Así funciona el robo de datos en internet

Cientos de miles de webs fueron víctimas la semana pasada de un ataque conocido como Lizamoon, que aprovechaba fallos de seguridad en páginas legítimas para insertarles un enlace que llevaba al usuario a una web maliciosa, según alertó la compañía de seguridad Websense. La introducción de ese código, conocido como inyección SQL, se dio a conocer rápidamente por el volumen de páginas infectadas (llegando a los tres millones de sitios), pese a que su efectividad según los expertos ha sido muy reducida. El equipo de investigación de la compañía de seguridad Kaspersky Lab ha realizado un informe en el que analiza cuál es la infraestructura que utilizan los ciberdelincuentes para poner en marcha un negocio de robo de datos. La empresa ha analizado un caso típico de infraestructura empresarial. Todas las compañías de seguridad coinciden desde hace años en que la ciberdelincuencia ya no consiste en un grupo de jóvenes expertos en informática que actúan a título personal desde su ordenador.

Para Inteco, el organismo estatal que coordina las iniciativas públicas de seguridad informática, aunque hay jóvenes que se acercan a este tipo de delitos de forma ocasional, el ciberdelincuente es un varón especializado en crear amenazas. "Si algo diferencia al malware de hoy en día del de hace unos años es su ánimo de lucro. La inmensa mayoría del software malicioso se hace por y para ganar dinero a través del robo, la extorsión, el engaño o la estafa", explican en el informe Malware y robo de datos.

La configuración analizada por Kaspersky requiere de unos 2.500 euros al año destinados al alquiler de servidores. En este precio ya están incluidos servicios que no ofrecería un proveedor convencional. Suelen estar situados en países como Ucrania, Turquía o Hong Kong, aunque no siempre se cumple este estereotipo. Lo que sí es un denominador común es que cuesta mucho cerrarlos. "Se anuncian en foros especializados como a prueba de balas, y todos los familiarizados con este tipo de delitos ya saben a qué se refieren", explica el analista de malware de Kaspersky Lab Vicente Díaz.

El funcionamiento ante un posible cierre sigue siempre los mismos parámetros: el proveedor no responde a la solicitud policial hasta que no existe una orden judicial, que a la vez lleva su tiempo porque primero hay que ver si existe un tratado legal con ese país. Ello implica enfrentarse a una burocracia y destinar una serie de recursos que no siempre están disponibles. En España, el desmantelamiento de la red Mariposa el año pasado, que contaba con más de 12 millones de ordenadores zombis, necesitó de nueve meses de trabajo y la colaboración de empresas y fuerzas de seguridad de distintos países. La utilización de servicios VPN, que ocultan la dirección IP y la ubicación física de quien realiza una acción, fue una dificultad añadida.

Construcción del programa

Para conseguir los ordenadores zombis que van a permitir organizar la red es necesario un conjunto de programas maliciosos que se encarguen de reclutarlos. Se les conoce como kit constructor. Aunque el software malicioso puede estar hecho a la medida, lo más común, según Kaspersky, es comprar la estructura básica. En este caso, el precio es de unos 550 euros. "Uno de los componentes del kit constructor sirve para crear el código binario que permite introducir ciertas modificaciones en el programa, como la entidad bancaria a la que se pretende atacar. Otro se instala en el servidor y sirve para estructurar los datos robados", resume Díaz.

ZeuS es un troyano que fue identificado por primera vez en 2007 y que hoy continúa activo. El código de este programa se comercializa en internet para que otros delincuentes lo utilicen para realizar sus propias ataques. "Parte del éxito de ZeuS se debe a que es muy modificable. Lo que su propietario comercializa es un kit constructor", añade el analista. La licencia de ZeuS incluye copyright en sus términos de uso. Para evitar que otros ciberdelincuentes hagan uso del programa sin abonar la licencia, sus creadores alertan en ellos de que las compañías de seguridad recibirán una copia del código si se rompen las reglas.

