MADRID, 3 Mar. (Portaltic/EP) -
El 23 de diciembre de 2009, mientras muchos ciudadanos estaban inmersos en las preparaciones de las fiestas navideñas, la Guardia Civil, en colaboración con el FBI y las empresas de seguridad informática Pandalabs y Defence Intelligence, quitaban el control a sus administradores de una red de ordenadores 'zombis' que afectaba a 190 países de todo el mundo.
Según explicó Luis Corrons, director técnico de PandaLabs, el intento de uno de los detenidos de recuperar el control de la 'botnet' y de vengarse, lanzando un ataque contra Defence Intelligence, fue el "error fatal" que llevó a las autoridades a identificar a los administradores, ubicados en Vizcaya, Murcia y A Coruña.
Los 'botmasters' accedían a través de una red privada virtual (Virtual Private Network), que mantiene ocultas las direcciones IP, que identifican los ordenadores conectados a Internet. Sin embargo, los detenidos fueron incapaces de acceder a ella, ya que se había redirigido el control sobre la misma a unas direcciones DNS distintas a las que utilizaban.
"El detenido cuando vio que no tenía acceso a la red de ordenadores 'zombis' a través de su canal habitual intentó conectarse a través del ordenador de su casa lo cual dejó al descubierto su dirección IP, lo que llevó a su identificación y posterior detención", aseguró Corrons.
Tras negarles el acceso a los administradores, intentaron recuperar el control sobre la red, tiempo durante el cual se produjo "un importante ataque" de denegación de servicio --saturación-- a la empresa de seguridad canadiense Defence Intelligence, primera en descubrir las actividades de la BOTNET MARIPOSA.
El ataque "afectó seriamente", según explica la Guardia Civil, a un gran proveedor de acceso a Internet y dejó sin conectividad, durante varias horas, a multitud de clientes, entre los que se encontraban centros universitarios y administrativos de Canadá.
DETENCIÓN A TIEMPO
La extensión de la 'botnet', 13 millones de ordenadores en 190 países, podía haber desembocado en actos de ciberterrorismo "muy superiores" a los realizados contra Estonia o Georgia el pasado año.
Los datos obtenidos de la red de ordenadores infectados podían haber sido utilizados para vender datos personales y bancarios, saturación de servicios o envío masivo de 'spam', pero la detención se produjo antes de que se extendiera toda la red criminal.
"La detención llegó justo a tiempo, ya que aunque detectamos que se había alquilado la 'botnet' durante un tiempo, el resto de información todavía no había sido revendida y extendida por Internet masivamente, lo cual habría sido muy difícil de parar", declaró el jefe del departamento de Investigación de Delincuencia Económica y Tecnológica de la Benemérita, el teniente coronel José Antonio Berrocal.
Según indicó el responsable de la Guardia Civil, en los casos de ciberdelincuencia hay que investigar "hacia delante y hacia atrás" buscando el origen y la propagación de la infección, que se pueda dar en países distintos.
Berrocal explicó que en las operaciones en la Red la colaboración entre países "es fundamental" y "por suerte" se puede obtener información de cualquier base de datos "sólo descolgando el teléfono" ya que hay muy buena relación con los responsables en otros países de delitos telemáticos y las distintas bases de datos de Interpol Europol y las del resto de América y Asia.
En el caso de las llamadas redes de ordenadores 'zombis' o 'botnets' el tráfico se datos se da entre varios individuos independientes y no entre un sólo usuarios. La persona que crea el 'malware' para expandir la red a través de troyanos, los administradores de la red, y los usuarios últimos que compran los datos obtenidos por la red para realizar, por ejemplo, fraudes bancarios o de suplantación de identidad, son organizaciones totalmente distintas.
Los datos de tarjetas de crédito o de cuentas de mensajería instantánea se venden por paquetes o al detalle teniendo un valor de mercado según su posibilidad de explotación. En el caso de las tarjetas o cuentas bancarias el precio de venta sube o baja dependiendo del dinero que haya en ellas y en el de redes sociales o mensajería instantánea, normalmente utilizados para el envío de 'spam', según el potencial de la campaña de publicidad no deseada.
