En esta guerra, hay más de 400 millones de víctimas potenciales y ganancias ilícitas por 113 mil millones de dólares. Viajamos a uno de los escenarios de combate: el DCU, la Unidad de Crímenes Digitales de Microsoft

Por Jonathan Hernández

AGENCIA REFORMA

WASHINGTON.- Richard Boscovich miraba su reloj una y otra vez esperando que fueran las 12:00 en punto. Tenía desplegados a siete equipos por todo Estados Unidos listos para actuar exactamente al mismo tiempo. Era muy importante que así fuera, si no, la red de cibercriminales se daría cuenta que algo andaba mal y huiría en segundos con su información.

Bosco, como lo llaman en la oficina, había detectado que en siete proveedores diferentes de hosting en la unión americana, se almacenaban páginas que una red de ciberdelincuentes usaba para esparcir virus y malware, así como vender kits de desarrollo para uso de botnets y que cualquiera pudiera atacar a otros.

La estrategia, además de desconectar -literalmente- esos servidores de la Red al mismo tiempo, consistía en obtener la información almacenada para analizarla después y conocer la identidad del grupo criminal, cómo opera y qué tipo de código está utilizando, con el fin de neutralizar sus operaciones.

11:58. Dos minutos más y procederían. Ya los equipos de Bosco, acompañados de agentes federales, habían accedido a las instalaciones con órdenes emitidas por un juez para confiscar esos servidores.

11:59. Todos que ya estaban en posición. Cuenta regresiva. Diez segundos. Cinco. Uno.

En seis de los servidores todo estuvo perfecto, pero en el séptimo, en Pennsylvania, los criminales se dieron cuenta de que algo estaba mal y trataron de cambiar su contraseña de acceso a la información. Fue inútil, el equipo de Bosco desconectó el servidor a tiempo y se lo llevaron para examinarlo.

Éste es uno de los muchos golpes que Microsoft le ha dado al cibercrimen. Lo llaman Ofensiva Proactiva. Regularmente, las empresas de seguridad se enfocan principalmente en defender a sus clientes con escudos y más escudos, pero Boscovich y todo el equipo de la Unidad de Crímenes Digitales, en Redmond, Washington, tienen una estrategia distinta: atacar.

“Queremos anticiparnos a lo que viene. Más que defender, nosotros atacamos, activamente nos salimos del castillo, no nos la pasamos construyendo muros más altos. Vamos por el enemigo y lo destruimos antes de que nos ataque”, explica Boscovich, abogado general en Microsoft y uno de los directores de la Unidad de Crímenes Digitales conocida como DCU (siglas de Digital Crime Unit).



El centro de mando

La Digital Crime Unit por momentos parece extraída de la serie televisiva CSI o La Ley y el Orden.

CSI, porque tiene dos laboratorios de informática forense con lo más avanzado de la tecnología creada por Microsoft. El primer laboratorio está enfocado a detectar malware y código malicioso, haciéndose pasar por usuarios comunes y corrientes infectados con los últimos bichos, para analizarlos, desmenuzarlos y desplegar su actividad e índice de contagio en un mapa global. En el otro laboratorio se analiza piratería física y evidencia cibercriminal.

Y La Ley y el Orden, porque el centro es dirigido por abogados, no por ingenieros o expertos técnicos. Boscovich explica que, así, todas sus acciones siempre se mantienen en el marco de la ley, ya que técnicamente podrían atacar de la misma manera que lo hacen los criminales.

“No podemos hacerlo como ellos, debemos ser respetuosos de nuestros clientes y mi trabajo es cuidar que se respete la ley”, afirma Bosco, quien hace algunos años fue fiscal en Miami.

David Finn, director ejecutivo del DCU y ex fiscal federal de la ciudad de Nueva York, reconoce que todo el centro parece un set para una película.

“Pero hay cibercrimen de la vida real sucediendo y esto es un laboratorio de la vida real que lo combate con tecnología de punta. Esto no es un show de televisión”, afirma sentado frente a una enorme pantalla que muestra un mapa del mundo, con marcas de puntos rojos donde han detectado máquinas infectadas en todo el globo. México está ahí, por supuesto, con una fuerte mancha en el centro, una un poco más pequeña al norte y una pequeñita al occidente.

“En México, lo que más prolifera es spam y fraudes por clics falsos. Hay botnets atacando directamente los servicios financieros, con atacantes que provienen principalmente del Este de Europa, con malware creado principalmente en Rusia y Ucrania”, especifica Boscovich.

El abogado añade que están en coordinación con la Organización de Estados Americanos para apoyarse con las policías federales de cada País de América Latina.

Sin embargo, precisa que no han detectado que se haga hosting de sitios maliciosos en México. Es un País de víctimas, más que de atacantes.

A los usuarios que ubican como infectados, les mandan mensajes a través de su computadora sugiriéndoles instalar un nuevo software de protección o actualizar el que tienen, pero muchos de ellos los ignoran y los dejan para después.

Como la DCU no puede ir más allá y tomar decisiones por los usuarios, por cuestiones de privacidad y respeto a los clientes, ha decidido atacar a los maleantes directamente en su infraestructura. “Si les cortamos la ganancia económica de sus actos, terminarán pensando que no vale la pena el esfuerzo y declinarán”, comenta Finn.



