SOCIEDAD
MyDoom, un virus que tiene todas las huellas del crimen organizado
Especialistas en seguridad informática aseguran que el virus que atacó los correos electrónicos hace una semana no fue diseñado por un hacker en busca de diversión: permite capturar passwords bancarios y abre la puerta para extorsionar a las empresas afectadas.
Por Charles Arthur *
Para la mayoría de la gente, el virus MyDoom, que la semana pasada se convirtió en el que más rápidamente se extendió en la historia de Internet, fue simplemente molesto. Llenó las casillas de correo electrónico con mensajes rebotados y falsos, infectó los adjuntos y las compañías se quejaban declarando que había tratado de infectar a uno de sus clientes. Pero salvo que usted fuera infectado –y si tiene una PC con Windows, debería chequear para asegurarse– era el equivalente a un congestionamiento de tráfico computarizado. Sin embargo, para los expertos en seguridad informática, MyDoom marcó un paso serio en la evolución de los virus porque tenía todas las huellas del crimen organizado. MyDoom no sólo mandaba e-mails por sí mismo a direcciones encontradas en archivos de cualquier computadora que infectaba. También instalaba una “puerta trasera” que permitiría a los hackers controlar cada máquina atacada desde la distancia: instalaba un software keyloggin que, silenciosamente, registraba cualquier tecla presionada, incluyendo passwords bancarios y números de tarjetas de crédito cuando se usaban páginas Web; y podía atacar mortalmente a un website en especial que pertenecía a una compañía de software llamada SCO.
El 1º de febrero el website de SCO desapareció de Internet ante un temporal de ataques. Estos son conocidos como “ataque DDOS” (negativa de servicio de distribución) de una PC infectada por MyDoom. Todo esto representa un gran cambio de los típicos virus de hace unos años, cuando los “malware” como Concept, Lovebug, Melissa y SirCam fueron programados básicamente por diversión. Estaban destinados a causar un poco de problemas y probar los conceptos de los programas.
“Hay una posibilidad de que grupos criminales amenacen con chantajear con virus como MyDoom,” dijo Graham Cluley, un consultor que desde hace 20 años que rastrea virus de computación. “Si estuviera dirigido a un banco on line, les resultaría terriblemente costoso”. El virus está programado para dejar de atacar a SCO después del 12 de febrero. “Quizás la fecha esté ahí para que quien sea que esté detrás de esto pueda decirle a SCO ‘Si no quieren que esto suceda de nuevo, entonces paguen un rescate, quizás, o abandonen los juicios’. SCO dice que el sistema operativo gratuito Linux contiene códigos copiados de Unix, que ahora es de su propiedad, y está exigiendo pagos por daños y por uso de la licencia.
¿Podría MyDoom ser la venganza de un programador Linux? Es posible, pero improbable si uno lo ve en el contexto de otros delitos on line bien organizados. Hace una semana, cuando la Super Bowl de Estados Unidos estaba por comenzar, los propietarios de los sitios on line de apuestas miraban nerviosamente sus pantallas, esperando ver si iban a ser atacados por un DDOS que los hiciera desaparecer de Internet, justo al mismo tiempo que querían estar abiertos y listos para los apostadores. Y tenían razón. Aunque Riverhead Networks, una empresa que ofrece una total protección legal de red contra los ataques DDOS, pudo detener una serie de ataques contra sitios de apuestas que comenzaron el viernes y siguieron durante todo el fin de semana, otros sitios no tuvieron tanta suerte. Fueron inhabilitados. El DDOS ataca empresas on line, agencias de gobierno y proveedores de todos los tamaños.
Para tales sitios, la primera señal de peligro en un e-mail con una advertencia: “Su sitio está siendo atacado y lo estará durante todo el fin de semana. Usted tiene un defecto en su red que permite que esto suceda”. Eso es seguido por un súbito e inmanejable aumento de tráfico de Internet. La cantidad pedida para que paren los ataques varía, dependiendo de tamaño del site: digamos 10.000 dólares para un site pequeño, 40.000 para uno más grande, pagados vía el servicio de Western Union. Los mails seguramente vinieron de PC infectadas: como el destino del dinero, no puede rastrearse a los remitentes. Pero la gente en la industria tiene sus sospechas. “Las bandas de Europa Oriental están apuntando a las apuestas on line”, dice Cluley. “Los sites fueron advertidos de que si no pagaban, desaparecerían bajo un ataque distribuido”.
Dave Matthews, un administrador de un sitio de Las Vegas Advisor, una publicación on line para la industria del juego, dice: “Es lo mismo que entrar a una tienda y decir, ‘Págueme y le garantizo que su tienda no se incendiará durante un año’ Sólo que es más alta tecnología”. “Hay una gran epidemia de DDOS con extorsión que se está llevando a cabo en este momento”. Y eso no es nada. Los banqueros están espantados ante la posibilidad de sutiles ataques conocidos como phishing contra sus clientes on line. La gente recibe mails diciéndoles por ejemplo, que deben volver a entrar su detalle de cuentas bancarias y sus códigos PIN en un website, cuya conexión aparece en el e-mail. Miles han caído en esta trampa que en Gran Bretaña tiene como objetivo a los bancos Halifax, NatWest, Nationwide, Lloyds TSB y Barclays.
Lo que es preocupante es que la serie de ataques a los bancos en el mundo están muy bien coordinados, dice Dave Jevons, el presidente del grupo antiphishing de Gran Bretaña. “Creemos que son grupos diferentes, no sólo uno, porque las tecnologías que utilizan son diferentes. Pero se hacen más y más sofisticados. La policía internacional está ahora persiguiendo a sospechosos; sin embargo, Jevons declina decir dónde están basados.
Las señales indican que los criminales organizados comenzaron a apuntar a Internet como un medio para sus fines el año pasado. La clave estaba en la serie de virus SoBig, el primero de los cuales apareció casi exactamente hace casi un año. SoBig-A instaló un programa de “puerta trasera” que podía ser usado para enviar spam. Pero tres de sus sucesores (SoBig-E, Fizzer y Mimail-E) incluían códigos para producir ataques DDOS contra Spamhaus.org que ofrece un servicio de bloqueo de spam a las empresas.
No existe motivo en la Tierra para que los autores de virus del pasado, que disfrutaban del caos que causaban, pero que dirigían su animosidad contra las grandes empresas, apunten a una organización antispam. Eso significa que los nuevos virus son programados para ordenar. Nadie está seguro, pero la calidad de la programación, que es alta, sugiere que fue hecho por uno de los miles de programadores puestos a trabajar por el estallido tecnológico, bajo contrato con uno de la escasa docena de spammers, que envían cientos de millones de e-mail basura todos los días.
También pudo haber sido producido en Rusia: ese país es famoso por la calidad de los que hacen los códigos, uno de los cuales produjo el hipnótico juego de bloques Tetris. La inseguridad sobre quién está detrás de todo esto, realmente preocupa a la gente que trata de que Internet sea algo seguro de usar. “Antes eran los adolescentes los que producían los virus,” dice Cluley. “Ahora son más astutos, más organizados. Y definitivamente están viendo la posibilidad de hacer dinero”.
* De The Independent de Gran Bretaña. Especial para Página/12.
Traducción: Celita Doyhambéhère.