Tratar de recuperar su 'botnet' fue el "error fatal" de los administradores

Según explicó Luis Corrons, director técnico de PandaLabs, el intento de uno de los detenidos de recuperar el control de la 'botnet' y de vengarse, lanzando un ataque contra Defence Intelligence, fue el "error fatal" que llevó a las autoridades a identificar a los administradores, ubicados en Vizcaya, Murcia y A Coruña.

   Los 'botmasters' accedían a través de una red privada virtual (Virtual Private Network), que mantiene ocultas las direcciones IP, que identifican los ordenadores conectados a Internet. Sin embargo, los detenidos fueron incapaces de acceder a ella, ya que se había redirigido el control sobre la misma a unas direcciones DNS distintas a las que utilizaban.

   "El detenido cuando vio que no tenía acceso a la red de ordenadores 'zombis' a través de su canal habitual intentó conectarse a través del ordenador de su casa lo cual dejó al descubierto su dirección IP, lo que llevó a su identificación y posterior detención", aseguró Corrons.

   Tras negarles el acceso a los administradores, intentaron recuperar el control sobre la red, tiempo durante el cual se produjo "un importante ataque" de denegación de servicio --saturación-- a la empresa de seguridad canadiense Defence Intelligence, primera en descubrir las actividades de la BOTNET MARIPOSA.

   El ataque "afectó seriamente", según explica la Guardia Civil, a un gran proveedor de acceso a Internet y dejó sin conectividad, durante varias horas, a multitud de clientes, entre los que se encontraban centros universitarios y administrativos de Canadá.

DETENCIÓN A TIEMPO

   La extensión de la 'botnet', 13 millones de ordenadores en 190 países, podía haber desembocado en actos de ciberterrorismo "muy superiores" a los realizados contra Estonia o Georgia el pasado año.

   Los datos obtenidos de la red de ordenadores infectados podían haber sido utilizados para vender datos personales y bancarios, saturación de servicios o envío masivo de 'spam', pero la detención se produjo antes de que se extendiera toda la red criminal.

   "La detención llegó justo a tiempo, ya que aunque detectamos que se había alquilado la 'botnet' durante un tiempo, el resto de información todavía no había sido revendida y extendida por Internet masivamente, lo cual habría sido muy difícil de parar", declaró el jefe del departamento de Investigación de Delincuencia Económica y Tecnológica de la Benemérita, el teniente coronel José Antonio Berrocal.

   Según indicó el responsable de la Guardia Civil, en los casos de ciberdelincuencia hay que investigar "hacia delante y hacia atrás" buscando el origen y la propagación de la infección, que se pueda dar en países distintos.

   Berrocal explicó que en las operaciones en la Red la colaboración entre países "es fundamental" y "por suerte" se puede obtener información de cualquier base de datos "sólo descolgando el teléfono" ya que hay muy buena relación con los responsables en otros países de delitos telemáticos y las distintas bases de datos de Interpol Europol y las del resto de América y Asia.

   En el caso de las llamadas redes de ordenadores 'zombis' o 'botnets' el tráfico se datos se da entre varios individuos independientes y no entre un sólo usuarios. La persona que crea el 'malware' para expandir la red a través de troyanos, los administradores de la red, y los usuarios últimos que compran los datos obtenidos por la red para realizar, por ejemplo, fraudes bancarios o de suplantación de identidad, son organizaciones totalmente distintas.

   Los datos de tarjetas de crédito o de cuentas de mensajería instantánea se venden por paquetes o al detalle teniendo un valor de mercado según su posibilidad de explotación. En el caso de las tarjetas o cuentas bancarias el precio de venta sube o baja dependiendo del dinero que haya en ellas y en el de redes sociales o mensajería instantánea, normalmente utilizados para el envío de 'spam', según el potencial de la campaña de publicidad no deseada.