Desde hace ya un tiempo todos los que trabajan en la industria de la lucha contra el malware parecen estar de acuerdo en que se acabó el romanticismo. ¿Romanticismo? Sí, esa época en la que los virus y los troyanos estaban creados por un autor o un grupo reducido y cuyo único objetivo era el destrozar el ordenador para dejar claro que puede hacerlo o tener controlado su PC con el único deseo de pasar un buen rato. Hoy en día la cosa está un pelín más difícil.

Alguna vez hemos ido comentando en un taxi cómo está el tema de la industria de robar dinero y, al final del viaje, el taxista, con los ojos inyectados en preocupación ha dicho: “Oigan, disculpen, yo uso el Banco Pepito por Internet, ¿no me robarán el dinero, verdad?.” A lo que le hemos contestado que por supuesto que no, que tranquilo, que… Quizá teníamos prisa y no podíamos sentarnos a explicarle todas las precauciones que debe tomar para intentar mitigar la amenaza. 

troyanoConozca a su enemigo

Sí, es su enemigo, lo quiera o no le va a perjudicar de una u otra manera, así que más le vale que sepa cómo actúa. Si piensa que “es que hay que ser muy tonto para caer en las estafas” es que es una víctima propicia.

El “phishing” basado en correos escritos en muchos casos utilizando un traductor automático para decirle que “Garche esta ancla”. Fueron sólo las primeras apariciones de lo que se iba a convertir en una gran industria de generación de herramientas y mecanismos para robar dinero, de los que los troyanos bancarios, con cien mil variaciones y mutaciones, son el máximo exponente tecnológico.

Sí, ya hay que hablar de una industria detrás, una gran maquinaria de personas y técnicos que buscan la forma de tomar control de su ordenador pero sin molestarle. Ya se ha pasado esa época en la que querían hacerle daño a su ordenador: no quieren que su procesador de textos favorito deje de funcionar, no quieren que no pueda jugar, no quieren que no pueda navegar por Internet. No, al contrario, son como el Venom de Spiderman, quieren vivir con usted, en su ordenador, ser parte de su máquina, su dirección IP, su proveedor de Internet y, por supuesto, sus cuentas bancarias. El daño no se lo quieren hacer al ordenador, se lo quieren hacer a usted. 

Fuego purificador

Para entender cómo funcionan los troyanos bancarios hoy en día lo primero que tiene que preguntarse es: ¿usted cuándo vas al médico? ¿Va periódicamente? ¿O sólo cuando le duele algo? Seguro que podemos mirar en nuestra agenda y responder a esta pregunta fácilmente. La mayoría sólo vamos al médico cuando nos duele algo. No somos de revisiones anuales, semestrales o trimestrales dónde nos hagan una revisión completa. Con nuestro ordenador sucede lo mismo: ¿va a buscar algún troyano en su equipo cuando no tiene ningún síntoma? “Mi equipo va bien, no me hace nada raro, ergo estoy seguro” es una reflexión no del todo cierta y que sólo será verdad (y nunca comprobable al cien por cien) si ha tomado todas las precauciones necesarias.

Los fabricantes de malware buscan evitar que su ordenador vaya al médico, que note usted su presencia en el ordenador y, lo que es aún peor, que aplique el famoso “fuego purificador”; es decir, que reinstale su equipo completamente. Algo que no gusta nada a los troyanos bancarios.

troyanoGrano no hace granero…

¿Para qué quieren vivir con usted en su máquina? La primera y más fácil respuesta a esto es que quieren estar en su máquina para grabar sus acciones cuando se conecta a un banco y así robar sus credenciales. No, no va a estar seguro ni aunque la contraseña no se vea, ni aunque se use un teclado virtual, ni aunque ese teclado virtual vaya cambiando aleatoriamente la posición de los números cada vez, ni aunque aparezca un candadito de seguridad autenticando el servidor.

Los troyanos bancarios están preparados para grabar las pulsaciones del teclado en el ordenador o para grabar la zona de pantalla donde se hecho clic cada vez; por lo tanto, siempre van a saber qué acciones hemos tomado cuando nos enfrentamos a una aplicación web bancaria.

Una vez recogida esta información, ésta es transmitida hasta un servidor controlado donde se van almacenando los datos de las cuentas bancarias robadas. Hoy en día, los sistemas de almacenamiento son cada vez más elegantes, siendo controlados por paneles de control que clasifican directamente las cuentas robadas por países y bancos en función de las direcciones IP en las que han sido robados.

Esto es muy importante, ya que las entidades bancarias tienen sistemas de alerta cuando una cuenta está realizando movimientos fuera de su perfil de uso. Es decir, si una cuenta siempre se usa desde Francia y de repente se empieza a utilizar desde Corea entonces saltan las alarmas en los sistemas de los bancos.

Sacar la pasta

Una vez que se tienen las cuentas robadas y clasificadas, ¿cómo se accede al dinero? Esto es una industria cada vez más profesional y en muchos casos son gente distinta. Por un lado, la gente que roba las credenciales bancarias se las vende a mafias que van a realizar la extracción del dinero.

Para sacar el dinero lo primero es sacarla desde el propio país; es decir, si vamos a robar dinero en cuentas en España se tiene que hacer desde un ordenador en la red de España. Para ello, los troyanos vienen configurados para permitir que el “amo” tome el control de la máquina y pueda realizar las transferencias desde un ordenador situado en España. Así se evitan el uso de proxys anónimos que los bancos los tienen marcados en blacklists (listas negras). Es suficiente con entrar en una máquina de una víctima en el país donde se va a robar el dinero y desde ella realizar cierto número de transacciones. Luego se coge otra y otra hasta que se roba en todas las cuentas.

Pero… ¿a qué cuenta se envía? Si