By 
En el Centro de Operaciones de Seguridad (SOC) de S21 Sec, una compañía española especializada en ciberseguridad, alrededor de 25 empleados no pierden de vista las pantallas de sus computadoras mientras buscan anomalías que reflejen un presunto comportamiento de malware. Una de las paredes tiene dos paneles gigantes que reflejan una imagen proyectada de un mapa del mundo y multitud de gráficos que analizan, en tiempo real, los miles de dispositivos de los clientes de esta empresa madrileña. A ambos lados se encuentran cuatro televisores más, encargados de avisar si se produce algún tipo de alerta.
La empresa fundada por Xabier Mitxelena (actual CEO) y Miguel Fernández hace 15 años cuenta hoy en día con oficinas en EE.UU., México, Reino Unido, Portugal, Barcelona, Pamplona y Madrid.
Fue en esta última donde se detectó Dridex, un virus informático que estaba haciendo estragos en las cuentas bancarias de cientos de miles de usuarios de todo el mundo y que traía de cabeza al Europol y FBI. «No fue una casualidad. Detectamos que algo se estaba comportando como Cridex, pero no era Cridex. Fue en ese momento cuando comenzamos a investigar por nuestra cuenta creando una firma específica», explica David Ávila Parodi, Manager de eCrime de S21 Sec.
Un troyano que roba cuentas bancarias
Desde que el troyano Zeus hiciera su aparición en 2006, se ha observado una tendencia creciente en el número de virus que infectan a usuarios en todo el mundo. En concreto, Francia, Reino Unido y España desde hace cuatro años con unos de los blancos preferidos de los delitos cibernéticos en Europa.
Principalmente, son los troyanos de carácter bancario los que constituyen una mayor amenaza para los usuarios. Entre ellos destaca Dridex, que ha hecho su aparición estelar en la escena cibernética durante los últimos meses.
Dridex es una evolución del malware Cridex y que hizo su aparición a finales de 2014 por medio de una campaña de «spam» que generó más de 15.000 correos electrónicos cada día. El volumen de fraude ha sido extremadamente elevado, superando los 344.721 equipos infectados en más de 195 países. Francia y Reino Unido han sido los más afectados con un 50% del total.
Su forma de actuar es aparentemente sencilla: se hace con las credenciales de los usuarios cuando intentan conectarse a la sesión del banco y después intenta robarles. Según datos del FBI, se puede atribuir unas pérdidas de al menos 10 millones de dólares a ataques de este virus sólo en EE.UU.
«Lo que hicimos fue crear una firma específica en nuestra plataforma de análisis con el propósito de crear reglas que nos permitieran identificar el malware que se estaba ejecutando. Desde ese momento percibimos que el número de muestras estaba aumentando», añade Parodi.
Cómo llegar del virus al ciber delincuente
La mayoría de malware se vende para que lo utilice cualquiera a cambio de un módico precio. Dridex no. En este caso, este código malicioso era utilizado por la propia banda de cibercriminales que se dedicaba a explotarlo, lo que para S21 Sec fue una ventaja.
«No es lo mismo investigar una amenaza en forma de miles de ‘bots’ que otra gestionada únicamente por unos pocos usuarios. Cuando nos dimos cuenta de esta peculiaridad realizamos un seguimiento de todas las muestras de Dridex que habíamos detectado, con el propósito de descubrir desde dónde se conectaba. Para eso generamos un mapa de toda su estructura para ver en qué países estaba y hacernos una idea de cuál era su dimensión exacta», esclarece Parody.
Lo que se encontraron fue una mafia al mando de cientos de servidores diferentes robando datos a miles de usuarios. Cada vez que un internauta infectado introducía su contraseña en el ordenador lo que hacía era enviarla a cada uno de ellos. Había mas de 800.
«En ese momento nos dimos cuenta de que por nuestros propios medios no íbamos a ser capaces de neutralizarlo», reconoce Parodi. Los encargados de hacerlo fueron la Europol, el FBI y la Guardia Civil, con la ayuda de esta compañía española, quienes en una operación conjunta lograron detener recientemente en Chipre al líder de esta banda cibercriminal, de nacionalidad moldava, y que fue acusado formalmente de conspiración criminal.
A pesar de que no han podido dar detalles de la operación, fuentes de la Guardia Civil explicaron que «el 80% de las investigaciones de este tipo de delitos telemáticos se realizan rastreando las IP de los usuarios. El procedimiento a seguir ante un email con ‘phishing’ es rastrear la IP. Una vez localizado el punto de salida original del virus sólo queda esperar a que repitan.
«Puede ser una casa o una cafetería. El problema viene cuando hay países que no colaboran. En la mayoría de estados de África por ejemplo no se investigan los delitos telemáticos, algo que están aprovechando muchos ciberdelincuentes», concluyen.
AG
Con información de El Confidencial.
Fotografía Gettyimages.
Comments