?os, se hac¨ªa llamar a si mismo Netkairo o Hamlet1917 y fue detenido en Balmaseda. Otro de los detenidos, J. B. R., de 25 a?os, se identificaba bajo el nick de Ostiator y es de Santiago de Compostela. El tercer detenido, J.P.R. de 30 a?os, se identificaba como Johny Loleante y resid¨ªa en Molina de Segura, en Murcia. No se trata de grandes expertos inform¨¢ticos. Ellos no dise?aron la red, la compraron. Seg¨²n la Guardia Civil el equipo permit¨ªa un gran ciberataque que, por fortuna, no realizaron. El grupo, que infect¨® unos 200.000 equipos s¨®lo en Espa?a, obten¨ªa sus ganancias alquilando la red a otros delincuentes. Pero su prinicpal fuente de beneficios estaba en el fraude publicitario. Redireccionaban los ordenadores infectados a publicidad de sus propias p¨¢ginas por lo que cobraban a de Google Adsense.

Seg¨²n la empresa canadiense, entre las v¨ªctimas est¨¢n m¨¢s de la mitad de las mil mayores empresas del mundo. Los delincuentes aprovecharon una vulnerabilidad del navegador Internet Explorer pero tambi¨¦n empleaban memorias USB y el env¨ªo de enlaces por mensajer¨ªa instant¨¢nea infectados para contagiar m¨¢s m¨¢quinas, seg¨²n Reuters. Un portavoz del departamento de Justicia norteamericano considera que Mariposa es la mayor red de este tipo cerrada hasta ahora, "pero s¨®lo se trata de la punta del iceberg". El sumario est¨¢ siendo instru¨ªdo por el juez Garz¨®n de la Audiencia Nacional.