Así se desmantela una red de ordenadores zombis (y se protege a las víctimas)

Aunque llevamos dos décadas padeciéndolas, no solo ha sido imposible acabar con ellas, sino que además se han ido refinando con el tiempo. El Instituto Nacional de Ciberseguridad (Incibe) detecta diariamente entre 200.000 y 400.000 direcciones IP infectadas por redes de ordenadores zombis que permiten al atacante controlar esas máquinas de forma remota. Según el FBI, unos 500 millones de ordenadores son infectados cada año por ‘software’ malicioso y entran a formar parte de alguna ‘botnet’.

TE PUEDE INTERESAR

La mujer robot que ha enamorado a millones de humanos en China

Lucía Caballero

Eso sí, de vez en cuando nos llega la buena nueva de que una operación policial —casi siempre coordinada a nivel internacional—, en la que ha puesto su granito de arena alguna empresa de seguridad, ha conseguido desmantelar una peligrosa ‘botnet’ que pretendía capturar tus contraseñas y datos personales o utilizar tu ordenador para enviar ‘spam’, propagar virus o echar abajo una web.

El año pasado acabó con la interrupción de Dorkbot, una ‘botnet’ que infectó a más de un millón de ordenadores de 190 países, gracias a una iniciativa dirigida por Europol, Interpol y el FBI, con participación de la Policía Nacional española, y en la que también colaboraron ESET y Microsoft. Ahora bien, ¿qué ocurre exactamente en esas operaciones? ¿Se acaba para siempre con la ‘botnet’ o los zombis reviven? ¿Qué ocurre si mi ordenador estaba entre los infectados con ‘software’ malicioso?

De percatarse de la ‘botnet’ al desmantelamiento

No suelen ser las fuerzas policiales las que se percatan de la existencia de las ‘botnets’, sino las empresas de seguridad. En ocasiones, son los propios clientes de la compañía los que perciben una anomalía y, en otras, el propio ‘software’ de la empresa detecta que uno o varios usuarios se han intentado conectar a un IP o a un dominio sospechoso.

“Es como si dijéramos un mal vecindario, denegamos esa petición, de forma que no llegaría la conexión, pero a partir de esa petición sabemos que ocurre algo”, explica David Sancho, investigador de ‘malware’ en Trend Micro, que también colabora con agencias policiales en el desmantelamiento. “Analizamos, hacemos ingeniería inversa y podemos ver que [el ordenador] está preparado para recibir órdenes, que está a la escucha”, señala Luis Corrons, director técnico de PandaLabs.

Estas compañías analizan todo tipo de ‘malware’ a diario, de ahí que puedan detectar otros ordenadores infectados con el mismo código maligno en otros lugares. Entonces comienzan a investigar cómo se comunican con el ‘bot herder’ (el ordenador pastor), que se encargará de proporcionar las instrucciones, o cómo están configurados los centros de mando y control de la red. Algunas empresas, cuando disponen de la suficiente información, la comparten con otras organizaciones y fuerzas de seguridad que darán la orden para comenzar el desmantelamiento. Al margen de ese proceso, las firmas que detecten esa actividad maliciosa se apresurarán a proteger los ordenadores de sus clientes. “Cualquier ‘botnet’ de la que yo me entere, mucho antes de que esté desmantelada, tengo la obligación de añadirla a mis ficheros y proteger a mis clientes”, detalla Sancho.

Para ‘romper’ una ‘botnet’ no es necesario desenmascarar siquiera al cibercriminal que opera en la sombra, sino que hay que hacerse con las riendas de los centros de mando y control, una labor para la que las fuerzas policiales se coordinan con las empresas de ‘hosting’ que albergan los servidores. Muchas veces los ciberdelincuentes se decantan por los de China o Rusia, de forma que se complique la coordinación de las autoridades.

Aunque no hay un único método para derribar estas ‘botnets’, que las fuerzas de seguridad colaboren para controlar todos los servidores al mismo tiempo es especialmente importante para el éxito de la operación. “Con un servidor que escape del control es suficiente para que quien controle dicha red pueda montar nuevos servidores y mandar la nueva configuración, echando por tierra el trabajo realizado”, señala Corrons. “Es como una especie de hidra: si cortas una cabeza da igual, porque las otras siguen vivas y es como si no hubieras hecho nada”, ejemplifica este experto.

