Inicio

Lo que las botnets esconden

Lun, 19 de Abril del 2010 by shadowjah   Tags:

Típica botnet con zombies
Imagen tomada de cisco.com

Mercè Molist
Febrero ha sido un mes prolífico para las "botnets" o redes de ordenadores "zombie". Han pasado bruscamente de 4.000 a 6.000 en todo el mundo, según la Fundación Shadowserver, siguiendo una tendencia al alza que hace años que dura. Se usan para rentables negocios sucios, incluído el ataque y espionaje contra empresas, como la "botnet" que ha descubierto la consultora NetWitness, con más de 74.000 ordenadores bajo su control. Pero, ¿quién las maneja desde la sombra?

Una "botnet" se crea infectando ordenadores sin que sus propietarios lo sepan. Cada máquina reclutada por el virus se pone en contacto sigilosamente con el criminal a la espera de sus órdenes. Y así es como los investigadores han descubierto una forma de espiar estas redes: hacerse pasar por ordenadores infectados que acceden a ellas. Si hay suerte, incluso consiguen hablar con quienes las controlan.

Así conocimos a Moudi y Arz, dos genios del lado oscuro de la red. Nos citan para hablar por Messenger pero, antes, debemos llamar a un número de teléfono internacional y responder algunas preguntas que les demostrarán nuestra identidad. Después de la llamada y ya más confiados, explican que tienen 21 años y viven en Líbano. Se conocieron en un remoto chat y, un día, Arz propuso a Moudi trabajar juntos.

Desde entonces se dedican a las "botnets" y el cibercrimen. Ellos lo llaman su forma de divertirse: "Tengo bajo control estable miles de ordenadores, pero la mayoría ni los uso, los asalté para demostrar mi poder", explica Arz, quien a lo largo de la charla negará cobrar por ello: "La policía no puede hacerme nada si no lo hago por dinero y, además, no tienen idea de lo que tengo".

Son muy pocos los operadores de "botnets" que las fuerzas de la ley pueden detener. Esconden sus localizaciones reales saltando a través de ordenadores comprometidos, de forma que la dirección que aparece en los registros es la de esas máquinas y no la suya. También son expertos en ocultar, dentro de los ordenadores, los programas que les permiten controlarlos, llamados "bots".

Es un mundo cada día más complejo, donde actúan desde grandes organizaciones mafiosas hasta pequeños grupos de técnicos como el que forman Arz, Moudi, un amigo rumano y otro al que llaman su aprendiz. La función de estos técnicos es crear los virus e infectar las páginas web que luego infectarán a sus visitantes; crear los programas para montar y gestionar las "botnets", y administrarlas (quien lo hace recibe el nombre de "botmaster").

Los técnicos pueden trabajar dentro de una organización o ir por libre. En este caso, venden o alquilan sus "botnets" a empresas que quieran mandar correo basura, bombardear o espiar a otras empresas, robar datos bancarios. "Un botmaster que se dedique a mandar spam gana entre 50.000 y 100.000 dólares al año", asegura Bernardo Quintero, de Hispasec Sistemas.

También pueden vender o alquilar sus 'packs' de webs infectadas o programas para crear "botnets" a otros que quieran construir la suya. El precio de un "bot" (programa para controlar los ordenadores de una "botnet") en el mercado negro es de unos pocos euros, 1.000 dólares si es indetectable para los antivirus y más de 3.000, los sofisticados.

Hay incluso best-sellers, como el 'kit' Zeus, que permite crear una "botnet" personalizada: "Un grupo lo desarrolló, lo vendió y en la actualidad puede haber cientos o miles de botnets que lo usan", explica Quintero. Zeus se dio a conocer en 2007 y actualmente hay variantes del mismo, como el troyano Kneber, con el que se creó la "botnet" de 74.000 ordenadores esclavos que ha identificado NetWitness.

El problema, dice David Barroso, de S21sec, es que en este mercado "existe confianza cero entre vendedor y comprador, siempre hay el miedo de que el programa tenga una puerta trasera y se aprovechen de tu trabajo". Por eso, las grandes organizaciones prefieren tener técnicos propios que crean sus programas.

Pero la originalidad en este campo no sale de aquí sino de los grupos pequeños como el de Arz y Moudi, a los que Quintero califica de élite porque "desarrollan desde cero toda la botnet, desde los binarios y protocolos hasta los paneles de control. Son los que realmente innovan y entre ellos hay muy buenos expertos".

El experto en virus Ero Carrera afirma: "Hay muy buenos ingenieros en países donde no hay industria y el cibercrimen es su forma de ganar dinero". Arz lo corrobora: "Aquí la vida no es tan simple, aquí Internet apesta, el gobierno apesta, el trabajo apesta y a nadie le importa. Por suerte tenemos una cosa que nos gusta".

Las edades de estos jóvenes técnicos suelen estar entre los 16 y 25 años, explica Barroso. Actúan desde tres puntos geográficos: Brasil/México, China y Europa del Este. España es el campo de acción de estos últimos, aunque "también hay algunos "botmasters" españoles", asegura Quintero.

Las organizaciones los reclutan en los chats o "en foros privados donde ellos mismos venden sus códigos maliciosos", explica Barroso. Los clientes, que buscan a alguien que mande "spam" o bombardee a la competencia, usan la misma forma de contacto: "Una compañía que lo necesite sabrá cómo encontrarte en el chat", explica Arz.

Para las empresas que no quieran buscar a informáticos en oscuros chats, hay también "comerciales" que alquilan los servicios de las "botnets". Arz dice tener amigos dedicados a esto pero, asegura, "trabajan por su cuenta". Su pequeño grupo, dice, vive alejado del lado más comercial.

"Algunas organizaciones tras las botnets son mafias que sólo quieren dinero", afirma Arz. Estas mafias suelen manejar las redes más grandes, con decenas de miles de ordenadores esclavos; como Pushdo, en activo desde 2007 y responsable del envío de casi 8.000 millones de correos basura al día, según Trend Micro; o la red descubierta por NetWitness, que ha espiado a 2.400 empresas de todo el mundo.

Las grandes organizaciones las lleva gente de mayor edad, dedicada sobre todo a la gestión y finanzas. Su estructura básica está jerarquizada: una o más personas escriben los programas maliciosos, otras asaltan e infectan las webs, otras controlan la o las "botnets" y, ya fuera del ámbito técnico, hay "comerciales" y responsables del manejo del dinero.

La creciente complejidad de estas redes se centra sobre todo en el aspecto financiero: "Hay personas que buscan y gestionan las "mulas" (quienes transfieren el dinero robado a las cuentas de los criminales) y otras encargadas de vender o alquilar los datos, las máquinas y webs infectadas", enumera Barroso. Sigue Quintero: "Otros se dedican a la venta o explotación fisica de números de tarjetas y al blanqueo del dinero".

Para Arz, las "botnets" son un trabajo fácil porque "la red es insegura en un 98%, pero la gente sólo tiene la culpa de un 10%, el resto es porque las empresas hacen programas inseguros". Y asegura sentir cierta pena por sus víctimas: "La mayor parte de veces me gusta lo que hago, pero otras me pongo en el sitio del usuario al que estoy asaltando y me doy cuenta de lo malo que es que la empresa en la que confías y usas sus programas te esté poniendo en peligro".

 

Copyright 2009-2010 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital and no commercial medium, provide this notice is preserved.

Trackback URL for this post:

http://shadowjah.com/trackback/lo_que_las_botnets_esconden
»