BBC: El FBI contra las computadoras zombies

La lucha contra el crimen llega hasta los servidores… virtuales. El Buró Federal de Investigaciones de Estados Unidos, FBI, informó que penetró una red de computadoras infectadas usadas por bandas criminales para cometer fraudes.

Es la primera vez que el FBI hace una intervención de ese tipo. Las autoridades incautaron cinco de los servidores de la red, que se conoce como botnet y además tomaron 29 dominios registrados usados por la estructura criminal.

El FBI tuvo que obtener un permiso especial de un juez para realizar la operación que le permite asumir el control de los ordenadores y eventualmente hacer que el programa maligno se desactive.

"Como resultado las máquinas zombies en la red Coreflood están siendo redirigidas hacia servidores controlados por agencias de la ley", explicó Noa Bar Yosef, de la empresa de seguridad Imperva.

"El servidor 'bueno' puede emitir comandos para detener el programa maligno en las máquinas comprometidas", dijo Yosef.

Un procedimiento similar fue usado el año pasado por la policía de Holanda dentro de la operación contra la Bredolab botnet, lo que generó el cuestionamiento de expertos en seguridad sobre la legalidad de esa operación.

Red de robots

Una Botnet es una red de computadoras infectadas, también conocida como Zombie PCs. El término surge del conjunto de robots informáticos o bots que son controlados por el "pastor" que administra las máquinas infectadas.

En este caso los técnicos del FBI estaban tras la pista del Coreflood, un programa maligno que al instalarse en las computadoras desprevenidas permite a los infiltrados grabar combinaciones de teclas y controlar los equipos para robar claves de acceso, información bancaria o de tarjetas de crédito.

Se estima que el Coreflood ha estado actuando por alrededor de una década y ha afectado unos 2,3 millones de computadoras en todo el mundo, aportándole millones de dólares para quienes están detrás de su operación criminal.

El procedimiento de control usado por el FBI le permite obtener las direcciones Internet de las máquinas comprometidas, por lo que pueden informar a las víctimas que sus computadoras habían sido infectadas.

Las autoridades no han dicho de dónde provienen los ataques aunque parecen ser consistentes con actividades criminales que se llevan a cabo desde Europa Oriental.