Dark Side of the Net: Zombi PC

‘Botnets’: los zombis de Internet

“De los 600 millones de ordenadores conectados actualmente a Internet, se puede estimar que alrededor de 100 o 150 millones forman parte de una botnet” (del inglés robot network, red de robots; en español, quizás, redbot). Cálculo de Vint Cerf, uno de los padres de Internet. “Y a pesar de todo, Internet sigue funcionando, lo cual es asombroso. Es tremendamente resistente”.

Las botnets (redes-robot), las redes de computadoras zombis se emplean para rentables negocios sucios, como el reciente ataque y espionaje contra ciertas empresas molestas⁽¹⁾, y se ha descubierto en la última semana de enero una botnet gigantesca.

Una red de zombis se crea infectando a las computadoras sin que sus propietarios se enteren. Cada máquina infectada por el virus se pone en contacto sigilosamente con el criminal a la espera de sus órdenes.

Así es como los investigadores pueden descubrir  estas redes: se  hacen pasar por computadoras infectados que entran a la red. Si hay suerte, incluso consiguen hablar con el “botmaster”.

Son muy pocos los operadores de botnets encarcelados. Se esconden a través de computadoras zombis, de forma que la dirección que aparece en los registros es la de esas máquinas y no la suya. También son expertos en ocultar, dentro de las computadoras, los programas que les permiten controlarlos, los llamados bots.

Es un mundo cada día más complejo donde grandes organizaciones criminales o pequeños grupos de técnicos crean virus que se cuelan cuando visitas ciertas páginas y se aprovechan de la cada vez más pujante economía electrónica.

100,000 al año

Si se trabaja de ese lado de la red, un botmaster puede ganar unos 100 mil dólares al año. ¿Mucho? ¿poco? Estos técnicos pueden trabajar en una organización, en cuyo caso suelen estar administradas como una gran empresa, con divisiones jerárquicas y funciones específicas, y que casi siempre su personal está diseminado por el mundo.

O bien, ir por libre, y vender o alquilar sus botnets a quien desee mandar correo basura, bombardear o espiar a otras empresas, o hacer el trabajo sucio de robar datos bancarios.

Un botmaster también pueden vender o alquilar sus programas para crear botnets a otros que quieran construir la suya. El precio de un bot (programa para controlar los computadoras de una botnet) en el mercado negro es de unos 1.000 dólares si es indetectable para los antivirus, y más de 3.000 para los sofisticados.

Hay programas como ZeuS, que permite crear una botnet personalizada: “Un grupo lo desarrolló, lo vendió y en la actualidad puede haber cientos o miles de botnets que lo usan”, explica Quintero. Se dio a conocer en 2007 y actualmente hay variantes de él, como el troyano Kneber.

Pero en este mercado no existe la confianza. Siempre hay la posibilidad de que el programa tenga una puerta trasera y se aprovechen del trabajo que hizo el comprador (o sea un zombi dos veces esclavo, ¡vaya!).

La élite de los botmasters es la que desarrollan desde cero toda la botnet, desde los binarios y protocolos hasta los paneles de control.  Las edades de estos técnicos brillantes suelen estar entre los 16 y 25 años. Actúan principalmente desde tres puntos geográficos: Brasil-México, China y Europa del Este. Normalmente los contactos entre estos jóvenes y las organizaciones criminales o las empresas que juegan sucio se hace a través de foro  especializados o chats. Todo es cuestión de saber donde buscar.

Las grandes organizaciones las lleva gente de más edad, dedicada sobre todo a la gestión y a las finanzas. Su estructura básica está jerarquizada: una o más personas escriben los programas maliciosos, otras asaltan e infectan las webs, otras controlan la o las botnets y, ya fuera del ámbito técnico, hay “comerciales” y responsables del manejo del dinero.

