, Pero ¿dónde están los federales?

Ilustración: John BleckOn 14 de octubre, la Comisión Federal de Comercio de EE. UU., con la ayuda de la Oficina Federal de Investigaciones de EE. UU. y la policía de Nueva Zelanda, anunció que había cerrado una gran red internacional de spam conocida como HerbalKing.

Fue un momento triunfal para la FTC, que dijo que el grupo había sido vinculado a hasta un tercio del correo no deseado en Internet. En una entrevista con The New York Times, el comisionado de la FTC Jon Leibowitz fue modesto en su evaluación de la situación. "Estaban enviando cantidades extraordinarias de correo no deseado", dijo. "Esperamos en algún nivel que esto ayude a hacer una pequeña mella en la cantidad de correo no deseado que ingresa a los consumidores".

La operación HerbalKing de la FTC acaparó muchos titulares, pero no sirvió para nada. reducir la cantidad de spam en Internet, dicen los investigadores. En una semana, el spam era un problema tan grande como siempre.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

En cambio, tomó otra operación, dos semanas después, contra el ISP (servicio de Internet) proveedor) McColo en San Jose, California, para realmente reducir la cantidad de spam. Pero aunque McColo parece haber sido un patio de recreo para delincuentes de Internet, ninguna agencia federal, ni la FTC, ni el FBI, ni el Servicio Secreto ni el Departamento de Justicia, estuvieron involucrados en cerrarla.

Con McColo, investigadores de Internet y el reportero del Washington Post, Brian Krebs, avergonzó esencialmente a los ISP Global Crossing y Hurricane Electric por la caída del servicio de McColo, cuya red se había asociado con una variedad de actividades ilegales desde computadoras botnet pirateadas hasta spam e incluso pornografía infantil.

A diferencia de HerbalKing, los resultados después del derribo de McColo fueron dramáticos. Aproximadamente la mitad del spam en Internet desapareció.

La división IronPort de Cisco Systems dice que aunque ha habido algunos picos breves en la actividad, el spam sigue siendo significativamente inferior al que tenía antes del derribo de McColo. No se pudo contactar a McColo para hacer comentarios sobre esta historia.

Pero dos semanas después de que McColo fuera retirado por sus proveedores de red, el centro de datos de la compañía permanece intacto. Eso frustra a algunos investigadores de seguridad que dicen que los servidores utilizados para controlar estas operaciones podrían proporcionar un tesoro oculto de evidencia sobre ciberdelincuentes.

"No me sorprende, aunque me decepciona", dijo Richard Cox, CIO de la organización. antispam grupo Spamhaus. Cox, que trabaja con la policía en casos de spam, dice que aunque los investigadores federales pueden entender cómo funciona una operación como McColo, lograr que sus jefes acepten tomar medidas puede ser difícil. "Las personas en las trincheras están siendo dirigidas por personas que piensan que son políticos", dijo.

McColo estaba en el radar del gobierno federal, al igual que docenas de otros proveedores de servicios en todo el mundo que son conocidos proveedores de los llamados a prueba de balas servicios de alojamiento, que nunca se retiran, a pesar de las quejas, según una fuente de una agencia federal de orden público que habló bajo condición de anonimato porque no estaba autorizado a hablar con la prensa.

Mientras que los investigadores pueden sentir que tienen un caso contra McColo, es otra cosa completamente diferente convencer a un abogado del Departamento de Justicia de los Estados Unidos para que solicite una orden de captura de cientos de servidores, y aún más difícil conseguir que un juez federal autorice esto. "Hay una razón por la cual no fuimos y tomamos todos los servidores", dijo. "Si quiere una orden de detención para cientos de servidores … eso es muy difícil".

El DOJ y el FBI se negaron a hacer comentarios sobre McColo.

Otro problema: se cree que los criminales asociados con McColo viven en Rusia y Europa oriental, donde los delitos informáticos rara vez son procesados. Entonces, un enjuiciamiento exitoso requeriría extradición y eso podría ser muy difícil de lograr, dicen los observadores. "Derrotas a McColo y lo que obtienes es una carga enorme para los abogados del Departamento de Justicia y muy poco rendimiento, porque en realidad tienes que salir de los EE. UU. Para recoger a los verdaderos culpables, "Cox dijo.

Si bien no hay duda de que las actividades asociadas con McColo son ilegales según la ley estadounidense, la idea de que se pueda enjuiciar a un ISP por incitar a actividades ilegales no se ha probado, por lo que cualquier fiscal que tome este caso correrá un gran riesgo de que el caso ser arrojado fuera de la cancha.

Sin embargo, hay al menos un precedente. El 14 de febrero de 2004, el FBI cerró las operaciones en un pequeño ISP de Ohio llamado Creative Internet Techniques en un evento que el FBI apodó la masacre del Día de San Valentín. En ese momento, fue el derribo más grande del FBI en la historia de la organización. Cerca de 300 servidores fueron incautados luego de que Creative Internet, también conocido como FooNet, se vinculó a ataques distribuidos de denegación de servicio.

