Cuando se habla de ciberamenaza, nos imaginamos a las mafias rusas o a las agencias de información de determinados países haciendo de las suyas. Sin embargo, la realidad es muy distinta. Hoy en día, hay infinidad de elementos incontrolados, con grandes conocimientos técnicos, que quieren hacer dinero de forma rápida; el medio más rápido es Internet.

De acuerdo con un informe de Sophos sobre el estado de la seguridad informática en 2008, los principales productores de malware son China, Brasil y Rusia (Russian Business Network). Esto no nos debería extrañar, porque sus legislaciones son relativamente permisivas y, en cierta medida, algunos sectores de su población ve con buenos ojos todas aquellas acciones que se lleven a cabo contra países occidentales (en marzo de 2006, la Duma otorga un certificado de agradecimiento a un hacker por atacar una web israelí).

La mayor parte del malware generado son puertas traseras (troyanos) con el propósito de obtener contraseñas o datos bancarios. Sin embargo, los rusos parecen que se están especializando en la creación de botnets (redes de ordenadores comprometidos, controlados de forma remota. De hecho, dos de las redes más importantes, Storm y Kraken, son rusas. Es más, el ataque cibernético más importante que ha tenido lugar, sucedió en mayo de 2007 contra Estonia y se lanzó desde redes ubicadas en Rusia. Para hacerse una idea del daño potencial de estas redes, se estima que la red Storm controlaba más de 200.000 ordenadores a finales del 2007. Esta cifra ha sido ampliamente superada por Kraken, que es capaz de controlar más de medio millón (en la actualidad). Para hacernos una idea de su capacidad dañina, las cinco redes más activas (Irizbi, Kraken, Rustock, Cutwail y Storm) son capaces de generar más de 100 billones de correos spam al día (datos de SecureWorks).

Esto no quiere decir que en España seamos unos santos, ni mucho menos. Tenemos el triste honor de figurar en la lista de los diez países que generan más spam (correos no deseados) en el mundo. Si tenemos en cuenta que casi el 95% de los correos electrónicos se trata de spam, nos podemos hacer una idea de su problemática. De hecho, centrándonos en el Ministerio de Defensa, de los 30 millones de correos que se recibieron en el mes de marzo desde Internet, sólo se aceptaron 1 millón (el 97% del correo recibido se rechazó por ser spam). Además, Madrid encabeza el ranking mundial como la ciudad que tiene el mayor número de ordenadores integrados en botnets (Symantec Internet Security Threat Report, abril 2008).

Los medios utilizados por los cibedelincuentes para la propagación del malware son principalmente: compartir ficheros ejecutables a través de medios de almacenamiento removibles (40%), ficheros anexados a los correos (32%), compartición de carpetas (28%) y redes P2P (p.e. emule, 20%).

Si se mira la evolución de la ciberamenaza en los últimos años, se puede apreciar un ligero descenso. Sin embargo, esto puede deberse a un cambio en los motivos y procedimientos utilizados por los ciberdelincuentes. Antes se buscaba un medio de hacerse famosos o existía una motivación política, mientras que ahora persiguen obtener beneficios económicos. Esto ha motivado que sus ataques sean más selectivos, aunque mucho más dañinos. Además, muchas de sus victimas no denuncian los ataques, por razones de imagen, como es el caso de los bancos.

¿Como saber si formamos parte de una botnet?
De una forma básica, los posibles síntomas son:

Nuestro antivirus detecta una infección. Hay que tener en cuenta que no pueden detectar todo el malware, por lo que no puede ser nuestro único medio de detección.

Detección de rootkits (es una herramienta, o un grupo de ellas, que tiene como finalidad mantenerse oculta y esconder a otros programas y archivos que permiten al intruso mantener el acceso a un sistema con fines maliciosos o destructivos).

Herramientas para la detección de rootkits: http://www.antirootkit.com/ , http://www.trendmicro.com/download/rbuster.asp  y http://www.microsoft.com/technet/sysinternals/Security/RootkitRevealer.mspx.

Modificaciones sospechosas en los ficheros de sistema.

Apertura de ventanas de forma espontánea y aleatoria (popups).

El ordenador va cada vez más lento.

Los servidores DNS son distintos a los establecidos por defecto.

Noticias:
Nuevas tendencias: Las redes botnet se están especializando. Como dato más destacable tenemos el uso de estas redes para manipular la bolsa, incitando a la gente a la compra o venta de acciones de pequeñas compañías que cotizan en bolsa, mediante mensajes subliminales insertados en ficheros de música, que se envían mediante spam. Otro de los usos que se están detectando tiene fines electorales, incitando al destinatario para que vote a un partido determinado. Este ataque fue denunciado por paises de la antigua Unión Sovietica, que detectaron esta actividad en apoyo de los partidos pro-rusos (apoyo al Partido Democrático Liberal de Rusia en las elecciones del 2006 de Ucrania).