Notas de prensa

El trabajo conjunto de investigación conduce a tres arrestos, y aún hay más pendientes. El robo de datos personales y económicos consecuencia de este ataque informático masivo ha afectado a casi 13 millones de direcciones IP, incluyendo la mitad de las 1000 compañías americanas más importantes. Según estimaciones, se calcula que los daños preliminares ascienden a varios millones de dolares.
Según las empresas de seguridad informática Defence Intelligence y Panda Security, la red de bots Mariposa, diseñada para robar información confidencial, ha sido cerrada por las autoridades y ha dejado de estar en poder de tres presuntos delincuentes informáticos acusados de controlar la red. Los datos robados incluyen información de cuentas bancarias, tarjetas de crédito, nombres de usuario y contraseñas de una red global de unos 12 millones 700.000 equipos comprometidos pertenecientes a usuarios domésticos, empresas, agencias gubernamentales, y universidades de más de 190 países. La red de botnets fue desactivada el 23 de diciembre de 2009 gracias al esfuerzo conjunto de diversos expertos de seguridad y agencias y cuerpos de seguridad, incluyendo Defence Intelligence, Panda Security, el FBI y la Guardia Civil española.  

Con casi 13 millones de ordenadores comprometidos, se estima que Mariposa es una de las mayores redes de bots de la historia.  Christopher Davis, CEO de Defence Intelligence, la primera empresa en descubrir esta red de bots, explica: «Sería más sencillo para mí dar una lista de las empresas del índice Fortune 1000 que no se han visto afectadas por esta amenaza, que dar el enorme listado de las que sí lo han sido».

Tras el descubrimiento de Mariposa en mayo de 2009, Defence Intelligence, Panda Security y el Georgia Tech Information Security Center crearon el Mariposa Working Group con el objetivo de aunar esfuerzos con otros expertos de seguridad y agencias y cuerpos de seguridad de diferentes países para tratar de eliminar la botnet y llevar a los criminales ante la justicia.  El principal botmaster conocido como «Netkairo» y «hamlet1917», así como otros colaboradores, «Ostiator» y «Johnyloleante», han sido arrestados.

«Los primeros análisis indicaron que los botmasters no tenía conocimientos avanzados de hacking. Esto resulta muy preocupante ya que demuestra lo sofisticado y efectivo que se ha vuelto el software de distribución de malware, que permite a criminales sin experiencia causar daños y pérdidas muy importantes.», afirma Pedro Bustamante, Senior Research Advisor de Panda Security.  «Estamos muy orgullosos del esfuerzo coordinado realizado por todos los integrantes del Mariposa Working Group y de la rapidez con la que hemos conseguido eliminar esta importantísima red de bots y atrapar a los responsables.»

A finales del año pasado, el Mariposa Working Group consiguió infiltrarse en la estructura de control de Mariposa y estudiar los canales de comunicación utilizados por los presuntos botmasters.  Dichos canales reenviaban información de los ordenadores afectados a los criminales, y son los habituales y muy similares a los también empleados en Zeus, Conficker y Koobface u otros como los utilizados recientemente en las operaciones Google/Aurora. Tras analizar los principales servidores de control ubicados el Working Group fue posible la operación coordinada de cierre de la red de bots Mariposa el 23 de diciembre. En la actualidad, Panda Security está liderando el análisis exhaustivo del malware, así como coordinado las labores de comunicación internacional con otras empresas antivirus para asegurar que sus identificadores de virus están actualizados.   Los datos más importantes del análisis preliminar de Panda Security son los siguientes: 

• Una vez el cliente de Mariposa infectaba los sistemas afectados, el botmaster instalaba diferente ejemplares de malware (keyloggers, troyanos bancarios avanzados como Zeus, troyanos de acceso remoto, etc.) para poder realizar más acciones en los ordenadores zombies.
• El botmaster conseguía dinero de diversas formas: alquilando partes de la botnet, instalando toolbars y empleando los datos bancarios y las tarjetas de crédito robadas para hacer transacciones a muleros en el extranjero.
• La red de botnets Mariposa se propaga de forma muy efectiva a través de redes P2P, dispositivos USB, y enlances MSN.

