Así funciona el robo de datos en internet
El perfil del ciberdelincuente rompe con el tópico del joven solitario experto en informática. Un negocio ilegal de software malicioso requiere 4.000 euros de inversión, según los expertos
En la imagen superior se puede ver la diferencia entre la página legítima (izq.) y la que tiene un campo adicional inyectado (dcha.)
Cientos de miles de webs fueron víctimas la semana pasada de un ataque conocido como Lizamoon, que aprovechaba fallos de seguridad en páginas legítimas para insertarles un enlace que llevaba al usuario a una web maliciosa, según alertó la compañía de seguridad Websense. La introducción de ese código, conocido como inyección SQL, se dio a conocer rápidamente por el volumen de páginas infectadas (llegando a los tres millones de sitios), pese a que su efectividad según los expertos ha sido muy reducida. El equipo de investigación de la compañía de seguridad Kaspersky Lab ha realizado un informe en el que analiza cuál es la infraestructura que utilizan los ciberdelincuentes para poner en marcha un negocio de robo de datos. La empresa ha analizado un caso típico de infraestructura empresarial. Todas las compañías de seguridad coinciden desde hace años en que la ciberdelincuencia ya no consiste en un grupo de jóvenes expertos en informática que actúan a título personal desde su ordenador.
Para Inteco, el organismo estatal que coordina las iniciativas públicas de seguridad informática, aunque hay jóvenes que se acercan a este tipo de delitos de forma ocasional, el ciberdelincuente es un varón especializado en crear amenazas. "Si algo diferencia al malware de hoy en día del de hace unos años es su ánimo de lucro. La inmensa mayoría del software malicioso se hace por y para ganar dinero a través del robo, la extorsión, el engaño o la estafa", explican en el informe Malware y robo de datos.
La configuración analizada por Kaspersky requiere de unos 2.500 euros al año destinados al alquiler de servidores. En este precio ya están incluidos servicios que no ofrecería un proveedor convencional. Suelen estar situados en países como Ucrania, Turquía o Hong Kong, aunque no siempre se cumple este estereotipo. Lo que sí es un denominador común es que cuesta mucho cerrarlos. "Se anuncian en foros especializados como a prueba de balas, y todos los familiarizados con este tipo de delitos ya saben a qué se refieren", explica el analista de malware de Kaspersky Lab Vicente Díaz.
El funcionamiento ante un posible cierre sigue siempre los mismos parámetros: el proveedor no responde a la solicitud policial hasta que no existe una orden judicial, que a la vez lleva su tiempo porque primero hay que ver si existe un tratado legal con ese país. Ello implica enfrentarse a una burocracia y destinar una serie de recursos que no siempre están disponibles. En España, el desmantelamiento de la red Mariposa el año pasado, que contaba con más de 12 millones de ordenadores zombis, necesitó de nueve meses de trabajo y la colaboración de empresas y fuerzas de seguridad de distintos países. La utilización de servicios VPN, que ocultan la dirección IP y la ubicación física de quien realiza una acción, fue una dificultad añadida.
Construcción del programa
Para conseguir los ordenadores zombis que van a permitir organizar la red es necesario un conjunto de programas maliciosos que se encarguen de reclutarlos. Se les conoce como kit constructor. Aunque el software malicioso puede estar hecho a la medida, lo más común, según Kaspersky, es comprar la estructura básica. En este caso, el precio es de unos 550 euros. "Uno de los componentes del kit constructor sirve para crear el código binario que permite introducir ciertas modificaciones en el programa, como la entidad bancaria a la que se pretende atacar. Otro se instala en el servidor y sirve para estructurar los datos robados", resume Díaz.
ZeuS es un troyano que fue identificado por primera vez en 2007 y que hoy continúa activo. El código de este programa se comercializa en internet para que otros delincuentes lo utilicen para realizar sus propias ataques. "Parte del éxito de ZeuS se debe a que es muy modificable. Lo que su propietario comercializa es un kit constructor", añade el analista. La licencia de ZeuS incluye copyright en sus términos de uso. Para evitar que otros ciberdelincuentes hagan uso del programa sin abonar la licencia, sus creadores alertan en ellos de que las compañías de seguridad recibirán una copia del código si se rompen las reglas.
Aprovechar los fallos de otros
Una vez construida la infraestructura básica, consistente en un servidor y el kit para construir el programa malicioso, el siguiente paso es conseguir víctimas. Para que el programa sea capaz de aprovechar las vulnerabilidades del ordenador del usuario, también será necesario un kit de explotación, que se puede adquirir por unos 1.200 euros. Estos pequeños programas (llamados exploits) localizan y aprovechan las vulnerabilidades que el usuario tiene ya presentes en su software habitual.
