Tres «hackers» atacan 13 millones de PC y roban datos de 800.000 usuarios
«No tienen mentalidad delictiva, si fuera así, con los 13 millones de ordenadores que han infectado en todo el mundo podrían haber paralizado la administración electrónica de un Estado». Esa era la capacidad ciberterrorista de los tres detenidos por la Guardia Civil que robaron datos personales, bancarios y corporativos de más de 800.000 usuarios, suplantaron identidades y contaminaron equipos informáticos de 500 empresas y 40 bancos.
Esa información sensible ha sido utilizada tanto para uso propio como para venderla a organizaciones criminales que se dedican al fraude bancario, aunque el nivel de perjuicio económico aún no ha sido cuantificado. «Robaron» tantos datos que ni siquiera han podido darles salida a todos, según explicó ayer el comandante Juan Salom, jefe de Delitos Informáticos de la Guardia Civil.
A tención a los USB
El grupo -un vasco, un gallego y un murciano de entre 25 y 31 años- identificado como «ddpteam» había comprado en el mercado negro de internet un programa malicioso capaz de infectar millones de ordenadores y convertirlos en zombies que obedecen órdenes a distancia. La contaminación se producía por tres vías: el troyano «mariposa» se propagaba a través de redes P2P o redes abiertas -en cualquier descarga por ejemplo-; mediante el «messenger» o a través de cualquier dispositivo USB que se conectara al ordenador.
La «botnet» (red de robot) «Mariposa» fue detectada en mayo del año pasado por la empresa canadiense Defence Intelligence, que empezó a seguir su rastro junto con la empresa española Panda Security. A la vez, el FBI puso en marcha una investigación y averiguó que estaba implicado un español por el idioma en que los zombies recibían las órdenes: «¡Al infierno ya!» para borrar unos datos o «¡Trínkalo!». El FBI alertó a la Guardia Civil y a partir de ahí se trabajó de forma coordinada, hasta que el pasado 23 de diciembre, cuando ya se habían identificado los canales de control de la red, se bloquearon a la vez los dominios que utilizaban (dos servidores americanos y uno español). Como venganza, los ciberdelincuentes contraatacaron con una denegación de servicio a la empresa canadiense que los había descubierto y ese asalto provocó una caída masiva en el principal proveedor canadiense que afectó a universidades y centros oficiales.
Tras desactivar la red, se pudo identificar al cabecilla del «ddpteam»: F.C.R., de 31 años, vecino de Balmaseda (Vizcaya) que se autodenominaba «netkairo» o «hamlet1917». Fue detenido el 3 de febrero y en su casa se intervinieron varios equipos informáticos a través de los que se encontró a sus cómplices: J. B.R., de 25 años, que vive en Santiago de Compostela («OsTiaTor») y J.P.R., de 30, de Molina de Segura (Murcia) que usaba el nick «Johnyloleante».
No son expertos
«Los implicados tienen conocimientos informáticos pero no son expertos», según explicó el teniente coronel José Antonio Berrocal, jefe del Departamento de Delitos Económicos y Tecnológicos de la Guardia Civil. De hecho no se ha logrado dar con el creador del troyano, sino sólo con quienes lo compraron y lo administraban. Se investiga la participación de un cuarto miembro del grupo, identificado como «fénix», que podría ser venezolano, aunque es casi seguro que hay más implicados.Los investigadores consideran que es la red de ordenadores zombies más potente detectada en el mundo y lo justifican en que el asalto sufrido por Estonia y Georgia se llevó a cabo con muchos menos equipos contaminados.
Esta funcionalidad es sólo para suscriptores
Suscribete
Esta funcionalidad es sólo para suscriptores
Suscribete