En el ojo del huracán

El rastro del dinero

En un análisis real que Corrons presentó, el troyano MPACK, durante el periodo abril-mayo de 2007, consiguió instalarse en 41 servidores y distribuirse en 366.717 páginas Web mediante la técnica iFrame infectando a más de un millón de usuarios. El MPACK se puede comprar por 1.500 dólares (1.200 euros), y dependiendo de la zona o el país, el atacante consigue entre uno y 20 céntimos de dólar. Con más de un millón de sistemas infectados, el resultado es un negocio más que rentable.

Aún así, las estructuras y el movimiento de dinero de las mafias son complicados y difíciles de detectar por no nada de  infiltrarse en ellas. Normalmente, las bandas contratan el servicio de un programador para crear un malware a medida. A continuación, las bandas criminales lanzan el malware a miles de usuarios solicitando cuentas email y/o contraseñas. Con esta información, la banda revende estos datos a terceros (otras bandas) que, mediante muleros, inician ‘scams’ (engaños) financieros.

El dinero pasa del usuario a los muleros y estos hacen transferencias bancarias a las bandas mediante Western Union o algún otro medio de pago. Pero sobre todo, son transacciones anónimas difíciles de rastrear. Los muleros, peones prescindibles de las bandas, nunca llegan a conocer los jefes de las mafias. “En general, después de meses de investigación”, asegura Corrons, “la policía sólo consigue pillar a los muleros mientras que las mafias siguen operando normalmente”.

Tecnologías de protección

Para hacer frente a todo tipo de ataques, PandaLabs ha puesto en marcha su tecnología de Inteligencia Colectiva (TechWEEK 785) que recoge información de ataques de su colectivo de usuarios. Para Corrons, es una forma diferente de enfocar la seguridad.

En general, los proveedores de seguridad utilizan tecnologías basadas en la descarga de firmas que anulan la operación del malware y el análisis heurístico que monitoriza el comportamiento del ataque. Sin embargo, con más de 15 millones de malware de todo tipo, estás metodologías consumen demasiados recursos de sistema ralentizando el rendimiento del ordenador.

La Inteligencia Colectiva de Panda Security aprovecha ‘la nube’para distribuir solamente las firmas más importantes. La compañía utiliza varias herramientas que analizan y clasifican la información procedente del colectivo conectado a la nube. Así, cada fichero portable y/o ejecutable pasa por una serie de filtros, y según las características de los códigos de un fichero sospechoso en comparación con otros ficheros en la base de datos de malware que presentan un perfil parecido, se puede categorizar como un fichero bueno o malo.

Kerberos

Este sistema de filtración y clasificación se llama Kerberos, nombre que procede del perro guardián de Hades de mitología griega que evitaba la fuga de espíritus malignos, y es la clave detrás de la Inteligencia Colectiva de PandaLabs. El sistema es completamente automático y autónomo clasificando los ficheros sin intervención humana las 24x7. Conceptualmente, es un técnico robot automático de PandaLabs cuya sola tarea es la comparación y clasificación de ficheros utilizando sofisticados modelos de clasificación desarrollados por investigadores de Panda Security basados en técnicas avanzadas de machine learning (inteligencia artificial). Kerberos incorpora toda la información colectiva para cada fichero y produce un veredicto de goodware o malware.

Una vez que el sistema clasifica un fichero como malware, esta característica junto con la firma, sube a la nube de forma automática y está disponible para todo el colectivo.