Cita con el virus

Hace unos días, Alvy de Microsiervos nos ponía en la pista de un estudio muy interesante. Unos investigadores lograron temporalmente conseguir el control de una red de “ordenadores zombies” u ordenadores infectados por un virus que les hacía realizar conexiones no deseadas en las que se enviaba información que desearías que nadie te pudiera copiar, como tu contraseña del correo o de la cuenta bancaria.

Lo interesante del estudio es que sobre estas redes de ordenadores “en poder de los malos” se suele hablar muchas veces con poco conocimiento de causa, simplemente aportando cifras grandilocuentes. El estudio en cuestión[PDF], que es largo pero interesante, arroja información de primera mano y realista. Lo que más interesante me ha parecido os lo comento a continuación. Quiero indicar que aunque no sepa mucho de seguridad de ordenadores (uso Windows XP, imaginad) tengo mis nociones y si hablo en un lenguaje poco formal es por mi interés en que me entienda hasta mi madre. Creo que es posible.

I

El análisis parte de la evolución de los virus. Primero los virus eran prácticamente bromazos que causaban molestias, pero hoy en día un virus se convierte en una herramienta del mal. Los objetivos de los virus actuales no son cambiarte el fondo de pantalla por un falo de aspecto llamativo, ni llenarte el escritorio de ovejitas que se comen la pantalla, ni borrarte ficheros porque sí. Los virus potentes que se consiguen desarrollar con mucho esfuerzo lo que buscan es incrustarse en tu ordenador y obtener información relevante sobre ti.

¿Qué le puede interesar a un pirata informático de Rumanía sobre alguien tan aburrido como tú? Quizás por orden:

• Tus números de tarjeta de crédito, con código de seguridad y fecha de caducidad.
• Tus datos de acceso a tu banco online, con las contraseñas necesarias para realizar transferencias a cuentas…en Rumanía.
• Tu usuario y contraseña de correo electrónico. Para poder curiosear, chantajear o simplemente enviar spam con tu cuenta.
• Tus usuarios y contraseñas de diversos servicios online, como las redes sociales (Facebook), messenger, Flickr, foros, pornografía de pago, etc.
• Los contactos de tu cuenta de correo, siempre es bueno tener listas de correos electrónicos, por si necesitas enviar información médica a más personas.
• Tus costumbres en la navegación por Internet, algo que pocos saben y tiene valor para estudios de mercado y comportamiento.

Una pieza importante que no se refiere a ti es la ventaja de tener otra conexión a Internet (la tuya) que se puede usar cuando, por ejemplo, te apetece acceder a una determinada página de Internet. Si miles de personas acceden al mismo tiempo, la página “se rompe” y deja de admitir nuevas conexiones. Esto es algo que hace daño a otros, los dueños de estas páginas. Tú sólo te conviertes en un colaborador involuntario de estas acciones.

Los virus entonces llegan a tu ordenador por los métodos habituales (los clicks que no quieres reconocer que hiciste en páginas que no quieres reconocer que visitas). Un mal antivirus, o una versión desactualizada de Sistema Operativo (Windows) o un poco de todo y el virus forma parte de tu vida diaria. Ni siquiera tienes que darte cuenta de que está ahí.

Pero si sospechas “a lo mejor tengo un virus” no tienes que comportarte de forma pasiva. Porque ese “a lo mejor” significa: “a lo mejor, cada vez que meto usuario y contraseña en mi ordenador alguien captura esa información y la guarda, y quién sabe a cuánta gente se la pasa.”

II

El problema para los malos de la película es el envío de la información. Tú tienes, al igual que otros miles de personas, un ordenador infectado. Pero si ellos copiaran la información de tu equipo, de alguna forma, a la máquina de internet “http://asinorum.com”, tarde o temprano alguno de los investigadores de los virus e infecciones informáticas se daría cuenta. Tomaría las páginas amarillas de Internet y preguntaría por los dueños de esa máquina, que obviamente está acumulando información privada. Y con policía o sin ella, detendría o cerraría dicha página.

Y aunque sea tremendamente complicado diseñar virus eficaces y realizar comunicaciones encriptadas impecables a espaldas de los usuarios infectados, todo el problema se centra en conseguir enviar esa información a un ordenador central que capture todo para luego procesarlo y robar o vender dicha información.

Como ya he dicho, no tiene ningún sentido emplear una máquina concreta, o una lista de ellas, porque tarde o temprano serían descubiertas, cerradas y quizás sus dueños encarcelados. La solución empleada es muy original. En lugar de crear una dirección de Internet concreta, se crean direcciones de una lista, que cambian periódicamente. Es lo que en el estudio denominan Domain Flux.

El método recuerda al de los espías de la Guerra Fría. Tienes el ordenador infectado y la información importante guardada. Sólo te falta enviarla a un lugar seguro. En lugar de quedar siempre en el bar Avenida, tienes una lista de 20 bares. Vas al primero de la lista y le dices al dueño una frase en clave. Si te responde bien, quiere decir que es de los nuestros y le damos el paquete.

Puede pasar que la policía haya cerrado este bar, o que haya puesto a alguien “de los buenos”. En ambos casos, tú no conseguirás respuesta correcta y te puedes marchar al siguiente bar de la lista. Así hasta que encuentres uno “de los malos”.

Lo que antes se realizaba con 20 bares, hoy en día se hace con millones de direcciones web. El objetivo es hacer imposible por la policía el cerrarlas todas y al final no sabes de todas esas direcciones, cuáles están controladas por los malos y cuales no. En el ejemplo que cuentan en el estudio, el sistema creaba una lista semanal de unos 2.000 dominios web de conexión posibles. Una lista distinta cada semana.