Aprovechar los fallos de otros

Una vez construida la infraestructura básica, consistente en un servidor y el kit para construir el programa malicioso, el siguiente paso es conseguir víctimas. Para que el programa sea capaz de aprovechar las vulnerabilidades del ordenador del usuario, también será necesario un kit de explotación, que se puede adquirir por unos 1.200 euros. Estos pequeños programas (llamados exploits) localizan y aprovechan las vulnerabilidades que el usuario tiene ya presentes en su software habitual.

Díaz explica que el problema es que no todo el mundo tiene su ordenador perfectamente actualizado, y que los ciberdelincuentes son conscientes de ello. "A partir de la entrada en una web maliciosa, estos programas detectan de forma automática si el sistema operativo, el navegador o alguna otra herramienta tienen agujeros de seguridad". Si el programa descubre esos fallos, instalará la versión del software malicioso que se ha programado con anterioridad. El robo de datos bancarios, contraseñas y certificados, así como el envío de spam son las consecuencias más probables de la infección. La red Mariposa tenía datos de 800.000 personas en 190 países.

El ataque Lizamoon solicitaba la intervención del usuario. Cuando este visitaba la web legítima pero infectada era redirigido a otra en la que se le animaba a descargar un antivirus llamado Windows Stability Center que, pese a su nombre, no tenía nada que ver con Microsoft. El programa avisaba al usuario de que su equipo no estaba actualizado y que se enfrentaba a problemas de seguridad para convencerle de que instalase el falso antivirus. Una vez hecho esto, el usuario ya tenía instalado el programa malicioso en su equipo.

Conseguir visitas a la web

Una vez que el malware está incluido en las webs, ¿cómo se consigue que las visitas acaben en ella? "Hubo un tiempo en el que el envío del correo electrónico era la mejor forma de conseguirlo, aunque hoy se ha convertido en una fuente secundaria", detalla el analista de Kaspersky.

En un entorno profesional como el mencionado anteriormente, los expertos destacan dos fórmulas: alquilar una red de ordenadores zombis o alquilar tráfico. En el primer caso, se trata de que otro delincuente que ya ha logrado introducir su código en los equipos de los usuarios permita utilizarlos para instalar el nuevo programa malicioso. Díaz ofrece un estimado de unos 2.000 euros de coste, en función del tamaño de la red. Para el alquiler de tráfico es necesario que un grupo de webs cómplices redirija visitas a la página infectada, o bien que se infecten webs legítimas para que redirijan de forma automática a la maliciosa. Ante este tipo de técnicas, el usuario no verá nada extraño, ya que la redirección se produce de forma automática, sin saltos aparentes.

Las técnicas utilizadas por los ciberdelincuentes han cambiado en la medida en la que mejoran las técnicas de detección y surgen nuevos fenómenos en internet. En este punto han aparecido las redes sociales como fuente de infección que, en el fondo, reproducen a grandes rasgos el esquema ya empleado con el correo electrónico. Para Díaz, "con las redes sociales en este momento se está en un punto similar al que se vivió hace unos años con el correo electrónico, antes de que la gente se concienciase de que podía ser una fuente de software malicioso".

El cierre de un gran servidor de spam

El mes pasado se produjo el cierre de buena parte de los servidores de Rustock, uno de los mayores responsables de envío de correo electrónico no deseado del mundo. La compañía de seguridad Symantec estima que el año pasado Rustock envió el 39% del spam mundial.

La unidad contra el crimen de Microsoft colaboró con las autoridades de EEUU para realizar el cierre. La compañía calcula que este ‘bot' había infectado a más de un millón de máquinas de usuarios. Estas enviaban 30.000 millones de correos basura al día. Una máquina infectada por Rustock podía enviar 7.500 mensajes de spam en 45 minutos, según Microsoft.

Para realizar el cierre se cortó la conexión de los servidores de Rustock. Este tipo de cierres sólo puede llevarse a cabo con la colaboración de empresas de seguridad, grupos policiales, registradores de dominios y proveedores de servicios de internet.

El éxito no siempre está asegurado, ya que los expertos alertan de que los ciberdelincuentes suelen tener una infraestructura secundaria para reanudar sus actividades.
La cifra global de spam se redujo un 12% cuando las autoridades holandesas cerraron los servidores del ‘bot' Bredolab en noviembre.