se dedicaban a robar datos bancarios

Una empresa española destapa una red mundial de ciberestafadores

En una oficina de Madrid se detectó por primera vez Dridex, un virus informático que estaba haciendo estragos en las cuentas bancarias de cientos de miles de usuarios de todo el mundo

Foto: (Foto: Reuters)
(Foto: Reuters)

Alrededor de 25 empleados, todos ellos informáticos, no pierden detalle de las pantallas de sus respectivos ordenadores, pendientes de hallar alguna anomalía que refleje un presunto comportamiento de 'malware'. Delante de nosotros, justo en la pared del fondo, dos paneles gigantes reflejan una imagen proyectada de un mapa del mundo y multitud de gráficos que analizan, en tiempo real, los miles de dispositivos de los clientes de esta empresa afincada en el madrileño municipio de Alcobendas. A ambos lados se encuentran cuatro televisores más, encargados de avisar si se produce algún tipo de alerta.

Nos encontramos en el Centro de Operaciones de Seguridad (SOC) de S21 Sec, una compañía española especializada en ciberseguridad y fundada por Xabier Mitxelena (actual CEO) y Miguel Fernández. Estos dos emprendedores empezaron en el año 2000 a ofrecer servicios gestionados integrales que van desde el análisis de la estructura empresarial hasta la vigilancia durante las 24 horas del tráfico de datos desde su natal San Sebastián. Hoy ya cuentan con oficinas en EEUU, México, Reino Unido, Portugal, Barcelona, Pamplona y Madrid.

Fue precisamente en esta última donde se detectó Dridex, un virus informático que estaba haciendo estragos en las cuentas bancarias de cientos de miles de usuarios de todo el mundo y que traía de cabeza a los mismísimos Europol y FBI.

El volumen de fraude causado ha sido extremadamente elevado, superando los 344.721 equipos infectados en más de 195 países

"No fue una casualidad. Detectamos que algo se estaba comportando como Cridex, pero no era Cridex. Fue en ese momento cuando comenzamos a investigar por nuestra cuenta creando una firma específica". El que habla es David Ávila Parodi, Manager de eCrime de S21 Sec o, para que nos entendamos, el que gestiona el equipo de analistas que abarrota la sala.

S21 Sec tiene una plataforma de análisis de 'malware' que todos los días examina mas de 40.000 virus distintos. Lo hacen principalmente para comprobar si pueden afectar a algunos de sus clientes. Pero esta plataforma 'made in Spain' les permite detectar no sólo troyanos conocidos, sino también nuevas amenazas.

Un troyano que roba cuentas bancarias

La banda de ciberdelincuentes desmantelada estaba siendo investigada también por Europol y el FBI. (Foto: Reuters)
La banda de ciberdelincuentes desmantelada estaba siendo investigada también por Europol y el FBI. (Foto: Reuters)

Desde que el troyano Zeus hiciera su aparición en 2006 y el cibercrimen evolucionara hacia el modelo de 'malware as a service' que podemos encontrar hoy en día, se ha observado una tendencia creciente en el número de virus que infectan a usuarios en todo el mundo. En concreto, Francia, Reino Unido y España han sido, desde hace cuatro años, unos de los blancos preferidos de los delitos cibernéticos en Europa.

Principalmente, son los troyanos de carácter bancario los que constituyen una mayor amenaza para los usuarios. Entre ellos destaca Dridex, que ha hecho su aparición estelar en la escena cibernética durante los últimos meses.

Dridex es una evolución del malware Cridex, que a su vez se basa en el troyano ZeuS, y que hizo su aparición a finales de 2014 a través de una campaña de 'spam' que generó más de 15.000 correos electrónicos cada día. El volumen de fraude ha sido extremadamente elevado, superando los 344.721 equipos infectados en más de 195 países. Francia y Reino Unido han sido los más afectados con un 50% del total.

Su forma de actuar es aparentemente sencilla: se hace con las credenciales de los usuarios cuando intentan conectarse a la sesión del banco y después intenta robarles. Según datos del FBI, se puede atribuir unas pérdidas de al menos 10 millones de dólares a ataques de este virus sólo en EEUU, y una empresa española ha sido ahora la encargada de desenmascarar a sus responsables.

"Lo que hicimos fue crear una firma específica en nuestra plataforma de análisis con el propósito de crear reglas que nos permitieran identificar el 'malware' que se estaba ejecutando. Desde ese momento percibimos que el numero de muestras estaba aumentando", añade Parodi.

Cómo llegar del virus al 'hacker'

La mayoría de 'malware' se vende para que lo utilice cualquiera a cambio de un módico precio. Dridex no. En este caso, este código malicioso era utilizado por la propia banda de cibercriminales que se dedicaba a explotarlo, lo que para S21 Sec fue una ventaja.

(Imagen: Reuters)
(Imagen: Reuters)

"No es lo mismo investigar una amenaza en forma de miles de 'bots' que otra gestionada únicamente por unos pocos usuarios. Cuando nos dimos cuenta de esta peculiaridad realizamos un seguimiento de todas las muestras de Dridex que habíamos detectado, con el propósito de descubrir desde dónde se conectaba. Para eso generamos un mapa de toda su estructura para ver en qué países estaba y hacernos una idea de cuál era su dimensión exacta".

Lo que se encontraron fue una mafia al mando de cientos de servidores diferentes robando datos a miles de usuarios. Cada vez que un internauta infectado introducía su contraseña en el ordenador lo que hacía era enviarla a cada uno de ellos, y había mas de 800.

"En ese momento nos dimos cuenta de que por nuestros propios medios no íbamos a ser capaces de neutralizarlo" reconoce David Ávila Parodi. Los encargados de hacerlo fueron la Europol, el FBI y la Guardia Civil, con la ayuda de esta compañía española, quienes en una operación conjunta lograron detener recientemente en Chipre al líder de esta banda cibercriminal, de nacionalidad moldava, y que ya ha sido acusado formalmente de conspiración criminal.

Ante un email con 'phishing' el procedimiento es rastrear la IP. Es como un rompecabezas. Puedes empezar en China y acabar en Rusia

A pesar de que no han podido dar detalles de la operación, fuentes de la Guardia Civil han explicado a 'Teknautas' que "el 80% de las investigaciones de este tipo de delitos telemáticos se realizan rastreando las IP de los usuarios. El procedimiento a seguir ante un email con 'phishing' es rastrear la IP. Si te lleva a un país extranjero lo que tienes que hacer es pedir el listado al servidor del país propietario del nodo desde donde se ha enviado. Es como un rompecabezas. Puedes empezar en China y acabar en Rusia. Cada vez que entra y sale de un país cambia de IP, por lo que tienes que ir solicitando las de entrada y salida mediante comisiones rogatorias a los distintos órganos judiciales"

Una vez localizado el punto de salida original del virus sólo queda esperar a que repitan. "Puede ser una casa o una cafetería. El problema viene cuando hay países que no colaboran. En la mayoría de estados de África por ejemplo no se investigan los delitos telemáticos, algo que están aprovechando muchos ciberdelincuentes", concluyen.

Tecnología

El redactor recomienda

Escribe un comentario... Respondiendo al comentario #1
1comentario
Por FechaMejor Valorados
Mostrar más comentarios