A unas pocas horas de ocurrida la muerte de Michael Jackson, ya circulaba en la Internet un malware que buscaba aprovecharse del interés general del público. El país de origen del primer malware detectado por Kaspersky Labs era Brasil, una muestra clara de lo activa que está la industria del cibercrimen en la región.
Latinoamérica es una de las regiones del mundo más activas en la generación de malware, junto a China, Rusia y otros países de lengua rusa. Según Dmitry Bestuzhev, analista de Virus de Kaspersky Labs a cargo de Latinoamérica, el malware que se produce en la región se caracteriza por tener un objetivo diferente a los que se originan en otras regiones: mientras en el resto del mundo la mayoría busca formar grandes redes de computadoras infectadas, en Latinoamérica el delincuente va por una retribución inmediata, sin intentos de construir un negocio a futuro.
[<img border="0" src="/pcwla2.nsf/0/EAD4982CEED4873F85257621000E85E3/$File/10karspeskysep09.gif">]
Hay varios factores que condicionan este comportamiento en los delincuentes. En lo social, destaca la delincuencia física que existe en los países de la región y que repercute en el mundo digital. Y es que también en nuestra área “resulta mucho más seguro para el delincuente, operar en el mundo virtual donde, además de tener pocos riesgos físicos, son menos los riesgos legales, ya que incluso en muchos países ni siquiera existe una legislación al respecto, y donde la hay no existen recursos necesarios para ejercerla” señala Bestuzhev.
Sin embargo, hay diferencias notables en el tipo de malware que se encuentra en cada país de la región. Aunque en general América Latina es una buena plataforma para el malware por la cantidad de sistemas operativos ilegales que existen, no todas las amenazas logran sus objetivos. Por ejemplo Gamina, una amenaza diseñada para robar contraseñas de juegos en línea, se ha extendido de manera importante pero no son tantas las víctimas ya que no hay una costumbre de acceder a estos juegos en línea desde la región, al menos comparados con otras zonas. Bestuzhev señala que hay casos muy interesantes, como el de Brasil, uno de los cinco países más infectados por el virus Conficker a nivel mundial; sin embargo, la amenaza número uno en el país es un troyano tipo banker orientado a robar contraseñas de acceso bancario, particularmente de un banco específico: Bradesco. Esta amenaza es parte de la familia Trojan Banker.Win32.banker.
Una ojeada a la lista de virus más difundidos en la región refleja que Conficker –conocido por Kaspersky como Kido— es el más extendido, algo que no sorprende mucho. Pero el segundo lugar lo ocupa un gusano que se extiende a través de las llamadas redes punto a punto –o peer to peer- que suelen ser utilizadas para el intercambio ilícito de software, películas y música. Este gusano tiene varias formas de propagación que incluyen el contagio por medio del puerto USB al compartir memorias flash, logrando infectar a las PC de usuarios que no utilizan los programas de compartir archivos. Además, una vez instalado en un sistema, el gusano se camufla bajo la apariencia del programa de mensajería MSN Messenger y dificulta su detección; también puede adoptar la identidad de programas “peer to peer” como Kazaa o eMule. La finalidad de este usuario es conformar una botnet –red de PC zombis, hecha para el mal– de máquinas infectadas para usarlo en ataques o envíos de spam.
Parte de la razón detrás de los grandes índices de infección en la región se debe a que a pesar de que ha aumentado la penetración de la Internet, la consciencia del usuario acerca de la seguridad no. Además la gran existencia de copias piratas del sistema operativo Windows ha dejado a muchos usuarios sin acceso a las actualizaciones, convirtiéndolos en presa fácil de estas amenazas, según comenta el analista de Kaspersky. La penetración de Conficker se debió principalmente a esta última razón. Brasil, Argentina, México y Venezuela se encuentran de hecho en la lista, manejada por Kaspersky, de los 20 países más afectados por esta amenaza. El hecho de que algunas naciones, como es el caso de Venezuela, tengan una baja incidencia en la generación de spam a pesar de estar tan infectados tiene que ver con otro factor muy importante: el ancho de banda promedio en el país no es lo suficientemente atractiva –por el momento—para utilizarlas eficientemente cómo generadoras de spam.
Pero eso puede cambiar en cualquier momento. Recientemente se dio el caso del cierre de un par de proveedores de acceso a la Internet, muy complacientes con el envío de Spam, gracias a un accidente de carro en Moscú y en el que falleció el propietario de los mismos. Las autoridades aprovecharon para proceder al cierre y esto generó una mayor presión sobre las botnet en Latinoamérica, incrementándose el envío de spam desde la región.
Bestuzhev es enfático al asegurar que la actividad maliciosa se incrementa en la región. “Cada vez tenemos más detecciones heurísticas de virus desconocidos pero que son detectadas por nuestra solución, lo cual señala que los creadores de virus están muy activos. Generalmente se trata de lo que podríamos llamar malware doméstico –malware compilado en casa—con objetivos locales, lo que dificulta la detección a tiempo de estas muestras.” Un caso de esto es el virus Sality que alcanzó un gran nivel de difusión. Se trata de un virus clásico que infecta los archivos del sistema. Aunque su origen es chino, en una muestra detectada en Mayo se encuentran rastros de que el sistema operativo en que se compiló estaba en español de América Latina y dentro del contenido hay frases, en español, dirigidas a otros hackers. Todo esto implica bien que existen lazos de amistad entre los desarrolladores de amenazas locales y chinos, o que los desarrolladores locales acudieron al mercado negro para comprar el código fuente del virus y después lo modificaron y adaptaron a sus necesidades.
Otro país en el que existen creadores de amenazas es Argentina. Una muestra –que se encuentra entre las 20 amenazas más comunes—está desarrollada por un hacker del cual se conoce su apodo: Keyman. La amenaza es del tipo backdoor o puerta trasera, que se instala en la PC y luego permite al atacante tomar control, de manera remota, de la PC infectada.
De igual modo hay un rootkit programado en Brasil, que se oculta en el sistema tras un programa conocido como “alcohol120”, bastante popular entre las personas que pretenden hacer copias ilegales de películas en DVD. Los usuarios a veces detectan la presencia de este programa en la tabla de procesos de la PC, pero no lo eliminan por miedo a perder la capacidad de realizar copias ilegales de películas.
De hecho, en la lista de las 10 amenazas más frecuentes en nuestra región hay dos programadas en Argentina y dos en Brasil, demostrando el desarrollo de los cibercriminales locales.
-Por Alcídes León