Díaz explica que el problema es que no todo el mundo tiene su ordenador perfectamente actualizado, y que los ciberdelincuentes son conscientes de ello. "A partir de la entrada en una web maliciosa, estos programas detectan de forma automática si el sistema operativo, el navegador o alguna otra herramienta tienen agujeros de seguridad". Si el programa descubre esos fallos, instalará la versión del software malicioso que se ha programado con anterioridad. El robo de datos bancarios, contraseñas y certificados, así como el envío de spam son las consecuencias más probables de la infección. La red Mariposa tenía datos de 800.000 personas en 190 países.
El ataque Lizamoon solicitaba la intervención del usuario. Cuando este visitaba la web legítima pero infectada era redirigido a otra en la que se le animaba a descargar un antivirus llamado Windows Stability Center que, pese a su nombre, no tenía nada que ver con Microsoft. El programa avisaba al usuario de que su equipo no estaba actualizado y que se enfrentaba a problemas de seguridad para convencerle de que instalase el falso antivirus. Una vez hecho esto, el usuario ya tenía instalado el programa malicioso en su equipo.
Conseguir visitas a la web
Una vez que el malware está incluido en las webs, ¿cómo se consigue que las visitas acaben en ella? "Hubo un tiempo en el que el envío del correo electrónico era la mejor forma de conseguirlo, aunque hoy se ha convertido en una fuente secundaria", detalla el analista de Kaspersky.
En un entorno profesional como el mencionado anteriormente, los expertos destacan dos fórmulas: alquilar una red de ordenadores zombis o alquilar tráfico. En el primer caso, se trata de que otro delincuente que ya ha logrado introducir su código en los equipos de los usuarios permita utilizarlos para instalar el nuevo programa malicioso. Díaz ofrece un estimado de unos 2.000 euros de coste, en función del tamaño de la red. Para el alquiler de tráfico es necesario que un grupo de webs cómplices redirija visitas a la página infectada, o bien que se infecten webs legítimas para que redirijan de forma automática a la maliciosa. Ante este tipo de técnicas, el usuario no verá nada extraño, ya que la redirección se produce de forma automática, sin saltos aparentes.
Las técnicas utilizadas por los ciberdelincuentes han cambiado en la medida en la que mejoran las técnicas de detección y surgen nuevos fenómenos en internet. En este punto han aparecido las redes sociales como fuente de infección que, en el fondo, reproducen a grandes rasgos el esquema ya empleado con el correo electrónico. Para Díaz, "con las redes sociales en este momento se está en un punto similar al que se vivió hace unos años con el correo electrónico, antes de que la gente se concienciase de que podía ser una fuente de software malicioso".
El cierre de un gran servidor de spam
El mes pasado se produjo el cierre de buena parte de los servidores de Rustock, uno de los mayores responsables de envío de correo electrónico no deseado del mundo. La compañía de seguridad Symantec estima que el año pasado Rustock envió el 39% del spam mundial.
La unidad contra el crimen de Microsoft colaboró con las autoridades de EEUU para realizar el cierre. La compañía calcula que este ‘bot' había infectado a más de un millón de máquinas de usuarios. Estas enviaban 30.000 millones de correos basura al día. Una máquina infectada por Rustock podía enviar 7.500 mensajes de spam en 45 minutos, según Microsoft.
Para realizar el cierre se cortó la conexión de los servidores de Rustock. Este tipo de cierres sólo puede llevarse a cabo con la colaboración de empresas de seguridad, grupos policiales, registradores de dominios y proveedores de servicios de internet.
El éxito no siempre está asegurado, ya que los expertos alertan de que los ciberdelincuentes suelen tener una infraestructura secundaria para reanudar sus actividades.
La cifra global de spam se redujo un 12% cuando las autoridades holandesas cerraron los servidores del ‘bot' Bredolab en noviembre.
6 Comentarios
-
La culpa más que nada la tienen los bancos con su sistema opaco de transferencias (y los estados por permitirlo). Lo lógico sería que se pudiera trazar a dónde va el dinero que ha salido de una cuenta durante cierto tiempo, por mucho que vaya de una cuenta a otra. Pero claro, tenemos un sistema financiero intencionadamente no transparente para permitir cierto tipo de corrupción, y el fraude informático (de bastante menor cuantía que otro tipo de fraudes) se aprovecha de eso.
-
Da la impresion que el articulo esta destinado a informar de los pasos a seguir para robar datos en internet con el precio incluido , en vez de informar sobre lo que hay que hacer para no caer en este tipo de estafas
-
Si sabes como se hace, sabrás como impedirlo. De aquí debes sacar en claro que para evitar este tipo de fraudes entre otras cosas:
- Deberás tener siempre actualizado tu sistema operativo
- Deberás tener siempre actualizado tu navegador (actualizaciones periódicas como las de firefox)
- No pinches en enlaces de correos de personas y/o empresas desconocidas.
