| Artículos | 01 NOV 2005

Cibercrimen (II): ejercitos de zombis para robar

Tags: Histórico
Erik Larkin.
Redes de robots construidas con software malicioso trabajan al servicio de tramas ilegales de extorsión y espionaje.

A finales de los años 90 grupos de adolescentes deseosos de demostrar sus conocimientos informáticos que se encontraban en las salas de chat de IRC, se dedicaban a tirar abajo servidores con pequeños programas desarrollados para este fin, o para luchar entre ellos. Estos programas son conocidos como “bots”, abreviatura de robots: programas creados para atacarse entre sí y para atacar servidores. Hay bots de IRC que permanecen activos en el canal como un usuario más a la espera de un comando o una orden que los ponga en marcha. Incluso los hay que protegen los canales de chat de intrusos o de contenidos indeseables.

¿Cómo funcionan las redes de bots?
En general, un bot es un programa que actúa de forma “semiautónoma” en respuesta a comandos enviados por humanos. No tienen por qué ser ilegales o dañinos necesariamente. Por ejemplo, GoogleBot rastrea la web con el propósito de mejorar su motor de búsqueda.
Pero los bots dañinos, una vez instalados en los PC de inocentes usuarios, se conectan al IRC o a sitios web, o incluso a una red P2P y esperan los comandos de sus “controladores”. Cuando llegan estos comandos, los ejecutan en sus involuntarios “anfitriones” permitiendo que hackers maliciosos consigan el control completo de esas máquinas. Los PC infectados se llaman zombis.
Cuando un bot se expande por un gran número de ordenadores, la red resultante (botnet) se convierte en una enorme fuente de capacidad de proceso y de acceso a Internet de la que el propietario del bot puede abusar a su antojo. Así que lo que en un principio fue un juego de adolescentes ávidos de atención en las salas de chat se ha convertido en una herramienta digital que los delincuentes usan para robar millones de euros en todo el mundo.
El principal objetivo de estos infiltrados es conseguir dinero, y en muchos aspectos funcionan como un negocio legal. Por ejemplo, hay empresarios que cobran entre 2.000 y 3.000 dólares por “alquilar” ejércitos de 20.000 ordenadores zombis, según un mensaje publicado el pasado mes de junio en SpecialHam.com, un foro electrónico para hackers.

Más sofisticación
El cibercrimen organizado está convirtiéndose en el origen de una fuente cada vez más eficiente de complejos ataques con botnets. En McAfee aseguran haber registrado casi 13.000 casos de bots “secuestradores” durante el segundo trimestre de 2005, frente a los 3.000 del año anterior. De hecho, transformar un PC normal en un zombi se ha convertido en algo tan habitual que compañías como CipherTrust (fabricante de software antispam y de seguridad para e-mail) publica una actualización (llamada ZombieMeter, o “zombímetro”) cada hora sobre las actividades zombis a nivel mundial en www.ciphertrust.com/resources/statistics/zombie.php.
Crear una botnet es fácil: el futuro controlador simplemente libera el bot (o el troyano que lo instala) en Internet y espera a ver cuántos ordenadores consigue infectar. Estas botnets pueden realizar ataques distribuidos de denegación de servicio (DDoS), que sobrepasan la capacidad de respuesta de un sitio web inundándolo de datos sin sentido para provocar su bloqueo. Durante un ataque DDoS cada ordenador infectado por un bot envía tantos datos como puede al sitio objetivo. Si multiplicamos estos por los miles de PC zombis que forman una red de bots, el sitio web objetivo del ataque deberá dedicar todos sus recursos a gestionar el flujo de datos del ataque y, por tanto, no podrá hacer nada más.
Los delincuentes utilizan los ataques DDoS como parte de un proceso de extorsión: pueden llegar a pedir hasta 50.000 dólares a una empresa a cambio de detener el ataque. Algunas compañías poco escrupulosas los usan para atacar a su competencia. Pero ¿qué puede hacer la empresa víctima de un ataque de este tipo? Manuel Amutio, director general técnico del Grupo Arsys Internet, afirma que existen distintos tipos de ataques DDoS, “por tanto, resulta crucial determinar el tipo y tamaño del ataque (número de bots y tráfico generado por la botnet)”. Para conseguirlo, en Arsys colocan filtros en todos los routers de la red, se utilizan técnicas avanzadas de cortafuegos y detección de intrusos “y se automatizan los procedimientos para actuar con la mayor rapidez posible.” Eugene Kaspersky, fundador de Kaspersky Labs, añade que las empresas pueden “dedicar su personal de TI a analizar el tráfico DDoS para buscar marcas únicas que permitan identificar su origen. Después se configura el cortafuegos para que rechace todas esas peticiones”.
Pero las botnets tienen muchos otros usos. Empezaron a surgir como herramientas para ganar dinero cuando los spammers descubrieron que podían usarlas para enviar mensajes de e-mail saltándose las “listas negras” y otras medidas anti-spam, según los expertos.
El robo de identidad es otra de las actividades favoritas de sus creadores: utilizan equipos de zombis para enviar spam con la esperanza de obtener información utilizando el phishing.

Cómo se controla una botnet
Una característica común de las botnets es que pueden ser controladas desde una ubicación central. Siguiendo sus raíces históricas, muchos bots se conectan a un canal de chat IRC para recibir sus comandos.
Pero algunas variantes siniestras utilizan otros medios de control, entre ellos las redes de intercambio de archivos P2P como EDonkey (www.edonkey2000.com) o Gnutella (www.gnutella.com), para enviar mensajes de control. Estas son las más peligrosas porque son mucho más difíciles de seguir y bloquear.

Malware con objetivo definido
Por otro lado, algunos delincuentes prefieren elegir un objetivo particular y utilizan un procedimiento a medida sin botnets. En un ataque que se realizó entre marzo y abril de este año se engañaba a los servidores de nombres de dominio (DNS) –que guían el tráfico de Internet- para que enviasen todo su tráfico a un servidor controlado por los atacantes. La compañía IDefense estimó que se habían visto implicados unos 3.000 DNS de grandes compañías, entre ellas un par con más de 8.000 empleados cada una. Cualquier usuario de esas empresas afectadas que tratase de visitar cualquier página web acababa visitando la web del atacante, donde unos scripts instalaban sigilosamente unos 80 MB de adware y spyware en cualquier ordenador que tuviera una versión antigua de Internet Explorer.
Como se instalaba una gran cantidad de malware, su presencia se hizo patente rápidamente entre los usuarios infectados, que veían cómo sus sistemas se ralentizaban y sus pantallas se llenaban de anuncios emergentes o pop-ups. Por tanto, la respuesta de los departamentos de TI fue rápida, y las empresas afectadas pudieron limpiar en seguida los PC de sus empleados. Sin embargo, algunos expertos han teorizado sobre la posibilidad de que ese ataque fuera simplemente un divertimento para mantener ocupados a los infectados mientras otro programa malicioso no detectado por los antivirus se instalaba sigilosamente. Según esta teoría, ese pequeño programa malicioso podría haber sido diseñado para robar información dentro de un plan de espionaje industrial cuidadosamente construido, una amenaza cada vez mayor para c

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información