Por lo general, cuando se detiene a los delincuentes cibernéticos se pone fin a su negocio basado en correos maliciosos, virus y datos robados. Cuando caen, caen.
Sin embargo, en algunas partes del mundo de los delitos cibernéticos son mucho más difíciles de erradicar. Al igual que los zombis no saben que se supone que están muertos, y continúan regresando una y otra vez a causar aún más problemas.
Esta capacidad similar a la de los zombis la muestran en particular, las botnets, redes de computadoras infectadas por algún tipo de código malicioso, a pesar de un importante número de victorias en contra de estas redes de delincuencia en el último año.
En 2013, grandes botnets bautizadas como Ciudadela, ZeroAccess, Kelihos, Zeus, 3322, Virut, SpyEye, Bamital y Cutwail fueron desmanteladas por los “chicos buenos”. Muchas otras redes más pequeñas también sufrieron importantes daños, gracias a los esfuerzos de los investigadores de seguridad y las fuerzas policiales.
Las botnets se han convertido en la herramienta estándar de los criminales de alta tecnología. Sus controladores saquean las máquinas comprometidas para conseguir datos vendibles, y las utilizan como plataformas de lanzamiento para el spam y ataques de suplantación (phishing), o para atacar sitios web con grandes cantidades de datos.
Algunas de las botnets más grandes se componen de millones de máquinas y las estimaciones sugieren que entre un 5% y un 10% de los ordenadores domésticos están inscritos en estas redes criminales.
Por lo tanto, suprimir estas redes debería ser una buena cosa.
No tan rápido, dice el profesor Michel van Eeten de la Universidad Tecnológica de Delft en los Países Bajos, que estudia las botnets y cómo manejarlas.
“El problema de las botnets ‘muertos vivientes’ es bien conocida”, dice.
“Hay una variedad de maneras en que los esfuerzos para hacerlas desaparecer dejan residuos que continúan ahí y potencialmente pueden ser reactivadas”.
Uno de los ejemplos más famosos es la botnet Conficker, que se encontraba en su punto más descontrolado en 2008.
Sin embargo todavía se conocen millones de máquinas infectadas por el software malicioso que las inscribió en esta red.
Pérdida de tiempo
El investigador de seguridad Robert Stucke descubrió por sí mismo cuánto tiempo pueden vivir las botnets.
Por lo general, dice, las computadoras que constituían los blancos (denominados “zombies” en los primeros días) informaban a un dominio web creado para actuar como un servidor de comando y control.
Las grandes botnets tienen muchos dominios diferentes que controlan segmentos separados de la red.
Los dominios que utilizan las botnets son los mismas en términos técnicos, que los dominios que organizaciones utilizan para alojar sus páginas web.
Cuando una botnet es suprimida, algunos de esos dominios de comando y control son incautados para tratar de cortar el controlador de su red.
Como ejercicio, Stucke compró algunos dominios que antes eran parte de algunas grandes botnets. Son fáciles de encontrar, ya que, una vez conocidos, se enumeran como maliciosos y son ampliamente compartidos para que las grandes empresas puedan bloquear el acceso.
Stucke gastó cerca de US$6 en unas cuantas docenas de dominios. Una vez que tuvo el control, supervisó el tráfico y encontró que algunas botnets que supuestamente habían muerto estaban todavía muy vivas.
Más de 25.000 máquinas informaban regularmente en esos dominios, supuestamente muertos, dijo, y agregó que a veces le resultaba difícil manejar la cantidad de datos que llegaban. Algunas simplemente reportaban su presencia, pero otras ofrecían información potencialmente vendible.
“Si el dominio expira y cualquiera puede volver a registrarlo y tomar el control de la botnet, parece que es una pérdida de tiempo atacar la botnet en el primer lugar”, dijo.
“Involucrar a la policía”
Otros investigadores de seguridad tienen preocupaciones similares.
“Las partes zombi a menudo se dejan vivas y coleando”, dice el expolicía cibernético, Adrian Culley, quien ahora es un consultor técnico de la firma de seguridad Damballa.
“A pesar de que la botnet ha sido suprimida, las computadoras no lo saben y tratan constantemente de ponerse en contacto con su creador”.
“Lamentablemente los delincuentes tienen acceso a una gran cantidad de recursos y son a menudo capaces de reconstruir estas redes desde cero” – Piedra Gross, Dell Secure Works
Ir por los dominios puede ser una buena manera de romper una botnet, agrega, pero la parte difícil es la limpieza de las máquinas zombis y detenerlas para siempre.
La mejor manera de asegurarse de que una botnet se queda muerta es involucrar a la policía, dice Brett Stone-Gross, investigador de Dell Secure Works que ayudó a detener a algunas grandes botnets en 2013.
“Lo que ocurre después del derribo depende de qué tipo de botnet era y otros factores tales como si se involucró la policía”, dice.
Las detenciones y la publicidad que les rodea tuvieron “un impacto mucho más significativo en la supresión permanente de una botnet”, añade.
La participación de la policía implica que continuará la investigación para averiguar quién está detrás de la botnet.
Y cuanto más se sabe acerca de una red de delincuencia en particular y cómo surgió, lo más probable es que las empresas de seguridad compartan información sobre cómo detectar las máquinas involucradas, o el malware que puede ser utilizado para reclutar a nuevas víctimas.
Sin esa vigilancia las botnets pueden resucitar, dice Stone-Gross.
“Lamentablemente los delincuentes tienen acceso a una gran cantidad de recursos y son a menudo capaces de reconstruir estas redes desde cero”.