Es un viernes cualquiera en las oficinas centrales de Sunbelt Software. En un rincón de la duodécima planta, Eric Sites observa la pantalla de un 'equipo sucio,' un sistema Windows infectado con un gusano de red auto replicante llamado Wootbot.

En otro lado de la oficina, el equipo de pruebas no parcheado "Es una guerra de inteligencia. Los jefes de las botnets avanzan a un ritmo imparable y no tenemos los recursos suficientes para evitarlo. Tenemos demasiados obstáculos por delante", en palabras de Evron.

La complejidad de estas redes ahora incluye el uso de equipos secuestrados como host de servidores DNS que proporcionan servicios de rectificación de dominios para los criminales. Esto permite a un administrador de bots cambiar dinámicamente las direcciones IP sin necesidad de cambiar el DNS o el hosting (el movimiento constante de dominio para no dejar ningún rastro) de los ataques phishing.

Las estadísticas de múltiples fuentes justifican el pesimismo de Evron. Según datos recopilados por la herramienta de eliminación de software malicioso, MSRT de Microsoft, los troyanos de 'puerta trasera' y las bots representan "una amenaza importante y tangible para los usuarios de Windows". Desde la primera revisión de MSRT en enero de 2005, la herramienta ha eliminado por lo menos un troyano en 3,5 millones de ordenadores. De los 5,7 millones de equipos Windows infectados, un 62 por ciento contenía un troyano o una bot.

El juego del gato y el ratón

Trend Micro, la compañía de seguridad especializada en tecnología que mitiga los efectos de las botnets para los ISPs, estima que más del 5 por ciento de todos los ordenadores conectados a Internet ha sido utilizado en una red bot y que estas redes han ido creciendo en sofisticación durante los últimos años.

Jon Stewart, un investigador jefe en SecureWorks de Atlanta, pasa la mayoría de su tiempo realizando una ingeniería inversa de las bots y espiando las comunicaciones entre éstas. Y sus conclusiones confirman los peores pronósticos: que los administradores de redes robot están ganando este juego del gato y el ratón con tecnologías avanzadas antidetección.

Un ejemplo clásico de esta sofisticación vino en forma del troyano Sinit que empleaba un modelo de distribución peer-to-peer. "Con Sinit no había ningún servidor central que pudiera bloquearse. Cada máquina formaba parte de una red peer-to-peer a través de la cual los troyanos se propagaban a otros host", dijo Stewart. "El administrador insertaba una instrucción en un nodo y después, se difundía en todos los demás nodos. Lo realmente sofisticado de este modelo fue la manera en que los códigos fueron firmados digitalmente. Fue casi imposible craquearlos".

Evron, que ha estado monitorizando las botnets desde 1996, dice que los criminales utilizan servicios DNS dinámicos para evitar la detección. "No existe una estructura de control-e-instrucción, y como consecuencia, no conseguimos encontrarlas y desmantelarlas. Durante un tiempo, la estructura de comandos fue el vínculo débil. Hoy día, disponen de un nivel de redundancia y canales alternativos que imposibilita nuestra tarea".

Un gran motivo: el ánimo de lucro

El ataque del gusano MocBot el pasado septiembre nos proporcionó la evidencia más clara del dinero que puede generar una botnet bien organizada.

Durante el ataque, que explotaba una vulnerabilidad de Windows Server Service, los investigadores descubrieron que los PCs secuestrados se utilizaban para instalar adware de DollarRevenue, una compañía que paga entre 30 céntimos y un dólar por instalación. En menos de 24 horas, las redes controladas por IRC se apoderaron de más de 7.700 máquinas. Durante un periodo de cuatro días, los investigadores contaron 9.700 infecciones procedentes de un único centro de control-e-instrucción, y calcularon que el atacante obtuvo aproximadamente 350 euros en comisiones.

Según Stewart, la mayoría de la actividad de las bots está relacionada con el envío de spam y los ataques phishing que pretenden robar información personal.

La bot típica se instala en miles de máquinas para 'robar' las direcciones de correo. A continuación, instala y abre un proxy SOCKS genérico para el envío masivo de spam.

En la mayor parte de los casos, los guardianes alquilan estas redes a los spammers, pero Stewart dice que existen pruebas de bandas organizadas que operan estas redes con el único motivo del lucro.

Se utilizan para extorsionar (ataques DoS distribuidas), registrar el teclado para robar contraseñas y números de cuentas bancarias, e incluso para manipular algunos juegos online.

Parte del éxito de las bots tiene que ver con la poca coordinación entre los gobiernos de distintos países (resulta muy difícil para un agente en los EEUU coordinarse con agentes en Rusia o China). Otra de las razones reside en los ISPs pequeños. No hay ningún incentivo a la hora de proporcionar un servicio de soporte a un individuo cuya máquina ha sido infectada (el coste del servicio resultaría más costoso que el precio de suscripción). Esto, más el hecho de que la mayoría de usuarios de Windows no parchean sus sistemas, da lugar a un ecosistema que invita a ser atacado.