La razón por la cual algunos expertos en seguridad pidieron un derribo similar en McColo tiene que ver, en parte, con el disimulado manera en que los clientes de McColo fueron interrumpidos. Los investigadores dicen que las computadoras de McColo en realidad no estaban enviando correo no deseado, simplemente ejecutando el comando y controlando los servidores que formaban un estimado de medio millón de computadoras botnet infectadas. Estas máquinas infectadas tomarían sus instrucciones de los servidores de la red de McColo, pero si esas computadoras alguna vez se desconectaran, se les proporcionarían otros dominios de Internet de respaldo para buscar comandos.

Para mantener las cosas en secreto, los delincuentes no los habían registrado dominios, pero habían codificado varios cientos de ellos en su software botnet. Pero los investigadores aprendieron estos nombres de dominio mirando el código de la botnet para averiguar qué harían las computadoras pirateadas cuando cayera McColo. Poco antes de que la red McColo fuera desconectada por Global Crossing y Hurricane Electric, los investigadores registraron cientos de dominios de respaldo.

Cuando las botnets no pudieron ir al espacio de IP de McColo para obtener instrucciones, comenzaron a buscar su los dominios de copia de seguridad, pero estos fueron controlados por los investigadores de seguridad. Ahora, desconectados de sus servidores de control y sin poder conectarse a una copia de seguridad, dos de las peores botnets de Internet, Srizbi y Rustock, han sido decapitadas.

"Tiene que haber cientos de miles de bots por ahí que no son "Llamar a casa ahora mismo", dijo Joe Stewart, un experto en botnets de SecureWorks que ha rastreado la situación de McColo.

Es muy posible que estos bots se deshabiliten para siempre, siempre que las computadoras de McColo no vuelvan a estar en línea. Pero eso es exactamente lo que sucedió hace una semana, cuando un revendedor del ISP sueco TeliaSonera volvió a conectar a McColo temporalmente.

El error se notó rápidamente, y TeliaSonera desconectó rápidamente a McColo. Pero el proveedor de seguridad FireEye reconoce que los delincuentes pudieron recuperar el control de miles de computadoras botnet durante esta breve ventana de oportunidad. Cuando McColo regresó a Internet, su espacio de direcciones IP volvió a funcionar y los ciberdelincuentes pudieron enviar instrucciones a sus computadoras botnets. No habrían podido hacer esto si el FBI hubiese podido cerrar el centro de datos de McColo en San José, California, como lo hizo con Creative Internet.

Internet creativa fue excepcionalmente descarada sobre sus actividades y ese tipo de ataque es es poco probable que vuelva a suceder, dijo Spamhaus 'Cox. "No se puede probar ese tipo de casos a un nivel suficiente como para llevarlo a un gran jurado", dijo. A los ISP casi siempre se les da un pase cuando se descubre este tipo de actividad en su red porque pueden negar de manera plausible que sabían algo al respecto.

Sin embargo, la FTC desea cambiar eso. En abril, la FTC solicitó al Congreso cambios en la Ley de la Comisión Federal de Comercio (Federal Trade Commission, FTC Act) que le permitiera perseguir a los que ayudaban y fomentaban el fraude, lo que le permitiría cumplir objetivos como los ISP de mal actor que han ayudado a empresas fraudulentas.

ya le otorgó a la FTC una autoridad similar para perseguir a los corredores que a sabiendas proveen listas a los telemercaderes, dijo Steven Wernikoff, un abogado de la FTC. "Es difícil ver por qué las personas que facilitan el fraude a través de Internet deben obtener un pase", dijo.

La estructura de las operaciones de cibercrimen se ha transformado en los últimos años y tendrá que ser procesada más como investigaciones de la Mafia de larga duración que como acciones puntuales contra los spammers individuales, dicen los observadores.

"En definitiva, el problema es que todavía estamos en el proceso de construcción de un proceso de cumplimiento de delito cibernético maduro ", dijo Jon Praed, socio fundador de Internet Law Group, que ha litigado contra los spammers en nombre de grandes compañías como Verizon Online y AOL. "Los enjuiciamientos penales requieren una gran cantidad de recursos y es poco probable que los fiscales busquen a alguien a menos que sepan que van a obtener una condena".

Praed desea ver que las empresas afectadas por el correo no deseado criminales. Le gustaría que las empresas compartan información sobre los malos actores y traigan más acciones civiles contra los spammers y sus habilitadores. Si las empresas pudieran evitar que los ciberdelincuentes usen negocios legítimos, podrían cambiar la economía fundamental de la industria del correo basura, y hacerlo demasiado costoso para muchos jugadores.

"Todos esos tipos malos necesitan servicios habilitantes", dijo. "No están volando en las líneas aéreas criminales. Están comprando sus computadoras de fuentes confiables. Están usando un software comercial estándar, y usan tarjetas de crédito y teléfonos celulares como tú y como yo. Eso significa corporativo América colectivamente tiene una enorme cantidad de información sobre los malos en sus propias manos … pero no está usando esa información para detener esta actividad ilegal ". Agregó," Las buenas compañías están empezando a darse cuenta de que pueden reducir los costos y atraer a los clientes siendo más proactivos contra el delito cibernético ".