La red española de ordenadores zombis era la más grande del mundo

El 23 de diciembre de 2009, mientras muchos ciudadanos estaban inmersos en las preparaciones de las fiestas navideñas, la Guardia Civil, en colaboración con el FBI y las empresas de seguridad informática PandaLabs y Defence Intelligence, quitaban el control a sus administradores de una red de ordenadores zombis que afectaba a 190 países de todo el mundo. El Instituto Armado asegura que es la mayor red de ordenadores zombis detectada en todo el mundo.

Según explicó Luis Corrons, director técnico de PandaLabs, el intento de uno de los detenidos de recuperar el control de la botnet y de vengarse, lanzando un ataque contra Defence Intelligence, fue el "error fatal" que llevó a las autoridades a identificar a los administradores, ubicados en Vizcaya, Murcia y A Coruña.

Los botmasters accedían a través de una red privada virtual (Virtual Private Network), que mantiene ocultas las direcciones IP que identifican los ordenadores conectados a internet. Sin embargo, los detenidos fueron incapaces de acceder a ella, ya que se había redirigido el control sobre la misma a unas direcciones DNS distintas a las que utilizaban.

"El detenido, cuando vio que no tenía acceso a la red de ordenadores zombis a través de su canal habitual, intentó conectarse a través del ordenador de su casa, lo cual dejó al descubierto su dirección IP, lo que llevó a su identificación y posterior detención", aseguró Corrons.

Tras negarles el acceso a los administradores, intentaron recuperar el control sobre la red, tiempo durante el cual se produjo "un importante ataque" de denegación de servicio –saturación– a la empresa de seguridad canadiense Defence Intelligence, primera en descubrir las actividades de la Botnet Mariposa. Según explica la Guardia Civil, el ataque "afectó seriamente" a un gran proveedor de acceso a internet y dejó sin conectividad durante varias horas a multitud de clientes, entre los que se encontraban centros universitarios y administrativos de Canadá.

El máximo responsable de la red, cuya identidad responde a las iniciales F.C.R., de 31 años, se hacía llamar a si mismo Netkairo o Hamlet1917 y fue detenido en Balmaseda (Vizcaya). Otro de los detenidos, J. B. R., de 25 años, se identificaba bajo el nick de Ostiator y es de Santiago de Compostela. El tercer detenido, J.P.R. de 30 años, se identificaba como Johny Loleante y residía en Molina de Segura, en Murcia.

Detención a tiempo

La extensión de la botnet (13 millones de ordenadores en 190 países) podía haber desembocado en actos de ciberterrorismo "muy superiores" a los realizados contra Estonia o Georgia el pasado año. Los datos obtenidos de la red de ordenadores infectados podían haber sido utilizados para vender datos personales y bancarios, saturación de servicios o envío masivo de spam, pero la detención se produjo antes de que se extendiera toda la red criminal.

"La detención llegó justo a tiempo, ya que aunque detectamos que se había alquilado la botnet durante un tiempo, el resto de información todavía no había sido revendida y extendida por internet masivamente, lo cual habría sido muy difícil de parar", declaró el jefe del departamento de Investigación de Delincuencia Económica y Tecnológica de la Benemérita, el teniente coronel José Antonio Berrocal.

Según indicó el responsable de la Guardia Civil, en los casos de ciberdelincuencia hay que investigar "hacia delante y hacia atrás" buscando el origen y la propagación de la infección, que se pueda dar en países distintos. Berrocal explicó que en las operaciones en la Red la colaboración entre países "es fundamental" y "por suerte" se puede obtener información de cualquier base de datos "sólo descolgando el teléfono", ya que hay muy buena relación con los responsables en otros países de delitos telemáticos y las distintas bases de datos de Interpol Europol y las del resto de América y Asia.

En el caso de las llamadas redes de ordenadores zombis o botnets el tráfico se datos se da entre varios individuos independientes y no entre un sólo usuarios. La persona que crea el malware para expandir la red a través de troyanos, los administradores de la red, y los usuarios últimos que compran los datos obtenidos por la red para realizar, por ejemplo, fraudes bancarios o de suplantación de identidad, son organizaciones totalmente distintas.

Los datos de tarjetas de crédito o de cuentas de mensajería instantánea se venden por paquetes o al detalle teniendo un valor de mercado según su posibilidad de explotación. En el caso de las tarjetas o cuentas bancarias el precio de venta sube o baja dependiendo del dinero que haya en ellas y en el de redes sociales o mensajería instantánea, normalmente utilizados para el envío de 'spam', según el potencial de la campaña de publicidad no deseada.