El método es muy eficaz para evitar se descubierto por la policía, pero tiene un defecto. Los malos no poseen todos los dominios web. Su forma de trabajar es la siguiente:

¿En qué semana estamos? En la 22.
¿Para esta semana qué lista de dominios hay? Pues esta lista de 2.000 dominios.
¿Está registrado el primero? Sí
¿Está registrado el segundo? Sí
…
¿Está registrado el quinientos siete? No. Pues lo registro yo y espero a que me lleguen los paquetitos.

Los investigadores tuvieron que ser capaces de conocer todo el sistema antes de llegar al punto clave. Fueron capaces de registrar el dominio número uno de la lista de una determinada semana, con varias semanas de antelación. Y además sabían la respuesta correcta que tenían que dar para hacerse pasar por los malos.

Los dominios no eran del tipo “http://www.coches.com”, sino de los poco requeridos como “http://eus1010308.com”, “http:/eus1010309.com”, etc. con lo que la probabilidad de que alguien se te adelante es más bien baja. Para los malos el hecho de no tener comprado el dominio es más una ventaja que un inconveniente. No pueden ser reconocidos durante mucho tiempo, pues lo que hacen es comprar, recoger la información y abandonar dicho dominio. Si compraran, esperaran y recogieran, en el tiempo de espera podrían ser localizados.

III

Para los investigadores, de la Universidad de California, el ver cómo “los malos” registraban pocos días después el segundo dominio de la lista de esa semana tuvo que ser un subidón de adrenalina. Ver como le has ganado la mano por un pelo.

Hay que indicar que el apoderarse de todos los “primeros dominios de la lista” no sería un método de protección válido, puesto que “los malos”, al tener el virus en cada ordenador, tenían la posibilidad de cambiar de sistema de comunicación siempre que quisieran. Podrían cambiar el orden o la composición de la lista con sólo “actualizar” la versión del virus, algo que realizaban de forma periódica.

Por lo tanto los investigadores disponían de un tiempo limitado para recoger la misma información que “los malos” y ver exactamente en qué consistía.

Merced a esta recolección, por fin se tiene un estudio riguroso del funcionamiento de estas redes. Algunas conclusiones interesantes de su estudio son:

a) El número de ordenadores infectados es sensiblemente inferior al que se suele citar en las investigaciones “a ojo”. Aproximadamente 10 veces menor. Los métodos de contar infectados en base a la dirección IP de la máquina no son válidos porque muchos proveedores ofrecen IPs dinámicas que cambian varias veces al día, contando varios votos de ordenadores infectados cuando en realidad es uno solo. En sus pruebas vieron algunos casos de ordenadores que llegaban a conectarse hasta con 100 direcciones IP diferentes a lo largo del periodo de estudio (10 días).
b) Evidentemente se recopilan listas de usuarios y contraseñas. Pero no siempre son usuarios y contraseñas introducidas en formularios. En muchos casos eran las que ya estaban almacenadas en programas (como el navegador de Internet) que se enviaban de una vez. No hay que esperar a que uses una contraseña para que sea robada.
c) Se pudo realizar una estimación del volumen de contraseñas obtenidas (x% de cuentas de correo, y% de bancos, z% de servicios sociales, etc.). En base a esas contraseñas, los investigadores aprovecharon para realizar un estudio sobre su solidez. En este contexto es absurdo, puesto que no hay contraseña sólida que resista al copiar y pegar. Pero era una buena oportunidad y quisieron aprovecharla. El resultado, el conocido. Que casi todo el mundo repite contraseñas en sitios y que estas son poco robustas.
d) Buenos y malos. Como siempre, la frontera es difusa. Los buenos aprovecharon los datos obtenidos “para curiosear”. Y en vistas de lo que publican en el artículo me da miedo pensar en qué no habrán hecho ellos mismos con la información. Lo cuentan como algo anecdótico, pero a mi no me lo parece.

La red de ordenadores infectados, Torpig, registró el acceso a la red social LinkedIn de un usuario que se identificaba como CEO (Presidente, pero dicho de forma pretenciosa) de una empresa informática. También registró más tarde el acceso a tres páginas de contenido sexual explícito.

El 10% de los mensajes de correo detectados, contenía conversaciones que muestran la preocupación de los usuarios por la seguridad (phishing, virus y spyware).[…]Una de las personas, mostrando poco conocimiento, anunciaba en un correo electrónico que le acababan de quitar un virus que tenía su ordenador y que ya está limpio.

Este tipo de metidas de la nariz en donde no te llaman desprestigian el interesante trabajo científico realizado. Aunque automatizaron el procesamiento de la información, haciendo búsquedas genéricas y sin conocer a los autores de los textos, no dejaron de leer conversaciones privadas, simplemente por gusto.

e) Avisar a los afectados. Miles de contraseñas de correo comprometidas, de usuarios afectados. Y si no he leído mal nada dice el estudio de intentar avisar a las víctimas de que estaban siendo sistemáticamente espiadas y robada su información. Tras diez días de estudio, “los malos” cambiaron el sistema de conexión a dominios y retomaron la información por donde la habían dejado. Los mismos infectados que estuvieron diez días sanos, continuarán enviando sus datos y sin saber en muchos casos que lo están haciendo.

IIII

De todo este estudio lo que más me ha gustado es la pelea inverosímil por registrar unos dominios que no parecen tener ningún interés. Ves a la gente darse de tortas por páginas como tuiphone.com en la esperanza de conseguir un nombre mínimamente atrayente y relacionado con la publicidad que esperas mostrar, para obtener un puñado de euros.

Mientras que otros luchan por registrar un dominio impronunciable, como onv200705a3.com, con intereses que mueven millones de euros cada año.