_
_
_
_
_

Cae la red cibercriminal 'Mariposa', que controlaba millones de ordenadores 'zombis' en 190 países

Detenidos tres españoles gracias a que uno de ellos olvidó entrar en la red utilizando sistemas que protegen el anonimato

Trece millones de ordenadores infectados y controlados remotamente por una red cibercriminal que se llamaba Mariposa. En sus manos tenían datos de 800.000 personas en 190 países. Unas cifras asombrosas por su envergadura. El martes, el Grupo de Delitos Telemáticos de la Unidad Central Operativa de la Guardia Civil (UCO) detuvo a tres personas que gestionaban la red, pero las investigaciones prosiguen a nivel internacional. Según el teniente coronel jefe del departamento, José Antonio Berrocal, se trata de la mayor red de este tipo desmantelada en el mundo. La policía investiga a un supuesto cuarto miembro del grupo que residiría en Venezuela.

Gracias al empleo de virus troyanos, los delincuentes se hacían con el control remoto de los ordenadores y los programas maliciosos instalados en las máquinas les suministraban toda la información que manejaba la víctima en los mismos. Los ordenadores zombis son utilizados frecuentemente por redes criminales para apoderarse de datos bancarios y en ocasiones se utilizan para lanzar un ataque contra los sistemas financieros o gubernamentales. La firma canadiense Defence Intelligence y la española Panda han colaborado en la investigación.

Más información
Una red roba datos clave de 74.000 ordenadores en el mundo
Legiones de zombis
Vodafone arreglará 3.000 móviles que pueden verse afectados por el virus 'mariposa'

Blanqueo de dinero

La existencia del botnet (red de ordenadores controlados remotamente) se detectó a mediados del año pasado, según ha explicado a este diario Luis Corrons, director técnico de Panda Lab. Entonces se formó un grupo de trabajo integrado por Defence Intelligence, el Instituto Tecnológico de Georgia, Panda y fuerzas de seguridad de distintos países, la Guardia Civil y el FBI, entre otros. Una vez infiltrados en la red, llamó la atención su envergadura. Tenían controladas más de 13 millones de direcciones IP distintas. Aunque había direcciones dinámicas que, por tanto, pueden corresponder a más de un ordenador, la cifra era asombrosa. "Nadie había visto ninguna de este tamaño. La empleaban para robar información y la alquilaban a terceros". Para blanquear el dinero que conseguían, entre otro métodos, participaban en partidas de póquer en línea donde los compinches se dejaban ganar pero no pagaban la apuesta. Así, el jugador que ganaba podía justificar unos ingresos que no procedían del juego.

El 23 de diciembre, de forma coordinada, se cortó el acceso del botnet a los ordenadores. "No sabíamos, sin embargo, quiénes lo estaban usando porque accedían a través de sistemas que permiten ocultar la IP de procedencia y entrar anónimamente". Los delincuentes intentaron recuperar el control del mismo y lanzaron ataques de denegación de servicio (envío masivo de peticiones de acceso que bloquean el sistema de la víctima) a Defence Intelligence y clientes suyos en Canadá. "Fue gracias a un grave error de uno de los delicuentes que pudimos llegar a identificarlos: un día, uno de ellos olvidó emplear los habituales recursos para ocultar su dirección en Internet". El 3 de febrero, la Guardia Civil entró en el domiclio de uno de ellos en Balmaseda (Vizcaya). Otros dos fueron detenidos en Santiago de Compostela y Murcia. El grupo se hacía llamar DDP Team (Días de Pesadillas Team). Aunque los primeros detenidos sean españoles, la investigación también prosigue en otros países. "Tenían datos de 800.000 personas distintas". El botnet está clausurado, pero los ordenadores de las víctimas siguen infectados. El alivio es que los delincuentes ya no pueden controlarlos.

No diseñaron la red, la compraron

El máximo responsable de la red, cuya identidad responde a las iniciales F.C.R., de 31 años, se hacía llamar a si mismo Netkairo o Hamlet1917 y fue detenido en Balmaseda. Otro de los detenidos, J. B. R., de 25 años, se identificaba bajo el nick de Ostiator y es de Santiago de Compostela. El tercer detenido, J.P.R. de 30 años, se identificaba como Johny Loleante y residía en Molina de Segura, en Murcia. No se trata de grandes expertos informáticos. Ellos no diseñaron la red, la compraron. Según la Guardia Civil el equipo permitía un gran ciberataque que, por fortuna, no realizaron. El grupo, que infectó unos 200.000 equipos sólo en España, obtenía sus ganancias alquilando la red a otros delincuentes. Pero su prinicpal fuente de beneficios estaba en el fraude publicitario. Redireccionaban los ordenadores infectados a publicidad de sus propias páginas por lo que cobraban a de Google Adsense.

Según la empresa canadiense, entre las víctimas están más de la mitad de las mil mayores empresas del mundo. Los delincuentes aprovecharon una vulnerabilidad del navegador Internet Explorer pero también empleaban memorias USB y el envío de enlaces por mensajería instantánea infectados para contagiar más máquinas, según Reuters. Un portavoz del departamento de Justicia norteamericano considera que Mariposa es la mayor red de este tipo cerrada hasta ahora, "pero sólo se trata de la punta del iceberg". El sumario está siendo instruído por el juez Garzón de la Audiencia Nacional.

Regístrate gratis para seguir leyendo

Si tienes cuenta en EL PAÍS, puedes utilizarla para identificarte
_

Archivado En

Recomendaciones EL PAÍS
Recomendaciones EL PAÍS
Recomendaciones EL PAÍS
_
_