La creciente complejidad de estas redes se centra sobre todo en el aspecto financiero: “Hay personas que buscan y gestionan las mulas (que transfieren el dinero robado a las cuentas de los criminales) y otras encargadas de vender o alquilar los datos, las máquinas y webs infectadas”.  “Otros se dedican a la venta o explotación física de números de tarjetas y al blanqueo del dinero”.

Como Cocinar una Botnet

Ingredientes: un virus, un kit de programas para manejarlos y un joven informático. Coloque los virus en cientos de páginas de tráfico intenso, espere unas semanas o si es afortunado, unos días, y ¡buala, esta listo! Una legión de computadoras infectadas a su servicio.

Cada usuario que visita una página infectada con un navegador desactualizado quedaba automáticamente enganchado.

Otra manera es mandar virus por correo electrónico o usar memorias USB. Después es cuestión de esperar a que la gente pique. Una vez dentro, el virus descargará un programa y lo instalará: es el bot, el lazo entre el ordenador infectado y la red que permite su control remoto.

El botmaster, como un pequeño genio malvado o como un contador de la vieja mafia, lo observa todo desde su panel de control: ve en tiempo real las computadoras que entran, los que salen porque los han limpiado, las estadísticas por origen geográfico,  contraseñas y datos bancarios. A través del mismo panel, el botmaster manda a sus esclavos que realicen las tareas que consumen los recursos de sus dueños y de las empresas que dan el servicio de conexión.

Es una tarea que puede hacer una sola persona desde su casa, con un ordenador y una conexión normal, pero eso si, es un trabajo de 15 horas diarias. Nada de descansar, la maldad necesita esfuerzo.

La segunda generación de botnets es los programas que funcionan por web, más difíciles de espiar y desactivar. Las máquinas infectadas se conectan con el botmaster a través del protocolo HTTP. La tercera generación usa el protocolo P2P, sin nodos centralizados y, por tanto, casi imposible de clausurar.

En España también se cuecen habas: La red mariposa

Trece millones de ordenadores infectados y controlados por una red cibercriminal: Mariposa. Tenían datos de 800.000 personas de unos 190 países. La guardia civil española detuvo a tres personas, las investigaciones prosiguen, se investiga a un supuesto cuarto miembro  que residiría en Venezuela.

Lavar dinero… a través de Internet

Los detenidos blanqueaban el dinero que conseguían, entre otros métodos, al participar en partidas de póquer en línea, en partidas arregladas donde unos se dejaban ganar pero no pagaban la apuesta. Así, el ganador justificaba sus ingresos que en realidad no procedían del juego.

Como los cacharon

Al detectar la red se formó un grupo de trabajo integrado por Defence Intelligence, el Instituto Tecnológico de Georgia, Panda y fuerzas de seguridad de distintos países, la Guardia Civil española y el FBI. Una vez infiltrados en la red, llamó la atención que controlaban más de 13 millones de direcciones IP distintas. Empleaban la red para robar información y alquilar a terceros.

El 23 de diciembre, de forma coordinada, se cortó el acceso del botnet a los ordenadores. Los delincuentes intentaron recuperar el control del mismo y lanzaron ataques de denegación de servicio (envío masivo de peticiones de acceso que bloquean el sistema víctima) a Defence Intelligence y clientes suyos en Canadá. Gracias a un grave error de uno de ellos pudieron llegar a identificarlos: un día, uno de ellos olvidó emplear los habituales recursos para ocultar su dirección en Internet.

El 3 de febrero, el grupo DDP Team (Días de Pesadillas Team) fue detenido, integrado por F.C.R., de 31 años, o Netkairo y Hamlet1917 , J. B. R., de 25 años, Ostiator, de 30 años, Johny Loleante . Ellos no diseñaron la red, la compraron, lograban sus ganancias alquilando la red a otros delincuentes, aunque su principal fuente de beneficios estaba en el fraude publicitario. Redireccionaban los ordenadores infectados a publicidad de sus propias páginas por lo que cobraban a Adsense de Google.