En breve se publicará un informe exhaustivo del análisis forense de Panda Security en http://research.pandasecurity.com.  Mientras tanto, es posible encontrar una breve descripción del software de la botnet Mariposa, conocido como  ButterflyBot.A, en http://www.pandasecurity.com/spain/homeusers/security-info/217587/ButterflyBot.A. 

«Una vez más, las actuaciones coordinadas y conjuntas de distintas fuerzas policiales internacionales y la Guardia Civil, junto con el esfuerzo de la industria de la seguridad en Internet, han podido hacer frente a la amenaza global del cybercrimen», Juan Salom, Comandante en Jefe del Grupo de Delitos Telemáticos de la Guardia Civil.

Según Dave Dagon, del Georgia Tech Information Security Center: «En lugar de hacer gráficos de tarta, debemos tratar las redes de bots como el escenario de un crimen y no como un simple proyecto de investigación.»

El Mariposa Working Group ha tomado oficialmente el control de los canales de comunicación empleados por Mariposa, aislando de forma efectiva la botnet de sus creadores. En un aparente acto de venganza, se produjo un ataque Distribuido de Denegación de Servicio (DDoS) en contra de Defence Intelligence poco después del cierre de la red de bots el 23 de diciembre de 2009.  Dicho ataque fue lo suficientemente fuerte como para afectar a un importante Proveedor de Servicios de Internet, muchos de cuyos clientes se quedaron sin conexión a Internet durante varias horas.

Según un representante de CDmon, el ISP español que colaboró en la investigación y en el que se alojaban los dominios empleados por los criminales: «Para nosotros ha sido un placer colaborar en esta operación a nivel internacional, junto con la Guardia Civil Española, Panda Security, Defence Intelligence y otras fuerzas de seguridad para desmantelar esta red de bots. Desde CDmon apostamos siempre por una Internet de calidad garantizando en todos nuestros servicios un alto estándar de calidad y seguridad. Esta colaboración ha supuesto una gran victoria en la lucha contra el delito informático».

«Seguiremos combatiendo la amenaza de las redes de bots y a los criminales que se encuentran tras ellas,» afirma Davis. «Empezaremos desmantelando sus infraestructuras y no pararemos hasta ponerlos delante de un juez».

Defence Intelligence está intentando contactar con las organizaciones afectadas. Para descubrir si la seguridad de su organización se ha visto comprometida, póngase en contacto con Defence Intelligence a través de la dirección de email compromise@defintel.com. 

Sobre Defence Intelligence:
Defence Intelligence es una empresa de seguridad informática especializada en la protección de información. Con base en Ottawa, Canadá, los fundadores de Defence Intelligence son expertos del sector reconocidos a nivel mundial. Se han encargado de la seguridad de la información en empresas de la lista Fortune 50, consultado con cientos de empresas privadas e instituciones gubernamentales y colaborado en la captura y procesamiento de criminales informáticos internacionales. Para más información, visite http://www.defintel.com.

Sobre Guardia Civil
La Guardia Civil es una de las dos policías de ámbito nacional del estado español y tiene entre sus misiones la seguridad ciudadana, funciones de Policía Administrativa, Resguardo Fiscal del Estado, Servicio de Información y Policía Judicial, donde se enmarca una de sus unidades de élite, la Unidad Central Operativa (UCO), encargada de la lucha contra el crimen organizado. Para más información en: http://www.guardiacivil.org/index.jsp

Sobre Panda Security
Fundada en 1990, Panda Security es la empresa líder a nivel mundial en soluciones de seguridad basadas en la nube. La compañía cuenta con productos traducidos a más de 23 idiomas y millones de clientes en 195 países. Panda Security fue la primera empresa de seguridad informática en aprovechar el potencial del 'Cloud Computing' con su tecnología de Inteligencia Colectiva. Este innovador modelo de seguridad puede analizar y clasificar de forma automática miles de nuevas muestras de malware al día, proporcionando a los clientes corporativos y a los usuarios domésticos la protección más eficaz contra las amenazas de Internet con mínimo impacto sobre el rendimiento del PC. Panda Security cuenta con 56 oficinas repartidas por todo el mundo y oficinas centrales en Estados Unidos (California) y Europa (España).
Como parte de su política de Responsabilidad Social Corporativa, Panda Security colabora con Special Olympics, WWF e Invest for Children.
Para más información, visite http://www.pandasecurity.com/.
Para más información:
comunicacion@pandasecurity.com
Tel. +34 91 806 37 00

