Entrevistas
El Mercado Negro de los botnets
Tras el ataque del botnet Mariposa a millones de ordenadores a nivel mundial, que fue creado por tres españoles, queremos ahondar un poco más en todo lo que rodea al mundo de estas redes zombies. David Sancho, senior anti-malware Researcher de Trend Micro, nos cuenta dónde nace, cuánto puede costar y cómo actúan estos bots, así como los beneficios económicos de sus desarrolladores.
Tras el ataque del botnet Mariposa a millones de ordenadores a nivel mundial, que fue creado por tres españoles, queremos ahondar un poco más en todo lo que rodea al mundo de estas redes zombies. David Sancho, senior anti-malware Researcher de Trend Micro, nos cuenta dónde nace, cuánto puede costar y cómo actúan estos bots, así como los beneficios económicos de sus desarrolladores.
MuyComputerPRO: ¿Qué son las redes zombies? ¿cómo se crean? ¿cómo actúan?
David Sancho: Redes zombies o botnets son conjuntos de ordenadores infectados controlados por un mismo ente criminal. Cuando un ordenador es infectado (mediante email o mediante una página web maliciosa), se conecta al servidor central de tal forma que el que controla la red puede realizar acciones conjuntas en todos los ordenadores infectados. Estos grupos criminales centran sus actividades en ganar dinero. Por ello, suelen utilizar las botnets para enviar spam, atacar a terceros o robar contraseñas bancarias u otros datos.
MCP: ¿Es posible que el usuario se dé cuenta de que su ordenador ha sido infectado?
DS: Estas infecciones no suelen ser demasiado obvias para el usuario. El ordenador utiliza un mayor ancho de banda para conectarse con el servidor central criminal así que la conexión a Internet es más lenta. El ordenador también puede verse ralentizado. Si el equipo infectado se utiliza para realizar operaciones bancarias mediante Internet, el usuario verá su cuenta utilizada por criminales. Esto puede significar una gran pérdida de dinero.
MCP: En este caso ¿qué se puede hacer? ¿se denuncia? ¿ante quién?
DS: Si el daño ha sido monetario, lo primero es denunciar el fraude a los bancos en los que se tenga la cuenta. Respecto al virus, es preciso limpiarlo de inmediato para que no cause más daño. En este caso es preciso instalar un antivirus o actualizar el ya instalado.
MCP: El botnet Mariposa, creado por tres españoles, ha infectado 13 millones de ordenadores. Toda la prensa mundial se ha hecho eco de la noticia. ¿pueden aportarnos desde Trend Micro algún dato más que no sepamos?
DS: Dicha botnet fue creada a partir de herramientas compradas en foros del underground ruso. Éstas no eran una sóla herramienta, sino varias, y posiblemente provengan de diversas fuentes. Los comandos que cada bot aceptaba estaban personalizados para dicha botnet, dado que se encontraban en castellano. Por ejemplo, el comando para desinstalar el bot es "alinfiernoya", para descargar una actualización y ejecutarla "pillaestenuevoya" y para descargar y ejecutar otro programa "trinka". La labor de los delincuentes españoles fue la de personalizar los programas, crear la arquitectura de la red bot y gestionar toda esta infraestructura.
MCP: ¿Saben la pena que les puede caer a este tipo de ciberdelincuentes?
DS: En España no existen leyes que penalicen este tipo de delitos, así que es posible que, aunque un tribunal les halle culpables, puedan no ser encarcelados.
MCP: ¿Nos pueden decir algún otro ataque perpetrado desde España de esta magnitud, o parecida? ¿Cuándo fue? ¿En qué consistió?
DS: En cuanto a gestión de redes bot, no tenemos conocimiento de otro ataque de magnitudes similares. La mayor parte de ellos ocurren desde Rusia y Ucrania o China. Desde el punto de vista de los criminales, la gestión de bots es de los más utilizados ya que reporta grandes beneficios sin que sea necesario realizar un gran desembolso económico inicial.
MCP: ¿Y a nivel mundial?
DS: A nivel mundial se han descubierto muchas redes bot. El año pasado, Conficker contaba con varios millones de direcciones IP detectadas en una sola red bot cuyas intenciones pasaban por instalar antivirus falsos para timar al usuario. Otras redes bot todavía siguen funcionando, tal y como Pushdo o Rustock.
Existen también cierto número de programas para crear redes bot que uno puede adquirir en las redes underground, como Bredolab y Zeus. Es por ello que estas botnets independientes se cuentan por miles. Se calcula que existen entre 4000 y 6000 botnets Zeus en el mundo.
