La Guardia Civil, en colaboración con el FBI y Panda Security, ha procedido a la detención de tres ciudadanos españoles debido al control que ejercían sobre más de 13 millones de ordenadores infectados. A estos los denominaban ‘zombis’, de los que obtenían tanto datos personales como financieros. Esta operación, debido al alto número de PCs infectados, es probablemente una de las ‘botnes’ (redes de robots) más grandes que se han detectado.
Durante la operación y registros efectuados se ha procedido a la intervención de ordenadores, material informático e información personal de más de 800.000 usuarios. El objetivo era bien utilizar o alquilar los datos obtenidos a bandas organizadas dedicadas al fraude bancario.
La denominada ‘Botnet Mariposa’ fue detectada en mayo del pasado año por técnicos de la empresa canadiense Defence Intelligence, quienes crearon un grupo de trabajo para su seguimiento, junto con la empresa española Panda Security y el Georgia Tech Information Security Center. Al respecto, se pudo determinar la existencia de un grupo de habla hispana, identificado como ‘ddpteam’, que había adquirido en el mercado del malware el troyano utilizado.
Red de robots
Una botnet (red de robots) es un conjunto de ordenadores infectados con un programa malicioso, que están bajo control de su administrador o ‘botmaster’. Para su control, los ordenadores infectados, conocidos como zombies o bots, se conectan a un equipo llamado Command & Control (C&C) donde reciben instrucciones.
Las botnets pueden ser utilizadas para robar información de los propios equipos o para el uso clandestino de los mismos (envío de spam, atacar a terceros equipos o provocar denegaciones de servicio -DoS-). El botmaster puede utilizar esa información para sí o alquilarla a terceros, muy habitual en bandas organizadas dedicadas al fraude bancario.
El pasado mes de diciembre, identificados prácticamente todos los canales de control de esta botnet, se procedió a nivel internacional a bloquear los dominios que habían utilizado. Éstos se localizaban principalmente en dos prestadores de servicio americanos y uno español. Tras el bloqueo de los dominios, se logró identificar al máximo responsable del ddpteam (se autodenominaba ‘netkairo’ o ‘hamlet1917’), procediéndose a su detención en Vizcaya.
La Guardia Civil se ha coordinado en esta operación con Panda Security y el Prestador de Servicio CDMON.