Es como una especie de hidra: si cortas una cabeza da igual, porque las otras siguen vivas y es como si no hubieras hecho nada

En 2010, PandaLabs colaboró para que a la ‘botnet’ Mariposa, especializada en robar credenciales bancarias y capaz de infectar a 13 millones de ordenadores, no le salieran más cabezas. Las fuerzas policiales decidieron ponerse al frente de la operación el 23 de diciembre, una fecha cercana a Navidades, para pillar a los ciberdelincuentes despistados, y consiguieron no solo desmantelarla sino también detener a los responsables.

La resurrección de las ‘botnets’

“Normalmente lo que se puede intentar hacer es eliminar la red de ‘bots’, inutilizarla. Si encima luego se puede conseguir detener a los delincuentes es fantástico, pero no es muy habitual”, señala Corrons. El desmantelamiento de Mariposa fue especialmente exitoso. Después de echar abajo la ‘botnet’, analizar toda la información disponible y comunicarse con las empresas de ‘hosting’ para estudiar los accesos que se habían producido, se pudo localizar a los delincuentes, tres españoles detenidos por la Guardia Civil y condenados a un año de cárcel hace tan solo unos meses.

En este caso, su detención se debió a un error humano. “Cada vez que se conectaban a los servidores, lo hacían a través de una VPN para que no se supiera cuál era su dirección IP de origen”, señala Corrons. Pese a ello, uno de los atacantes, nervioso tras darse cuenta de que no podía acceder a los paneles de control, cometió la torpeza de olvidar conectarse a través de la VPN. Fue así como la Guardia Civil pudo detener a los culpables. “Si los detienes, acabas con el problema; si no, lo estás mitigando”, señala Corrons.

En otros casos, sin embargo, no se localiza al ciberdelincuente, como ha sucedido con Dorkbot. Por eso muchas veces las noticias sobre la desarticulación se ven empañadas por la resurrección de las ‘botnets’, cada vez más complejas. “Lo normal es que queden restos. En ese punto se monitoriza la actividad para ver si hay un resurgimiento en los días posteriores al desmantelamiento”, señala Josep Albors, director de comunicación y laboratorio de ESET España. “Los delincuentes han ido depurando sus técnicas a la hora de infectar a sus víctimas, usando, por ejemplo, ‘kits’ de ‘exploits’ [paquetes de código diseñado para aprovechar vulnerabilidades] en páginas web legítimas que han sido comprometidas”, prosigue este experto.

Con el paso del tiempo los ciberdelincuentes han optado también por controlar redes más pequeñas para atraer menos la atención de los cuerpos policiales. Además, según apunta Trend Micro, las de los últimos tiempos utilizan una infraestructura P2P —dificultando así trabajo de desmantelamiento al no existir un servidor centralizado— o cifran sus comunicaciones para ocultar el tráfico. “Solo deteniendo a la persona vas a parar la ‘botnet’. Pararla momentáneamente mientras rehacen su código y lo mejoran para mí no es ningún triunfo contra el cibercrimen: lo único que se hace es obligarles a que mejoren”, defiende Sancho.

Solo deteniendo a la persona vas a parar la ‘botnet’. Pararla mientras rehacen su código y lo mejoran para mí no es ningún triunfo

Por desgracia, hay ejemplos recientes que respaldan esa opinión. Europol anunció el año pasado la desarticulación de Ramnit, una ‘botnet’ formada por más de tres millones de ordenadores y creada para robar credenciales de banca ‘online’, contraseñas FTP o ‘cookies’ de inicio de sesión de las víctimas. Sin embargo, investigadores de IBM descubrieron en tan solo unos meses que aquel ‘malware’ había mutado para seguir vivo y coleando.

De todas las ‘botnets’ resucitadas, una de las más famosas es Zeus. Identificada en 2007, su código se liberó hace unos años permitiendo a otros muchos delincuentes crear sus propios dioses. Para colmo de males, no se ha llegado a detener al presunto responsable de esta red, Evgeny Mikhailovich Bogachev, que continúa en la lista de los cibercriminales más buscados por el FBI: se ofrece una recompensa de 3 millones de dólares (2,6 millones de euros) a quien lo localice.