Un portavoz del departamento de Justicia norteamericano considera que Mariposa es la mayor red de este tipo cerrada hasta ahora, “pero sólo se trata de la punta del iceberg”.

Ideas para un novela de ciencia ¿ficción?

Buscando información para el artículo me tropecé⁽²⁾ con la noticia de que el gobierno chino ha ordenado que todos los aparatos de computación que se vendan en su territorio, se les instale un software especial, que le permitiría bloquear el acceso a Internet o a ciertos  sitios. Como por ejemplo, Human Right Watch, que muchas veces ha criticado al gobierno por su falta de respeto a los derechos de sus propios ciudadanos.

Pero no acaba allí el caso, ese software podría contener códigos o sistemas para abrir “una puerta trasera”, lo que podría darle el control al sistema chino de unos 40 millones de computadoras.

Bien podríamos imaginar que en diez o veinte o cuarenta años, un primer ministro chino, presionado en una intensa lucha por los recursos (petróleo, zinc, hierro, granos básicos) y por el control de los mercados donde vender los productos (América Latina sería un lugar interesante para esta novela de espías), entonces este personaje presiona el botón rojo, y el departamento de guerrilla informática, utilizando las computadoras de toda la madre patria, lanza enormes cantidades de basura a la red y bloquea la red del enemigo… claro, eso mientras del otro lado, los agentes secretos repartidos por todo el mundo se conectan a través de canales restringidos y comienza a responder activando enormes bombas informáticas que dormían ocultas entre los chips cuyos diseños fueron robados.

Preguntas para antes de cenar

La información se obtuvo de publicaciones europeas (lo sé, soy fan del País), en los artículos se cita a México como una zona llena de botmaster. ¿Porqué? Lanzo algunos dardo que quizá den en el blanco.

1. quizá por nuestra cercanía con EU, lo que permite que los jóvenes del país estén al tanto de las últimas novedades en tecnología y programación.
2. el fracaso de nuestro sistema escolar para encausar a los inquietos, que pueden desarmar y reparar un dvd, un Xbox y romper los códigos de los videojuegos pero no pueden resolver ecuaciones de primer grado -hecho que yo atribuiría al que el maestro esta dando clases porque es primo del hermano de un amigo del líder del SNTE-.
3. porqué nuestras leyes no contemplan castigos ni penas para tales actividades, haciendo a nuestro país un lugar atractivo para tales actividades a los connacionales y a los extranjeros -gringos- que le encuentre gusto al delito informático.
4. la falta de seguridad en los programas que se distribuyen, y que a las empresas que los producen, les vale m…ç
5. el mundo es mundo y la bola seguirá rodando como el crimen inventando formas de ganarse la papa, y adaptándose a los circuitos donde se mueva la riqueza. Así que conforme crezca el comercio electrónico, las transferencias bancarias en la red y cualquier tipo de negocios desde, por y a través de Internet, vamos a ver cada ves más crímenes cibernéticos.

1. sin poder comprobarlo, me viene a la mente el ataque contra twitter por parte de algo llamado “ejército revolucionario iraní”, que sucede justo después de las protestas contra lo que parece ser un fraude electoral, organizadas en gran medida a través de medios electrónicos como twitter y los celulares. [↩]
2. http://gt.globedia.com/china-crear-mayor-botnet-mundo, http://www.elpais.com/articulo/sociedad/Legiones/zombis/elpepisoc/20100219elpepisoc_3/Tes, http://www.elpais.com/articulo/portada/Botnets/lado/oscuro/Internet/elpepisupcib/20100225elpcibpor_1/Tes, http://www.elpais.com/articulo/tecnologia/Cae/red/cibercriminal/Mariposa/controlaba/millones/ordenadores/zombis/190/paises/elpeputec/20100302elpeputec_8/Tes, http://es.wikipedia.org/wiki/Botnet [↩]

Tags: actualidad, China, guerra, internet, virus