- No descargas e instales a la ligera software que te ofrezcan en internet... toolbars, popups...
Lo que no queda claro leyendo este artículo es si una página infectada también tendrá en su dirección "https://" , ¿alguien sabe esto?
-
Los más interesados en crear inseguridad son las propias empresas que crean la seguridad y los propios fabricantes de software - hardware.
También han diseñado (más bien conjurado) la " obsolescencia electrónica" (programar la vida útil de los aparatos electrónicos) para favorecer las ventas de sus productos.
Como Ciberdelincuencia se debían contemplar todos los abusos que hacen las empresas con nuestra información personal, los abusos contractuales, tarifas - facturación, calidad, etc.. . Estoy harto de las llamadas publicitarias, de las instrucciones en inglés, de los servicios lucrativos de Atención al Cliente, de programas ininteligibles, de correos basura, de cookies.....
Existe una permisividad (pasividad) de la Administración con todo lo que tiene que ver con internet. No es que sea lenta en reaccionar. ! Es que no se mueve !
-
La cosa no es tan sencilla como culpar a multinacionales o tener software actualizado. Al igual que en otros campos exiten políticas y culturas de seguridad también existen en la sociedad de la información y el conocimiento. Que se necesita, pues algo de inversión en función de la exposición a amenazas, valor de los activos de la organización, estructura, etc. Se necesita una actuación profesional lo más personalizada posible en la organización (empresa, oficina, administración, ONG, etc). El problema principal no es la falta de medios y profesionales, sino la alergia que provoca en muchos empresarios el invertir en seguridad de la información, al no darle la más mínima importancia se exponen a un serio incidente y en caso de robo de datos personales a una sanción por incumplimiento de la LOPD (la cual puede variar entre 600 y 600.000 ). Después vienen las letanías, lloros y demás milongas cuando ya es tarde para tomar en serio la amenaza. Vamos como siempre ha ocurrido en cualquier otro campo de la vida, sobre todo en España.
-
#3 "- No pinches en enlaces de correos de personas y/o empresas desconocidas."
Esto ya está muy superado porque muchos programas reenvían correos a los contactos de una persona en su nombre, por tanto la procedencia es de fiar pero no el contenido.
No hay que pinchar en cualquier enlace que parezca sospechoso, es mejor contactar con el remitente y confirmar que nos lo ha enviado...
Quizá te interese...
Cargando...
Publicidad
Comentario más valorado
La culpa más que nada la tienen los bancos con su sistema opaco de transferencias (y los estados por permitirlo). Lo lógico sería que se pudiera trazar a dónde va el dinero que ha salido de una cuenta durante cierto tiempo, por mucho que vaya de [...]
Lo más...
-
Dinero
Mariano Rajoy: "No va a haber ningún rescate de la banca española"
-
Culturas
Javier Krahe será juzgado hoy por un vídeo sobre cómo cocinar a un Cristo
-
Culturas
Javier Krahe asegura que si le condenan "se exiliará a Francia"
-
España
Bankia insiste en que no devolverá los 19.000 millones al Estado
-
España
Los soldados españoles tendrán que pagar la mitad del rancho
-
Dinero
Mariano Rajoy: "No va a haber ningún rescate de la banca española"
-
Deportes
"Madrid será la cuna del fascismo"
-
Culturas
Javier Krahe asegura que si le condenan "se exiliará a Francia"
-
España
Bankia insiste en que no devolverá los 19.000 millones al Estado
-
Culturas
Javier Krahe será juzgado hoy por un vídeo sobre cómo cocinar a un Cristo
-
España
IU moviliza a los ciudadanos para que se investigue a los bancos
-
Internacional
Prueba de vida de Romeo Langlois, el periodista secuestrado por las FARC
-
España
UGT insta al Defensor del Pueblo a presentar un recurso de inconstitucionalidad a las medidas educativas de Wert
-
Internacional
Las FARC anuncian que liberarán este miércoles al periodista francés
-
Internacional
Gritos a Blair en su comparecencia: "¡Es un criminal de guerra!"
-
Dinero
Mariano Rajoy: "No va a haber ningún rescate de la banca española"
-
Dinero
Bankia se hunde en su regreso a la Bolsa mientras la prima supera los 500 puntos
-
Culturas
Javier Krahe asegura que si le condenan "se exiliará a Francia"
-
Dinero
La prima de riesgo española supera por primera vez los 500 puntos
-
Culturas
Javier Krahe será juzgado hoy por un vídeo sobre cómo cocinar a un Cristo
Cargando...