“Una ‘botnet’ como Zeus, que antes era relativamente sencilla, ahora es una red P2P con cifrado, con autenticación, con pruebas de integridad… Y eso es muy difícil de tirar”, detalla Sancho. “La estrategia de la gente que hace esto es una estrategia muy mediática: hemos logrado tomar el control de la ‘botnet’ y a los dos meses o tiene el control o la rehace”, añade. Este investigador considera que el simple desmantelamiento de estas redes “tiene una utilidad muy limitada”. Solo logra retrasar la actividad del ciberdelincuente unos meses, hasta que reincide lanzando otra con nuevas capacidades de infección.

Además, aún cuando la ‘botnet’ se logra desmantelar, los ordenadores zombis continúan infectados, solo que el ciberdelincuente ya no está detrás. Según nos explica Corrons, se podría pinchar una suerte de botón de autodestrucción para acabar con la ‘botnet’ por completo, pero hacerlo no es lo habitual. La Policía no tiene permiso para desinfectar esos ordenadores. “El dueño de cada ordenador no les ha dado permiso, y por otro lado existe el riesgo de que algo funcione mal y en algunos ordenadores no solo se borre el ‘bot’”, explica el director técnico de PandaLabs.

¿Y yo qué?

Ahora bien, si mi ordenador pertenece a una red desmantelada, ¿me entero al menos de que mi ordenador está infectado? En algunos casos, sí. Las empresas de seguridad pueden dirigir todos los ‘bots’ a un ‘sinkhole’, un servidor seguro, controlado en ocasiones por las fuerzas de seguridad. Gracias a ello, es posible lanzar un aviso a los ordenadores infectados. De esta forma, la próxima vez que el usuario se conecte al navegador recibirá las instrucciones para desinfectar su equipo. Recientemente, la organización CERT-Bund se ocupó de notificar a los afectados por Mumblehard, una ‘botnet’ para Linux, gracias a que ESET tenía un servidor ‘sinkhole’ para todos los componentes conocidos de la red.

Eso sí, si no cumplo las recomendaciones de ese aviso o no es posible advertirme de que mi ordenador está infectado, mi ordenador tiene todas las papeletas para volver a ser un zombi. “Es probable que termine formando parte de otra ‘botnet’, o sea víctima de ‘ransomware’ o le entre un troyano bancario o cualquier otra amenaza”, señala Albors. Según este experto, se han dado casos incluso de usuarios que han caído varias veces en la misma amenaza.

Estar al tanto de las triquiñuelas de los cibercriminales no se enseña parcheando nada, tienes que tener un poco de interés

La propia Oficina de Seguridad del Internauta ofrece un Servicio Antibonet que comprueba si tu dirección IP está relacionada con estas redes de ‘bots’ —incluso puedes descargarte un ‘plugin’ para facilitar la tarea— y da unas cuantas recomendaciones para desinfectar el ordenador. Las empresas de seguridad también ofrecen, lógicamente, sus propias herramientas para saber si tu ordenador tiene síntomas de estar infectado y utilidades para limpiarlo.

Para no caer en ellas, hayas sido infectado previamente o no, puedes tomar una serie de medidas de las que seguro ya has oído hablar, como tener el sistema operativo, el antivirus, el navegador y el ‘software’ actualizados. No hacer clic en los ‘links’ sospechosos que nos lleguen, tener cuidado con las descargas y no abrir ficheros que no debamos, desconfiar de los correos con remitentes desconocidos o controlar la información que compartimos públicamente son algunos de los consejos que te sabrás ya de memoria.

Pese a ello, seguimos tropezando con las mismas piedras. Sin ir más lejos, Dorkbot se extendía a través de programas de mensajería instantánea o redes sociales.

“El punto de vista humano es más difícil”, señala David Sancho. “Estar al tanto de las triquiñuelas de los cibercriminales no se enseña parcheando nada, tienes que tener un poco de interés”. Al final, las técnicas de ingeniería social de los ciberdelincuentes pueden hacernos caer en la misma trampa una y otra vez.