Se calcula que gracias a Coreflood robaron decenas de millones de dólares copiando las contraseñas y los datos financieros de las víctimas. Aunque éste no representa una amenaza para América Latina, existen redes aun más peligrosas que no han sido desmanteladas.

Hace una semanas se conoció la noticia de la desmantelación en Estados Unidos de la botnet responsable de infectar a 1,8 millones de computadores en dicho país, y más de 2.3 millones en todo el mundo, con un virus conocido como Coreflood. A través de él se cree que los responsables podrían haber robado más de 100 millones de dólares.

Si bien esta desmantelación marca un hito en la lucha contra la ciberdelincuencia, las autoridades estadounidenses reconocen que con estas acciones únicamente han desactivado la red actual de ordenadores zombis para Estados Unidos pero que eso no significa que el malware Coreflood haya sido eliminado de internet.

Según estadísticas de Kaspersky Lab algunos de los países con mayor actividad de Coreflood, aparte de Estados Unidos, son China e India. En América Latina Coreflood no representa una gran amenaza, no porque sus usuarios sean inmunes, sino simplemente porque no han sido blancos de estos criminales, dice la empresa.

Pese a que la actividad de Coreflood en América Latina es baja, Dmitry Bestuzhev, investigador Regional Senior para América Latina del Equipo de Investigación y Análisis Global de Kaspersky Lab, subraya que en nuestra región tenemos muchos otros tipos de botnets que pueden ser incluso más peligrosas. “Estas botnets pueden hacer lo mismo que hace Coreflood, incluso desde el punto de vista de su funcionamiento y de su eliminación del sistema es mucho más sofisticado. No es una amenaza menor sino que yo diría que es mucho más seria”.

Cifras de Kaspersky Lab indican que Kido (también llamada Conficker o Downup Devian por otras empresas de antivirus) es la principal botnet de America Latina. Todos los países de la región, incluyendo Chile, la tienen en el TOP 10 de las amenazas.

¿Qué es una botnet? Una botnet o red zombi es una red de equipos infectados por un programa malicioso que permite a los ciberdelincuentes manejar estos equipos a distancia sin que el propietario se dé cuenta. Se usa un programa de código malicioso, que vincula el PC a la botnet. Una vez que el ordenador se infecta, envía a los criminales un “saludo” con los datos y la dirección de la víctima. El criminal vincula esta dirección con el centro de comandos de control y tiene un control remoto permanente sobre el computador.

En el caso de Coreflood, una vez instalado el troyano se utiliza la técnica de keylogger mediante la cual se registra todo lo que la víctima escribe en su teclado para luego reenviarles la información a los criminales. La información robada incluye las teclas pulsadas por el usuario y fotografías de pantallas, las cuales se utilizan en el robo de información bancaria para llevar a cabo los fraudes en línea.

Kido opera con un gusano que se propaga a sí mismo principalmente a través de una vulnerabilidad de Windows, carpetas compartidas en la red y dispositivos de USB. Cuando ha infectado un computador, se contacta con un servidor, donde recibe instrucciones posteriores sobre propagarse, recolectar información personal o descargar malware adicional en el computador víctima. “Con una botnet, el ciberdelincuente puede buscar información en el disco duro, monitorear la actividad del usuario y robar datos personales, entre ellos correos electrónicos y claves bancarios, o utilizar el ordenador para enviar spam, en resumen, puede hacer prácticamente lo que quiera”, señala el analista de Kaspersky Lab.