Tres amos para trece millones de ordenadores esclavos

Desarticulada una red que controlaba equipos de particulares, empresas y administraciones de 190 países

MIGUEL ÁNGEL CRIADO MADRID 04/03/2010 08:00

Expertos de Panda Labs siguieron la pista de la red junto a la Guardia Civil. - Panda Labs

Expertos de Panda Labs siguieron la pista de la red junto a la Guardia Civil. - Panda Labs

Trece millones de ordenadores infectados por un virus estaban bajo el control de tres españoles. La Guardia Civil, en una operación conjunta con el FBI y empresas de seguridad informática como Panda Labs, ha desarticulado la botnet Mariposa, la más grande de las redes zombis detectadas hasta hoy, donde miles de equipos actúan como esclavos a las órdenes del que los ha infectado. Por suerte, eran unos aficionados.

Las cifras dan vértigo. Más de 13 millones de ordenadores en realidad direcciones IP, lo que significa que podrían ser muchos más de 190 países habían sido infectados por un caballo de Troya, un tipo de virus que permite controlar el equipo a distancia. Más importante que la extensión geográfica de la red es la calidad de los infectados. Además de los millones de ordenadores domésticos (unos 200.000 en España), también hay equipos de la mitad de las grandes empresas de la lista Fortune, 40 grandes bancos y administraciones públicas de decenas de países. Sólo en el disco duro del ordenador de uno de los detenidos hay información de 800.000 personas.

Los PC esclavos se conectaban de forma continua a un servidor a pedir instrucciones. Y tantos ordenadores juntos pueden dar mucho poder al que los controla. En este caso, era un joven de 31 años, vecino de Balmaseda (Vizcaya) que se hacía llamar netkairo o hamlet1917 y que fue detenido el 3 de febrero. Contaba con la ayuda de otro joven de Molina de Segura (Murcia) y un chaval de 25 años de Santiago de Compostela (A Coruña), ambos detenidos la semana pasada.

Con una botnet así, además de robar información personal datos bancarios, fiscales o de tarjetas de crédito, se puede lanzar una campaña masiva de correo basura, usando a los zombis como estafetas de correo. Peor aún, podrían haber lanzado un ataque DDoS (ataque distribuido de denegación de servicio), donde miles de ordenadores piden a la vez un servicio a un servidor hasta colapsarlo. Como dice el comandante del grupo de delitos telemáticos de la Guardia Civil y responsable de la operación, Juan Salom, "con 13 millones de ordenadores se podría hacer más daño que el que sufrieron Estonia o Georgia, los primeros casos conocidos de ciberterrorismo".

Alquiler de zombis

Por fortuna no habían ido más allá de recopilar la información personal de los infectados. "Se les ha cogido pronto, antes de que conocieran bien las posibilidades de este negocio", razona el director técnico de Panda Labs, Luis Corrons. O quizá sí las conocían: los tres detenidos vivían de lo que ganaban con los equipos esclavos.

Una fuente de ingresos era un fraude en la publicidad. Tenían páginas con anuncios y obligaban a los infectados a pinchar en ellos, obteniendo unos céntimos por cada clic. También habían alquilado Mariposa, pero aún se investiga a quién y con qué propósito. Salom detalló asimismo que los detenidos no eran los autores del software infeccioso, sólo lo habían comprado. El autor de la obra sigue ahí afuera.

Fue en mayo cuando empezó a crearse la red. El troyano se propagó por medio de programas P2P como eMule, el Messenger y, en especial, con llaves y reproductores USB.

Ese mismo mes fue detectado por la firma canadiense Defence Intelligence que, viendo conexiones con España, contactó con Panda Labs y juntas lo investigaron. En octubre, el FBI y la Guardia Civil tomaron el control. Fijaron la víspera de Nochebuena para desarticular la red.