MCP: ¿Qué es más dañino, un malware o un botnet?
DS: Las redes bot están formadas por equipos infectados con malware. La diferencia con el malware tradicional es que éste cumplía únicamente un objetivo (borrar datos, etc.). En cambio, el malware asociado a una red bot se conecta al servidor central criminal y es capaz de realizar acciones bajo demanda, tales como descargarse más malware, atacar a terceros (esto se llama "Denegación de Servicio" y puede ser muy peligroso), enviar spam o espiar la conexión del usuario para robarle datos confidenciales.
MCP: ¿Cuál era el objetivo de los autores de esta red zombie?
DS: Los autores de la botnet Mariposa principalmente robaban datos bancarios del usuario para después transferir dinero a sus cuentas. Además, alquilaban partes de la red bot a otros entes criminales para otros propósitos.
MCP: Viendo esto parece sencillo hacer daño y beneficiarse con este sistema…
DS: Un acto criminal no es especialmente complicado. Al igual que en la vida real, robar es un acto que depende más de la honestidad del sujeto que de la dificultad de la operación. Es por ello que las leyes deben de actualizarse para desincentivar este tipo de delincuencia.
MCP: ¿Cómo funcionaba este botnet Mariposa?
DS: Los criminales infectaban a sus víctimas mediante emails maliciosos (otro método muy utilizado es la infección mediante páginas web maliciosas). Todos los equipos infectados espiaban a sus respectivas víctimas y transmitían los datos robados a la banda de delincuentes. Entre los datos, figuraban datos de acceso a sitios web bancarios, acceso a correo electrónico y otra información de acceso web.
MCP: Se dice que los detenidos no eran expertos informáticos, que compraron el virus en el mercado negro… suena a película. ¿Cómo funciona este "Mercado Negro"? ¿Qué más se puede comprar? ¿Precios?
DS: Existen herramientas variadas en venta para crear botnets y para impedir la detección por casas antivirus, es decir, por los fabricantes de antivirus y soluciones de seguridad. Algunos de estos programas incluso cuentan con soporte técnico y garantía de no-detección (en caso de ser detectados por antivirus, son capaces de generar una nueva versión que no sea detectada).
Además de todo esto, diversos foros underground venden todo tipo de datos robados, desde números de tarjeta de crédito y bases de datos de correos electrónicos hasta accesos bancarios. En cuanto a precios, éstos varían desde unos pocos euros hasta miles, todo depende de la cantidad y del tipo de información que se quiera adquirir, etc.
David Sancho, senior anti-malware researcher de Trend Micro.
Cinco formas en que la IA puede mejorar la política de backups de la empresa
Las empresas españolas, por detrás de la media en la adopción de soluciones de IA
Eliminación de las tasas de salida en los hiperescaladores cloud: un primer paso en la dirección correcta
GPT-4 ya puede explotar las vulnerabilidades 0-day
Ayesa compra Emergya, especialista en Google Cloud
Accenture abre su dos nuevos estudios de IA generativa en Europa en Madrid y Barcelona
Red Hat e Inetum automatizan la infraestructura TIC de Madrid Digital
Cómo la tecnología mejora el día a día en un quirófano
Educación y tecnologías: ¿cuáles se han impuesto en las aulas?
Cómo superar los desafíos a los que se enfrentan las empresas en entornos híbridos
Canva compra Affinity para convertirse en competidor de Adobe
Orange y MasMovil han cerrado su fusión en España: ya funcionan como una sola empresa
Cinco formas en que la IA puede mejorar la política de backups de la empresa
Red Hat e Inetum automatizan la infraestructura TIC de Madrid Digital
La Unión Europea investiga a Apple, Google y Meta
GPT-5, con muchas mejoras para ChatGPT, puede llegar en verano
Schneider Electric y Nvidia diseñarán centros de datos con IA
Cómo superar los desafíos a los que se enfrentan las empresas en entornos híbridos
-
NoticiasHace 6 díasHuawei muestra su potencial para empresas y cloud en España en el Digital Transformation Summit
-
A FondoHace 7 díasCómo asegurarse de que se puede restaurar una copia de seguridad
-
EntrevistasHace 6 días«El low code en sí no es una tecnología o una plataforma, es una estrategia»
-
A FondoHace 7 díasSalesforce lleva la IA de Slack a todos los planes de pago de la plataforma