Lleva la lucha de Conficker a un nuevo nivel

Formar una alianza global para luchar contra el delito cibernético no es fácil, y construir una organización que pueda estar un paso por delante de los ciberdelincuentes en más de 100 países es casi imposible. Pero una banda de voluntarios que se hace llamar Conficker Working Group piensa que puede hacerlo.

El grupo se formó a principios de este año para tratar de contener la red masiva de computadoras infectadas por el gusano Conficker, que en el peor de los casos se pensó que estaba infectado. 10 millones de computadoras.

La seriedad del problema ayudó a que el grupo despegara, ya que los expertos técnicos de las principales empresas de Internet del mundo se unieron informalmente. Al principio se llamaron Conficker Cabal, pero ahora han aligerado el nombre, llamándose el Conficker Working Group.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Es una historia improbable, según a Paul Vixie, presidente de Internet Systems Consortium, y uno de los miembros del grupo. "Se formó como una brigada de cubos porque había una casa en llamas", dijo. "No había forma de que pudieras enfocar este nivel de talento si fuera con un objetivo a largo plazo de 'Gee, dé forma al panorama de seguridad de Internet'".

Pero ahora que está funcionando, los miembros Esperamos que pueda usarse para luchar contra otras amenazas de Internet en el futuro.

El grupo trabaja de manera informal y ad hoc. Hay un sitio web y algunas listas de correo, y alguna llamada de conferencia ocasional. Sin contratos, sin tarifas, sin talleres y sin boletines.

"Hay muchas compañías que están poniendo mucho en riesgo para hacerlo", dijo Rick Wesson, CEO de la consultora de seguridad de red Support Intelligence. "Perdió el tiempo de todos, no nos pagan por hacer esto, y es fantástico. Todos se sienten bien al hacer esto".

Lo que está en juego es mucho. Ahora se estima entre 2 y 4 millones de computadoras, Conficker sería la botnet más grande del mundo, por mucho. En general, las botnets con unos pocos cientos de miles de computadoras se consideran una gran amenaza.

El enfoque del Grupo de Trabajo se remonta a los inicios de Internet, cuando un grupo de entusiastas muy unido mantuvo la red en funcionamiento. "Fue como una fiesta de construcción de graneros Amish", dijo Vixie. "Todo el mundo simplemente iría allá y lo conseguiría".

En los años 90, el espíritu de cooperación disminuyó, ya que las personas con habilidades técnicas fueron arrebatadas por las compañías de Internet, muchas de las cuales se enfrentaron ferozmente entre sí. Pero recientemente, esa sensación de "dura competencia" ha disminuido, dijo Vixie. "Las mareas económicas son lo que son, las personas se centran en preservar lo que queda de la industria en lugar de concentrarse en una mayor cuota de mercado".

El año pasado, Vixie pudo probar este nuevo espíritu de cooperación cuando se encontró en una lleno de competidores, todos resolviendo una falla importante en el Sistema de nombres de dominio (DNS). Más impresionante aún, no se filtró ningún trabajo hasta que todos tuvieron la oportunidad de parchear.

Con el Grupo de trabajo Conficker, a veces ha sido difícil. Originalmente configurado para evitar que dos versiones anteriores de Conficker actualizaran su software, el grupo sufrió un revés con el último código Conficker.C. "Hay evidencia de que hubo una actualización que se escapó", dijo Andre DiMino, cofundador de The Shadowserver Foundation, un grupo de ciberdelincuencia que forma parte del Grupo de Trabajo.

Mientras que los expertos en seguridad creen que hay un gran cantidad de infecciones Conficker.A y Conficker.B, nadie sabe realmente cuántas de ellas pudieron actualizarse. Sin embargo, tendrán una mejor idea el miércoles cuando los clientes de Conficker.C comiencen a usar un nuevo algoritmo mucho más complicado para buscar instrucciones de un servidor de comando y control.

La versión anterior del gusano cada uno busca en 250 sitios web diferentes cada día para obtener instrucciones. Al trabajar con los registradores de nombres de dominio para bloquear a los criminales de estos dominios de Internet, el Grupo de Trabajo pudo mantener Conficker fuera del alcance de sus creadores, al menos por un tiempo.

Pero ahora con el nuevo algoritmo, ese trabajo será mucho más difícil. En lugar de cientos de dominios por día, deberán cerrar 50,000. Y tendrán que trabajar con más de 100 registradores de dominios en muchos países diferentes a medida que Conficker comienza a buscar actualizaciones en muchos rincones y grietas diferentes de Internet.

Si el Grupo de trabajo Conficker podrá mantenerse al día en este juego sin precedentes de el gato y el ratón permanecen por verse. Pero Wesson y DiMino son optimistas.

Vixie no está tan segura. "Voy y vuelvo", dijo. "Depende de si estoy o no en la parte del día en que tomo café o la parte del día en que estoy bebiendo cerveza".