El encuentro, organizado por Panda Security, reunió en Madrid a más de 200 personas y se retransmitió  por streaming, con la participación de internautas de todo el mundo a través de Twitter

Los ponentes, todos ellos vinculados a la seguridad de la información, resaltaron la necesidad de trasladar a la sociedad los peligros del cibercrimen y abordaron las distintas vías de regulación

Brian Krebs, periodista de investigación y experto en cibercrimen: «La ciberdelincuencia se parece cada vez más al negocio de la droga. Podríamos hablar del Cártel de la ciberdelincuencia»

El II Security Blogger Summit, celebrado el pasado jueves en Madrid, abordó el funcionamiento de las mafias en Internet y los peligros a los que hoy en día están sometidos los usuarios en la red. Asimismo, se estableció un foro de debate en torno a la necesidad de potenciar  medidas y  regulación que impida a los ciberdelincuentes actuar impunemente.

Este año, el encuentro ha congregado a más de 200 expertos y blogueros interesados en el mundo de la tecnología. Además, internautas de todo el mundo pudieron seguir la conferencia a través de Internet y trasladar sus preguntas y comentarios a través de la red social Twitter.  Entre los ponentes del Security Blogger Summit han participado varios reconocidos blogueros y periodistas dedicados a investigar sobre el cibercrimen, como Brian Krebs y Joseph Menn, que con varios años de experiencia, resaltaron el gran volumen de dinero que se mueven en estas mafias y la dificultad a la que se enfrentan los gobiernos a la hora de detenerlos.

Según Brian Krebs, «Cada vez hay más similitudes entre los ciberdelincuentres y las mafias de la droga. Se mueven únicamente por dinero y actúan de forma piramidal. Cada grupo dentro de la organización tiene una responsabilidad: unos desarrollan malware, otros identifican bancos a los que atacar, y otros lo distribuyen». Josehp Menn añadió «Existen además muchas trabas legales que dificultan la detección de estas mafias. Si eres hacker y operas en un país que no es el tuyo, es muy difícil que te detengan». 

En la mesa redonda, además de Brian Krebs  y Joseph Menn, participaron Kurt Wismer (blogger que a través de anti-virus-rants.blogspot.com evalúa la situación del cibercrimen y cómo afectan los virus al usuario), Macerlo Rivero (investigador y autor de www.infospyware.com), John Leyden (periodista experto en cibercrimen de The Register), Yago Jesús (bloguero y autor de www.securitybydefault.com) Marc Cortés (experto en marketing y comunicación y autor de www.interactividad.org) Alejandro Suárez (bloguero reconocido de la Red de Blogs de Ocio Networks SL) Javier Sanz (autor de www.adslzone.net y experto en nuevas tecnologías) y Paloma Llaneza (Abogada de AEDEL y Miembro del Consejo Nacional Consultor de Ciberseguridad –CNCCS-) 

Delincuencia sin castigo
En la actualidad, el 95% del malware está destinado a robar contraseñas y aquellos usuarios que manejen información más o menos valiosa son potenciales víctimas del cibercrimen. Este problema y la facilidad con la que  se extiende el malware, así como la dificultad con la que se llevan a cabo este tipo de detenciones, fueron abordadas por los ponentes del encuentro con gran preocupación.

Los ponentes señalaron a Europa del Este y China como las zonas donde más malware se genera, así como la escasa actuación de ambos gobiernos en la lucha contra el cibercrimen. «Hoy en día, además de encontrarnos con la dificultad de detener a un hacker por delitos que comete fuera de la jurisdicción de un país, sucede muchas veces que es muy difícil probar que la persona virtual que ha cometido el delito se corresponde con el detenido», aseguró Paloma Llanera, abogada y miembro del Consejo Nacional Consultor de Cyberseguridad (CNCCS).

