Asociación Puntogal

Asociación Puntogal

Novas

Os cibercriminais actuaron en 196 países

Robo de datos clave de 75.000 ordenadores do mundo

19/02/2010 Unha rede de cibercriminais infiltrou, no último ano e medio, os ordenadores de máis de 100.000 usuarios de 196 países, incluída España, e, só no pasado mes, roubaron uns 75 gigabites de información relativa a contas de correo electrónico, a redes sociais, nomes de usuario, claves de acceso e preguntas de seguridade de webs de banca online, segundo revelou  nun informe a empresa americana de seguridade online NetWitness, informa o xornal El País.

Os hackers -desde China, pero tamén desde Europa- infectaron máis de 74.000 ordenadores (1.400, en España), moitos deles de uso compartido, a través de correos electrónicos contaminados con arquivos corruptos ou enlaces a páxinas web contaminadas. A través desas mensaxes lograban descargar nos ordenadores un paquete de software infeccioso, cunhas 30 aplicacións cuxa finalidade era sortear os programas de seguridade dos internautas. Unha vez completada a infección, o troyano, bautizado como Kneber, roubaba a información desde os seus servidores. Segundo NetWitness, menos dun 10% dos antivirus existentes detecta esa infección.

"As organizacións criminais rouban esa información para vendela. Hai todo un mercado negro de venda de información informática", explica o xefe de seguridade de NetWitness, Eddie Schwartz. "Segundo datos do FBI hai uns 100 países con capacidades de ataque cibernético, países que están interesados na espionaxe online de información empresarial e gobernamental. Esta información pódeselles vender a eles, ou a grupos terroristas coa capacidade e intención de organizar ataques coordinados".

A información roubada afecta a unhas 2.400 empresas privadas e axencias gobernamentais internacionais, todas con ordenadores que funcionan con Windows, nas súas versións XP ou Vista. Os países máis afectados son Exipto, cun 19% do total, México (15%), Arabia Saudita (13%), Turquía (12%) e EE UU (11%). O principal labor dos hackers era roubar contrasinais e información persoal almacenada nas contas das redes sociais de Facebook, Hi5 ou Sonico, e o correo electrónico de Yahoo.

"Non só se trata de contrasinais", engade Schwartz. "Accedendo a esas contas, e controlando a información que o usuario introduce, os espías poden ter perfís completos: nome, idade, lugar de residencia, familia, listas de contacto, mensaxes privadas, contas de banco e contraseñas, por exemplo".

En semanas recentes, o botnet cambiara o obxectivo da súa espionaxe: centrábase, agora, en copiar os nomes de usuario e claves de acceso a portais de banca online. Segundo o informe da consultora NetWitness, "o arquivo de configuración máis recente que descargou o virus antes de que se desarmase a rede estaba case exclusivamente destinado a roubar as claves de sitios de banca electrónica ou cambio de divisas". A consultora atopou máis de 60 páxinas financeiras ou de compra e venda das que se roubou información, entre elas PayPal ou Ebay.

Nalgunhas instancias, o troiano roubou números de tarxetas de crédito ou copiou respostas de usuarios ás preguntas de seguridade que se almacenan nos servidores informáticos desas empresas para restaurar contraseñas, como "cal é o nome de solteira da súa nai?" ou "cal era o nome da súa primeira mascota?".

En España, foron afectados sitios web relacionados con bancos do Grupo Santander (Open Bank, Banesto e Banco Santander), BBVA e Bancaja. Fontes destas institucións financeiras aclararon onte que ataques deste tipo, a usuarios que intentan acceder ás súas contas bancarias, son frecuentes desde os inicios da banca electrónica e que recomendan sempre a instalación dos antivirus máis recentes.

O ataque a contas de correo afectou a empregados cuxos ordenadores actuaron como porta de entrada involuntaria a unhas cen empresas. Entre elas atópanse a farmacéutica Merck e Cardinal Health, segundo avanzou onte o diario The Wall Street Journal. Ademais, os espías infiltráronse en dez axencias e departamentos do Goberno norteamericano, entre eles o Pentágono, a través da conta de correo de, polo menos, un soldado. Portavoces do Departamento de Defensa declinaron facer comentarios respecto diso onte, alegando motivos de seguridade nacional.

Casos de roubo de contrasinais como son frecuentes, sobre todo en páxinas de banca. A principal novidade é que o ataque, a máis de 100.000 usuarios, sexa coordinado desde un só botnet ou robot remoto, que actuou a través dun dominio rexistrado por un só usuario, baixo a dirección hilarykneber@yahoo.com. Esa dirección está asociada á difusión doutros troyanos previos, como Zeus, identificado por primeira vez en 2007 e que rouba información a través das pulsaciones do teclado dos computadores.

Ao rastrexar as direccións IP ás que se asociou a actividade criminal cibernética de hilarykneber@yahoo.com no pasado, os enxeñeiros de Netwitness identificaron, como mínimo, unha trintena de direccións IP, case a metade delas radicadas en China.

De China, precisamente, procedeu un ataque que sufriron o pasado mes de decembro Google e outra trintena de empresas, a través do cal uns hackers, aos que diversas empresas de seguridade online asociaron a axencias gobernamentais de Pequín, roubaron información persoal e de contas de correo electrónico de activistas de dereitos humanos e relacionados co Tibet. Aquela operación de espionaxe tamén logrou información secreta dos servidores corporativos doutras compañías como a contratista do Pentágono Northrop Grumman, Dow Chemical e Yahoo. O Goberno de EE UU pediu entón unha investigación pública en China. 

© Asociación Puntogal