Asiduamente, los criminales cibernéticos compran e intercambian la información personal y financiera de sus víctimas. No obstante, los investigadores de seguridad se están dando cuenta de que los ladrones online están expandiendo su negocio ilegítimo más allá de la venta de datos. Ahora, están vendiendo acceso a su equipo.

En junio, la firma de seguridad web Finjan comunicó que sus investigadores habían encontrado una plataforma de comercio online que permitía a los compradores criminales alquilar o adquirir bloques de sistemas afectados, comúnmente denominados bots o zombies. El intercambio criminal, al que sus creadores denominaron \"Golden Cash\", representa una manera sencilla para los cibercriminales de obtener ganancias a través del control de los sistemas de sus víctimas.

Este servicio, que ha desaparecido desde que fue descubierto, tenía el objetivo de ser un recurso integral para las necesidades de un cibercriminal, explica Yval Ben-Itzak, Gerente de tecnología de Finjan.

\"Uno puede dirigirse ahí y comprar tantos equipos infectados como desee\", agrega. \"Luego, puede configurar los sistemas como desee, simplemente utilizando ese sitio\".

Estos servicios pueden representar un negocio lucrativo para sus propietarios. En el momento del informe, el sitio Golden Cash pagaba a su partners entre 5 y 100 dólares por un bloque de 1.000 equipos infectados. Los precios varían, con los sistemas de China, Taiwán, Corea del Sur y Filipinas entre los más baratos, y los de Australia entre los más caros. Así, los compradores pueden \"adquirir\" los sistemas por precios que varían desde los 20 dólares hasta los 500 por 1.000 bots, según la ubicación. Como los compradores pueden utilizar los sistemas y volver a venderlos cuando hayan terminado, la cantidad de bots disponibles se actualiza continuamente.

\"Los mismos equipos se comercializan una y otra vez y los utilizan diferentes personas\", comenta Ben-Itzak. \"Uno puede adquirirlo y utilizarlo para siempre o utilizarlo sólo por una semana.

Evolución, no revolución

Como muchos negocios lucrativos, la red Golden Cash no es una tecnología completamente nueva, sino una combinación de modelos comerciales que han funcionado bien en Internet.

En el pasado, por ejemplo, los cibercriminales con grandes botnets segmentaban el grupo de equipos en redes más pequeñas que podían vender. No obstante, Golden Cash ha mejorado ese sistema al permitir a los compradores no sólo escoger el tamaño de su botnet, sino también personalizar el software para esos sistemas.

\"Creo que estamos siendo testigos de una evolución\", dice Ben-Itzak.

Los criminales obtienen un margen de cada intercambio, por lo que el intercambio continuo de un número cada vez mayor de bots por parte de sus clientes aumenta las ganancias, agrega.

Los cibercriminales también descubrieron que intentar gestionar botnets de cientos de miles (o millones) de equipos afectados era una pesadilla. En lugar de un único botnet de un millón de equipos, 100 redes de 10.000 sistemas cada uno resulta más lógico, explica Vincent Weafer, Vicepresidente del grupo Security Response de Symantec.

\"Hemos visto sitios web alojados, la formación de grupos de afiliados y el pago por clics\", agrega Weafer. \"Todo esto ha existido durante varios años, pero Golden Cash lo ha combinado\".

Comercio de esclavos digitales

Mantener sus sistemas lejos del bloque de subastas digitales no es sencillo. Los cibercriminales, o sus partners, conocidos como afiliados, ponen en peligro incluso sitios web conocidos con códigos que pueden utilizarse para infectar los equipos de los consumidores desprevenidos.

Por ejemplo, la primera actividad del troyano Golden Cash después de haber infectado el equipo de una víctima es buscar nombres de usuarios y contraseñas que permitan el acceso a servidores de archivos. Con esas credenciales, los criminales cibernéticos pueden continuar tomando el control de los servidores web y los sitios alojados en esos servidores. En su investigación, Finjan descubrió una memoria caché de nombres de usuarios y contraseñas de más de 100.000 sitios.

\"Estas credenciales se utilizan con posterioridad para permitir a sus partners introducir código malicioso en las páginas web\", explica el informe, y agrega que \"se identificaron dominios corporativos de todo el mundo en esta lista\".

En algunos casos, entre los estafadores se incluye código malicioso en anuncios publicitarios online falsos que luego distribuyen los servicios publicitarios para que aparezcan en diferentes sitios web.

Los sitios web populares no son inmunes a estos ataques. A principios de septiembre, la edición online de New York Times alojó varios anuncios publicitarios con códigos de ataque. CNN, ZDNet, Yahoo! e incluso algunos sitios de empresas de seguridad han alojado código malicioso de diferentes maneras.

El resultado: los equipos de los consumidores que visitan sitios web legítimos que alojan anuncios publicitarios maliciosos podrían convertirse en esclavos de códigos no autorizados y ser vendidos en sitios de intercambio clandestino, como Golden Cash.

El ciclo del crimen

El negocio de vender bots tiene su propio ciclo, el cual comienza con el afiliado. Los afiliados se registran para recibir el servicio de Golden Cash e infectar los equipos de las víctimas con un troyano personalizado, y ganan dinero por cada equipo que el software pone en peligro.

Una vez que el visitante no deseado infecta un sistema informático, la primera orden es obtener los nombres de usuario y las contraseñas de los sitios web que el usuario del sistema utilice.

Luego, el sistema informático de la víctima se vuelve parte del grupo de bots esclavizados y, tarde o temprano, se ofrece a otros delincuentes online que utilizan el sitio web dedicado. Los equipos con base en el Reino Unido, Australia y los países europeos son más vulnerables que los de África y Asia, dice Weafer.

\"El pago varía entre uno o dos centavos (por sistema) y cincuenta centavos\", agrega. \"Todo depende de la ubicación de los activos\".

Las ganancias de estas estafas ilegales pueden ser enormes. Los afiliados pueden obtener millones de dólares infectando los equipos de consumidores con código malicioso Golden Cash o de otro tipo. El investigador de seguridad Dmitry Samosseiko, de la firma antivirus Sophos, encontró una captura de pantalla online que mostraba que un afiliado ganaba casi 6.500 dólares al mes gracias a una estaba con un reproductor de vídeo falso. Otro servicio para cibercriminales hacía alarde de que uno de sus socios ganó casi 5.000 dólares en once días, según escribió el investigador en una nota publicada en septiembre.

\"Suponiendo que la mayoría de los administradores de sitios web dirigen el tráfico a más de un patrocinador por vez, no sorprende que el marketing de los afiliados (y otras técnicas) sea un área profesional muy tentadora para un experto en equipos en Europa del Este\", escribió. (Reporte de Norton)