El pasado mes de marzo todos los medios hablaban de la operación "Mariposa", que hizo caer una red de más de 13 millones de ordenadores zombies en todo el mundo. Hemos hablado con la empresa española Panda Security, que participó activamente en esta operación, y esto es lo que nos contaron.



El 3 de marzo de 2010 las noticias de medio mundo hablaban de la detención de tres españoles (que se ha­cían llamar DDP Team o Días de Pesadilla Team) en lo que se denominó operación "Mari­posa". Se trataba de una red de bots, llamada precisamente Mariposa, que había infectado más de 13 millones de ordena­dores en todo el mundo y, que se sepa hasta la fecha, habían robado datos a más de 800.000 usuarios, tanto particulares co­mo empresas. La operación es la más importante llevada a ca­bo a nivel mundial, justamente por las dificultades que entraña localizar los ordenadores des­de los que se controla la red de zombies y poder, luego, conse­guir pruebas con las que llevar a cabo las detenciones. Panda Security colaboró, jun­to con Defense Intelligence, el FBI y la Guardia Civil, en que todo el operativo pudiera lle­gar a buen término.


A la caza y captura


En mayo de 2009, la empresa de seguridad estadounidense Defense Intelligence, descu­brió que uno de sus clientes estaba infectado por un bot y estaba siendo usado como parte de una red de ordena­dores zombies hasta enton­ces desconocida. Durante un tiempo hizo un seguimiento de la red para tratar de localizar los ordenadores a los que se conectaban los bots para so­licitar órdenes. Fue entonces cuando averiguaron que una parte estaba en EEUU y otra es España y se pusieron en contacto con Panda Segurity.A partir de entonces empieza el tabajo de investigación y seguimiento de los bots aunque,como nos contaron los de Panda,sin muchas esperanzas en principio de coger a los cabecillas, ya que siempre se conectaban a través de VPN anónimos, pero sí de poder, al menos, desmantelar la red. Finalmente tuvieron acceso a los paneles de control de los ordenadores desde los que se mandaban las órdenes a los zombies. Los presuntos delincuentes, en este caso, se dedicaban a "alquilar" partes de su red a terceros para el envío de spam, pero también a robar claves y credenciales de los ordenadores infectados , realizar fraudes financieros, etc.
.En ese momento, y ya puestos estos datos en conocimiento del FBI y de la Guardia Civil, se coordinó una operación a nivel mundial para cortar el control de la red. Eso fue el 23 de diciembre de 2009.


Partida de ajedrez


Lo que sucedió en Internet durante el tiempo que duró el ataque fue una suerte de duelo de blancas y negras. Cuando se cortó el control de la red y el jefe de la banda, apodado Netkairo, comenzó a contraatacar y logró recuperar el dominio de su red, pero lo hizo sin usar la VPN, con lo que dejó al descubierto su auténtica IP. En ese ataque contra Defense Inteligence trató de lanzar en su contra todos los bots que tenía a su disposición, con lo que un gran proveedor de acceso a Internet se quedó sin poder dar servicio durante muchas horas, afectando a multitud de clientes en Canadá. En la contienda, finalmente, Netkairo perdió la partida cuando las "blancas" cambiaron la configuración de las DNS de los servidores a los que se conectaban los zombies y abrió la puerta para su detención por la Guardia Civil el 3 de febrero de este año. Los equipos incautados permitieron la detención de otros dos miembros de la red, cuyas actividades han supuesto la pérdida información para miles de personas y el coste de varios millones de dólares. Los datos aún se están analizando para estimar el alcance de los daños.




Servicios paralelos


Cuando se piensa en este tipo de acciones delictivas imaginamos expertos informáticos del "lado oscuro": crackers. Curiosamente, ninguna de las tres personas detenidas en la operación "Mariposa" tenían ninguna formación técnica en informática. De hecho, ni siquiera habían sido los creadores del bot, sino que lo habían comprado, posiblemente por Internet a algún desarrollador de software por menos de 1.000 euros. De hecho, algunos de ellos se anuncian públicamente en la red, tienen su propia web y ofrecen incluso soporte técnico y actualizaciones. Eso sí, previo aviso de que no se hacen responsables del uso que los compradores hagan de sus productos. Estos "proveedores de servicio" facilitaban a sus clientes la encriptación de los bots para que fueran indetectables por los antivirus. Si alguna suite de seguridad localizaba uno en un equipo infectado, éste inmediatamente alertaba a los demás, cambiando su cornfiguración para que las actualizaciones del antivirus fuesen inefectivas.
Junto con Mariposa se ha destapado también una inquietante red de clientes de estos servicios paralelos, consistentes en alquilar partes de un botnet, robar tarjetas de crédito, el hackeo de servidores, las conexiones desde VPNs, incluso con bandas que robaban directamente el dinero de las cuentas interceptadas y luego blanqueaba el dinero mediante póker online. Como dato curiosos, los atracos a bancos en EEUU suponen una pérdida de unos 9 millones de dólares al año, sin embargo, los robos online a empresas unos 25 millones. El principal problema a la hora de atrapar a los ladrones "digitales" es también la mayor ventaja de Internet: la ausencia de fronteras. Un ladrón "digital" puede desplumarte desde otro país. En ese sentido, sería necesaria una unidad mundial en la lucha contra los delitos informáticos.


Fuente: Computer Hoy

ufff, gracias por la informacion. La verdd es que con la informacion de que disponemos en internet se pueden hacer locuras