Algunos de los ponentes apuntaron también la rapidez con la que los delincuentes actúan y la falta de medios de las fuerzas de seguridad. «La legislación va siempre por detrás de la forma en la que actúan los ciberdelincuentes y eso impide a la policía actuar con mayor rapidez», añadió Yago Jesús. «El problema ya no está en lo que sucede en otros países. En España no existen medios suficientes para poder actuar con eficacia». Joseph Menn afirmó también que incluso en países como EEUU, seguían vigentes leyes de los años 70 que en la actualidad no son capaces de hacer frentes a delitos de fraude que se comenten día a día en Internet.
Educación, concienciación y responsabilidad

La educación y la necesidad de concienciar al usuario formaron también parte de la agenda de este II Security Blogger Summit. Varios ponentes argumentaron que lo más adecuado era emplear «nuestro sentido común». «Si cuando salimos de casa cerramos la puerta, o cuando nos bajamos del coche, lo cerramos, deberíamos hacer lo mismo en Internet», afirmó Alejandro Suárez». «Tenemos que ser capaces de ver qué medidas nos van a llevar a infectarnos y cuáles no. El sentido común en Internet va a ser necesario para navegar en la red», añadió Marcelo Rivero.

En lo que se refiere a responsabilidad y de si es necesaria una legislación, los ponentes insistieron en la dificultad de establecer una legislación global. «Lo más adecuado sería poder exigir una responsabilidad a las empresas privadas y a los organismos públicos», señaló Yago Jesús. Brian krebs añadió que «si entre todos pudiéramos establecer una lista negra de sitios no recomendados o con escasa reputación, podríamos prevenir una gran cantidad de ataques y advertir al usuario de qué sitios web pueden infectarle».

Además, Brian Krebs explicó la necesidad de exigir una responsabilidad sobre las empresas que proveen los servicios de Internet. «Si hoy en día, existen leyes En EEUU que obligan a los proveedores de Internet a cerrar una página web en 48 horas si se detecta que se está pirateando música y vídeo, debería suceder lo mismo con el cibercrimen». 

Finalmente, preguntado por el público, se habló de la seguridad en las redes sociales, especialmente en aquellas más dirigidas a un público adolescente. «Lamentablemente, los adolescentes establecen un canal de comunicación donde los padres no les pueden aconsejar. Deberíamos de ser capaces de comportarnos en Internet de la misma forma que nos comportamos en nuestra vida real, para evitar que nos podamos ver perjudicados», añadió Marcelo Rivero.
Más información sobre el 2nd Security Blogger Summit en www.securitybloggersummit.com.

Sobre Panda Security
Fundada en 1990, Panda Security es la empresa líder a nivel mundial en soluciones de seguridad basadas en la nube. La compañía cuenta con productos traducidos a más de 23 idiomas y millones de clientes en 195 países. Panda Security fue la primera empresa de seguridad informática en aprovechar el potencial del 'Cloud Computing' con su tecnología de Inteligencia Colectiva. Este innovador modelo de seguridad puede analizar y clasificar de forma automática miles de nuevas muestras de malware al día, proporcionando a los clientes corporativos y a los usuarios domésticos la protección más eficaz contra las amenazas de Internet con mínimo impacto sobre el rendimiento del PC. Panda Security cuenta con 56 oficinas repartidas por todo el mundo y oficinas centrales en Estados Unidos (California) y Europa (España).
Como parte de su política de Responsabilidad Social Corporativa, Panda Security colabora con Special Olympics, WWF e Invest for Children.
Para más información, visite http://www.pandasecurity.com/.

Para más información:
Yolanda Ruiz
yolanda.ruiz@pandasecurity.com
Carlos Arias
carlos.arias@pandasecurity.com
Tel. +34 91 806 37 00
Móvil: +34 607 572 155

Perception&Image
panda@perception-image.com
Tel. +34 91 351 39