Medidas judiciales contra las Botnets

La imagen anterior corresponde a un mapeo de infecciones (en un periodo de 18 días) realizadas por una de las redes de computadores “zombies” que más enviaban correo no deseado (spam) a nivel mundial: Waledac. Precisamente ésta red fue el objetivo de la “Operación b49” ejecutada por Microsoft el pasado 22 de febrero del presente año. Para entender la importancia de este hecho y sus futuras implicaciones, es necesario primero revisar en qué consiste esta amenaza y su acelerada evolución en los últimos años a nivel mundial.

Una Botnet consiste básicamente en una serie de computadores infectados con malware bajo el control remoto de uno o más delincuentes informáticos. El origen de esta amenaza se remonta al año 1993 cuando Jeff Fisher creo el software Eggdrop bot para realizar mantenimiento de red. Esto demuestra que, originalmente, las Botnet no fueron pensadas para fines maliciosos, sin embargo, debido a su gran tamaño (puede llegar incluso a millones de máquinas), actualmente constituyen una de las amenazas, en términos de seguridad de la información, más importantes actualmente.

Entre los usos que le dan los delincuentes informáticos se encuentran: Ataques de denegación de servicio distribuido, envío de correo no deseado, captura de tráfico, captura de teclado, infección de otras máquinas con malware, instalación de publicidad no deseada, robo de identidad siendo el envío de spam (y por ende también de malware y phishing lo cual conlleva a fraude electrónico y espionaje industrial) uno de los usos más preocupantes.

Ahora bien, la principal pregunta que surge es: ¿Cómo reducir el nivel de impacto de esta amenaza? Desde luego que una de las primeras medidas es el uso de un antivirus que permita detectar y, si es posible, eliminar el malware permite la conexión del atacante remoto. Otro control que reduce el riesgo de ser parte de una Botnet es mantener actualizado el sistema operativo y las aplicaciones instaladas en la máquina con el fin de prevenir que gusanos de Internet se aprovechen de vulnerabilidades conocidas (como en el caso de Conficker) e infecten la máquina sin la intervención del usuario.  Hasta ahora los esfuerzos se habían concentrado en estos dos controles tecnológicos, sin embargo, aún no se había contemplado utilizar una vía que usualmente es bastante eficaz pero que en el mundo digital aún se duda de su aplicabilidad: la legal. Tras varios meses de investigación, y de la aplicación de una cuidadosamente diseñada estrategia legal, en febrero 22 Microsoft logro dar de baja 277 dominios de Internet con lo cual desactivaron en gran parte una de las 10 más grandes Botnets en Estados Unidos la cual era la encargada de enviar aproximadamente 1.5 billones de correos electrónicos no deseados al día. La efectividad de esta acción se sintió en un periodo corto de tiempo al reducir con gran rapidez el número de direcciones IP que se reportaban a los servidores de comando y control de Waledac:

Desde luego cabe aclarar que con este procedimiento lo único que se logró es cortar la comunicación entre el atacante remoto y la máquina infectada por lo que es posible que el delincuente informático pueda instalar un nuevo servidor de comando y control con lo cual podría volver a tomar control de los computadores infectados por lo que se recomienda efectuar un proceso de desinfección para mitigar este riesgo de reincidencia.

Por otro lado, y siguiendo con el mismo enfoque legal y judicial, la guardia civil Española en colaboración con el FBI y Panda Security, desmanteló la Botnet Mariposa compuesta por más de 13 millones de computadores infectados. El método utilizado: la captura de tres ciudadanos españoles pertenecientes al grupo DDPTEAM que controlaban la red obteniendo datos de acceso a cuentas de correo electrónico, servicios de banca electrónica y redes corporativas.

Con estos dos ejemplos queda demostrado que el esfuerzo no debe ser solamente tecnológico (realizando los respectivos análisis de las Botnets objetivo sino también legal y judicial invirtiendo tiempo y recursos tanto por parte de los gobiernos como de entidades privadas críticas en cuanto a la infraestructura de la red de redes: Los proveedores de Internet.

Es este enfoque en donde me parece que se encuentra una de las medidas más efectivas contra el malware y el crimeware a nivel mundial. Un ejemplo de la implementación exitosa de este control se encuentra en Japón con el funcionamiento del “Cyber Clean Center” por parte del JP-CERT en conjunto con 76 ISP’s los cuales cubren el 90% del tráfico de Internet en este país. El propósito de este organismo es analizar, en conjunto con Trendmicro, las diferentes características de una Botnet las cuales son identificadas mediante el análisis de tráfico que transita a través de los ISP. En caso de detectar un usuario infectado, se le envía un correo electrónico o incluso a veces un correo físico informándolo sobre la infección y sugieriéndole que ingrese al sitio web principal del organismo para descargar la herramienta de limpieza dispuesta por Trendmicro.

Ahora bien, complementario a esta estrategia, Scott Charney de Microsoft propuso el día de hoy en la RSA Security Conference una medida más radical: Que los ISP’s coloquen en cuarentena los computadores que detecte el ISP como infectados por malware y, por tanto, que sean parte de una Botnet. Si bien es una medida estricta que limita la libertad en Internet como es el caso de las descargas ilegales por redes P2P, si se implementa puede que reduzca en gran parte el fraude electrónico, el robo de identidad, el correo electrónico no deseado entre muchas otras amenazas que afectan Internet actualmente a nivel mundial.

En conclusión, el panorama del malware en cuanto a la forma de combatirlo está cambiando. Por un lado, los antivirus no son 100% efectivos debido a que cada día se generan miles de ejemplares sospechosos diferentes para analizar por lo cual la industria antivirus no da abasto. Si a esto le sumamos los cada vez más frecuentes ataques de 0-day, los prolongados tiempos de respuesta para los respectivos parches por parte de los fabricantes de las aplicaciones y el constante aumento de la piratería en Windows lo cual no permite la oportuna aplicación de parches críticos, vemos que en realidad los controles tecnológicos actuales no son suficientes para reducir la amenaza y es necesario complementar esta estrategia con procedimientos y métodos jurídicos y judiciales los cuales, en conjunto con los pilares de Internet, ayudarán a reducir el impacto del crimen organizado en el mundo digital.

Categories: Botnet, Malware, Seguridad Informática

Leave a Reply

Your email address will not be published. Required fields are marked *