Con esfuerzo global, se desacelera un nuevo tipo de gusano

Ha habido grandes brotes de gusanos informáticos antes, pero nada como Conficker.

Descubierto por primera vez en noviembre, el gusano infectó pronto más computadoras que cualquier gusano en los últimos años. Según algunas estimaciones, ahora está instalado en más de 10 millones de PC. Pero desde su primera aparición, ha sido extrañamente silencioso. Conficker infecta PC y se propaga por redes, pero no hace nada más. Se podría utilizar para lanzar un ataque cibernético masivo, paralizando prácticamente cualquier servidor en Internet, o podría arrendarse a los spammers con el fin de bombear miles de millones de mensajes de spam. En cambio, está ahí, un enorme motor de destrucción esperando que alguien encienda la llave. Hasta hace poco, muchos investigadores de seguridad simplemente no sabían lo que la red de Conficker estaba esperando. El jueves, sin embargo, una coalición internacional reveló que habían tomado medidas sin precedentes para mantener al gusano separado de los servidores de comando y control que podrían controlarlo. El grupo está compuesto por investigadores de seguridad, compañías de tecnología y registradores de nombres de dominio que han unido fuerzas con la Corporación de Internet para Nombres y Números Asignados (ICANN), que supervisa el Sistema de Nombres de Dominio de Internet.

[Lectura adicional: cómo eliminar malware desde tu PC con Windows]

Los investigadores habían desmantelado el código de Conficker y descubrieron que usa una nueva y complicada técnica para llamar a casa para obtener nuevas instrucciones. Cada día, el gusano genera una nueva lista de aproximadamente 250 nombres de dominio aleatorios, como aklkanpbq.info. Luego verifica esos dominios para nuevas instrucciones, verificando su firma criptográfica para asegurarse de que fueron creados por el autor de Conficker.

Cuando se descifró el código de Conficker, los expertos en seguridad arrebataron algunos de estos dominios generados aleatoriamente, creando lo que se conoce como sumidero servidores para recibir datos de máquinas pirateadas y observar cómo funcionaba el gusano. Pero a medida que la infección se extendió, comenzaron a registrar todos los dominios, cerca de 2.000 por semana, sacándolos de la circulación antes de que los delincuentes tuvieran un cambio. Si alguna vez los malos intentaran registrar uno de estos dominios de comando y control, habrían descubierto que ya habían sido tomados por un grupo ficticio que se hacía llamar "Conficker Cabal". Su dirección? 1 Microsoft Way, Redmond Washington.

Este es un nuevo tipo de juego de gato y ratón para los investigadores, pero se ha probado varias veces en los últimos meses. En noviembre, por ejemplo, otro grupo utilizó la técnica para tomar el control de los dominios utilizados por una de las redes de botnets más grandes del mundo, conocida como Srizbi, cortándola de sus servidores de comando y control.

Con miles de dominios, sin embargo, esta táctica puede consumir mucho tiempo y ser costosa. Así que con Conficker, el grupo ha identificado y bloqueado nombres utilizando una nueva técnica, llamada preregistro de dominio y bloqueo.

Al dividir el trabajo de identificar y bloquear los dominios de Conficker, el grupo solo ha mantenido el gusano bajo control., no le dio un golpe fatal, dijo Andre DiMino, cofundador de The Shadowserver Foundation, un grupo de vigilancia del delito cibernético. "Este es realmente el primer esfuerzo clave en este nivel que tiene el potencial de hacer una diferencia sustancial", dijo. "Nos gustaría pensar que hemos tenido algún efecto en paralizarlo".

Este es un territorio desconocido para la ICANN, el grupo responsable de administrar el sistema de direcciones de Internet. En el pasado, la ICANN ha sido criticada por ser lenta en usar su poder para revocar la acreditación de los registradores de nombres de dominio que han sido ampliamente utilizados por los delincuentes. Pero esta vez se elogian las reglas relajantes que dificultaron el bloqueo de dominios y la unión de los participantes del grupo.

"En este caso específico engrasaron las ruedas para que las cosas se movieran rápidamente", dijo David Ulevitch, fundador de OpenDNS. "Creo que deben ser elogiados por eso … Es una de las primeras veces que la ICANN realmente ha hecho algo positivo".

El hecho de que un grupo tan diverso de organizaciones trabajen juntas es notable, dijo Rick Wesson, CEO de la consultora de seguridad de red Support Intelligence. "Que China y Estados Unidos cooperaron para vencer una actividad maliciosa a escala global … eso es grave. Eso nunca sucedió", dijo.

La ICANN no devolvió las llamadas buscando comentarios para esta historia y muchos de los participantes en el esfuerzo de Conficker, incluyendo Microsoft, Verisign y el Centro de Información de China Internet Network (CNNIC) se negaron a ser entrevistados para este artículo.

En privado, algunos participantes dicen que no quieren llamar la atención sobre sus esfuerzos individuales para combatir lo que bien podría ser un grupo de cibercrimen. Otros dicen que debido a que el esfuerzo es tan nuevo, todavía es prematuro discutir las tácticas.

Cualquiera que sea la historia completa, lo que está en juego es claramente alto. Conficker ya ha sido visto en redes gubernamentales y militares y ha sido particularmente virulento dentro de las redes corporativas. Un error, y los creadores de Conficker podrían reprogramar su red, dándoles a las computadoras un nuevo algoritmo que tendría que ser descifrado y dándoles la oportunidad de usar estas computadoras para fines nefastos. "Tenemos que ser 100% precisos", dijo Wesson. "Y la batalla es una batalla diaria".

(Sumner Lemon en Singapur contribuyó a este informe).