Lo original y lo pirata

Desde hace poco más de tres años, Microsoft descubrió que los cibercriminales habían encontrado una nueva manera de estafar e infectar a usuarios de PC: les venden software físico pirata, como el que se adquiere en las calles, pero a través de canales legales como Amazon o eBay. El problema es que el software es una imitación a la caja original prácticamente imposible de reconocer por cualquier persona, ya que hasta los hologramas replican.

El consumidor entra a una página que parece una tienda en línea legítima porque tiene un buen diseño. Hoy, los pillos invierten en desarrollo y diseño para que las víctimas no desconfíen. “Si el sitio fuera feo, nadie daría su tarjeta de crédito o cuenta de PayPal”, explica Peter Anaman, gerente senior del programa global de piratería en línea del DCU.

Así, el comprador encuentra Office, por ejemplo, con descuento y, en lugar de costarle 100 dólares por decir algo, se lo ofrecen en 80 con todo y envío. Si costara 5 dólares, como los discos piratas, la gente no compraría. Entonces los usuarios caen en el engaño. Lo peor, añade Anaman, es que cuando llega el software a su domicilio, lo instalan creyendo que compraron un producto original, pero que en realidad no lo es. E, incluso, muchos de esos paquetes traen malware incluido.

El equipo de la DCU detectó una red de origen ruso que estaba obteniendo cerca de 4 millones de dólares al mes con este método.

El sitio principal de dicha red criminal se llamaba CD Cheap y, desde ahí, Anaman y su equipo comenzaron a seguir pistas. Una vez que detectaron la dirección del servidor, empezaron a escanear todas las páginas hospedadas ahí. Crearon un software capaz de ver el código fuente de cada sitio e identificar partes que fueran exactamente iguales. Esos fragmentos de código idénticos los denominaron “la huella digital” del grupo criminal y la buscaron en muchos sitios más.

“Detectamos que esta red rusa tenía 2 mil 26 nombres de dominio hospedados en 27 distintos proveedores de hosting en todo el mundo, con 75 diferentes tipos de diseño, pero sólo 12 cuentas de PayPal asociadas a estos 2 mil sitios. Una vez que identificamos cada una de las 12 cuentas, avisamos a PayPal y se cerraron todas en un lapso de dos horas”, detalla Anaman.

Con eso, los cibercriminales dejaron de cobrar de súbito en todos sus sitios. Cuando una víctima pusiera su tarjeta, le sería rechazado el cargo. Anaman narra que siguieron a los delincuentes tratando de abrir nuevas cuentas mercantiles en otras instituciones por todo el mundo, pero, al ya tenerlos identificados, llamaban a las compañías y les cerraban las cuentas.

“Les disminuimos el incentivo del dinero aumentando sus costos de operación, por lo que dos meses después la entidad detuvo sus actividades”, asevera sonriente.

En equipo con las autoridades policíacas de cada País, la DCU ha tenido otros éxitos, como bajar la red botnet llamada Citadel, que tenía bajo su control a 5 millones de computadoras en más de 90 países. En 18 meses, esta red había robado cerca de 500 millones de dólares lo mismo a estudiantes y banqueros que a jubilados y empresarios. En conjunto con el FBI e instituciones financieras, se pudo limpiar el 90 % de las computadoras infectadas.

Debido a que las leyes penales son muy lentas y dependen de cada País y su jurisdicción, Microsoft optó por conducir la DCU y sus actividades antidelictivas dentro de las leyes civiles, que son rápidas y efectivas si se trabaja en equipo entre organismos privados.

Es por ello que la unidad trabaja de la mano con todos los proveedores de pago en internet, como MasterCard, Visa y PayPal, así como con tiendas como Amazon, eBay y DHGate (el Amazon chino), y otras empresas de tecnología como Google, Karspersky y Symantec.



Contraataques

No todas han sido victorias en la DCU.

“Claro que saben quién está atacando a su infraestructura, por lo que constantemente tenemos ataques desde Rusia y Ucrania al centro de cibercrimen y directamente al DCU, no a Microsoft, sino directamente a este equipo. Intentan bajar nuestro sistema de detección”, señala David Finn.

En algunas partes del mundo donde están operando, las pandillas y grupos criminales han amenazado a sus investigadores que están en campo.

“Han asaltado a nuestros abogados y empleados. Hay tanto dinero involucrado en el cibercrimen, que cuando irrumpimos en su infraestructura ellos responden de la manera como esperarías que lo hicieran criminales”, añade.

A Finn le encantaría que los malos huyeran, se escondieran y pasaran más tiempo pensando que no vale la pena cometer actos criminales porque la ganancia económica ha sido reducida. Pero algunas veces no hacen eso y contraatacan en maneras muy agresivas.

El director del DCU niega que él y su equipo sean héroes.

“Estamos haciendo lo que nos apasiona: combatir al cibercrimen en favor de todos los que usan internet. No hay vanagloria en ello. Nuestra motivación es la gente que está frente a sus computadoras y está siendo explotada por criminales”, concluye.