El 23 de diciembre bloquearon los servidores a los que se conectaban los esclavos, dejando la red fuera de juego. En venganza, los detenidos contraatacaron lanzando un ataque DDoS, echando abajo servidores de universidades y empresas canadienses. Pero Mariposa estaba herida de muerte. Ese movimiento llevó a la Guardia Civil hasta netkairo. Eso sí, la red ya no existe, pero los ordenadores siguen infectados, esperando órdenes.

 

7 Comentarios
  • Orilla Izquierda
    #1 Vota Vota

    8 i Orilla Izquierda 04-03-2010 18:46

    Vuelvo a preguntar: ¿Cuantos con Linux u otro SO que no sea guindows?. Y al "tonto de turno", somos mas de "cuatro" los que usamos Linux.

  • cr4s1r0
    #2 Vota Vota

    2 i cr4s1r0 04-03-2010 20:04

    ¿Por qué no tendrá este periódico una fe de erratas? O... ¿por qué no hacen informarse a sus periodistas antes de escribir un artículo? ¿Qué por qué digo esto?

    Pues sí, la respuesta es otra pregunta: ¿Desde cuando un troyano o caballo de Troya es un virus informático? Nunca en la vida. ¿qué es madware? Pues sí oiga, pero eso es lo único que tienen en común un virus informático y un troyano.

    ¡Un poquito de más seriedad leñes!

    Otra cosa interesante, si eran 13 millones de ip's, casi seguro que son menos de 13 millones de ordenadores. ¿Razón? Las ip's dinámicas. Un ordenador que se encienda tres veces al día, y que la operadora sea de ip's dinamicas, en una semana casi seguro que habría tenido 21 ip's distintas. Una empresa que la mayoría de sus ip's son así: Telefónica.

  • felipele
    #4 Vota Vota

    0 i felipele 05-03-2010 00:02

    Respondiendo a un comentario, un troyano realmente en un programa que abre una conexion TCP, pero la estrategia que sigue es la de un virus o codigo maligno.

    ! ! ! ! GNU POWER ! ! ! !

    Windows = virus = peste

  • Orilla Izquierda
    #7 Vota Vota

    -1 i Orilla Izquierda 06-03-2010 19:15

    Es fácil comprender, que ante un SO o programa, que te permite conocerlo y modificarlo, según tus conocimientos o gustos (código, diseño, traducción a tu idioma, etc) uno se convierta en "Friki", lo que no consigo entender, es que haya "frikis" de un sistema cerrado, de pago, con mas fallos que una "escopeta de caña" y que continuamente "cambia" para empeorar, a no ser que sean "pagados" para realizar esa labor, ya que la otra opción que se me ocurre es que son .. lo que parecen.

  • cr4s1r0
    #5 Vota Vota

    -2 i cr4s1r0 05-03-2010 01:27

    ZiZak, soy ingeniero informático, sé de lo que hablo, las características de un virus y un troyano son muy distintas. Para empezar un virus es descontrolado, y un troyano todo lo contrario.

  • ZiZaK
    #3 Vota Vota

    -4 i ZiZaK 04-03-2010 23:05

    Pero vamos a ver cr4s1r0 infórmate un poquito antes de decir estupideces. Un troyano claro que es un virus, o que te crees que es? un caballo de madera¿ como el de las pelis?

    Ahora resulta que sabes mas que la policia, 13 millones de ips las vas a crear tu desde tu casa desconectando el router¿ NO COMMENTS sobre eso, y ademas durante casi un año haciendo eso todos los dias¿ O_O'

  • cugat
    #6 Vota Vota

    -4 i cugat 05-03-2010 07:47

    Vamos, que si todos los ordenadores del mundo trabajaran con Linux nunca habría virus ni tonterías de estas, no? Haced caso y poneros Linux, y jamás de los jamases tendréis un virus ni ostias parecidas. (Y de paso no aguantaremos al frikilinux de turno)

Cargando...

Cargando

Generado: 2012-05-28 05:19:58