Un vizcaíno lidera una banda que infectó 13 millones de ordenadores en el mundo
Vecino de Balmaseda, dirigía junto a otro dos españoles una red de computadoras zombis, de las que sustraían información personal
Los tres detenidos quedaron en libertad a la espera de que acabe la instrucción judicial.
Un joven, vecino de la localidad vizcaína de Balmaseda, es el jefe de una banda de delincuentes informáticos que ha provocado un caos ciberníético y transatlántico durante los últimos nueve meses. F.C.R., de 31 años y que se hacía llamar 'Nektario' o 'Hamlet1917', compartía junto a dos compinches de Santiago de Compostela y Murcia la jefatura de una red de ordenadores zombis o 'botnet' (acrónimo de robot y red en inglíés), con la que llegaron a controlar unos 13 millones de computadoras por todo el planeta sin que sus dueños se enteraran. Los afectados abarcan todos los espectros sociales: usuarios anónimos, empresas pequeñas, grandes corporaciones, bancos, organizaciones de todo tipo e instituciones gubernamentales, sobre todo de países en vías de desarrollo. Su objetivo era robar datos personales para poder obtener luego dinero de cuentas bancarias.
Esta 'botnet', llamada 'Mariposa', fue detectada en mayo del año pasado por la empresa canadiense Defence Intelligence. Sus tíécnicos crearon un grupo de trabajo para su seguimiento, junto con la española Panda Security y el Georgia Tech Information Security Center estadounidense. Este grupo, en colaboración con el FBI, detectó la existencia de un grupo de habla hispana, que había adquirido en el mercado del «malware» (programas maliciosos) el software utilizado. Con este producto, los detenidos se encargaban de distribuir el virus. «Lo hacían de diferente manera: a travíés de un archivo con un nombre atractivo en la eMule (el conocido programa de intercambio de archivos), por 'messenger' o mediante correo 'spam'», explicó el director tíécnico de PandaLabs, Luis Corrons.
Despuíés de que se instalara en la computadora, el virus troyano se mantenía latente, sin que el usuario tuviera conocimiento de que su ordenador estaba infectado. «Estaban ahí, a la espera de que el 'botmaster' (el jefe) les diga quíé tienen que hacer», aclaró el responsable de delitos telemáticos de la Guardia Civil, el comandante Juan Salom. Cuando se le daba la directriz, el virus comenzaba a robar información personal, como contraseñas de correos electrónicos, cuentas bancarias u otros servicios. Si el antivirus lo detectaba y acababa con íél, los encargados del troyano acudían otra vez al mercado negro para pedir nuevas actualizaciones y un soporte tíécnico. Como cualquier aparato de última generación.
Ataque por venganza
A final de año, los guardias civiles y los agentes del FBI estrecharon un poco más el cerco. El 23 de diciembre, tras identificar todos los canales de control de la 'botnet', comenzaron a bloquear los dominios que habían utilizado, situados en dos prestadores de servicio americanos y uno español. «Como venganza se produjo un importante ataque a Defence Intelligence, que dejó sin servicio a muchos centros universitarios y administrativos de Canadá», explicó el teniente coronel Josíé Antonio Berrocal, jefe del departamento de Investigación de Delincuencia Económica y Tecnológica. Este ciberataque fue de mucha ayuda para la Guardia Civil, ya que pudo identificar otros dos pequeños servidores y la identidad de los delincuentes.
F.C.R., de 31 años, era el encargado de organizar la red y de recopilar gran parte de documentación, según la investigación. «En uno de sus ordenadores se hallaron unos 800.000 datos personales», comentó el teniente coronel Berrocal, quien enfatizó que no se vendió ningún dato en el mercado negro. «Sólo pudieron vender partes concretas de la red, para una determinada zona», apuntó el responsable de la Guardia Civil.
Durante el registro al vecino de Balmaseda, se encontraron los datos de los otros dos españoles involucrados: 'OsTiaToR' (J.B.R, de 25 años), de Santiago de Compostela, y 'Johnyloleante' (J.P.R., de 30 años) residente en Molina de Segura (Murcia). Además, la Guardia Civil investiga la participación de un cuarto miembro del grupo, identificado como 'Fíénix', que podría ser venezolano. Los tres arrestados quedaron en libertad con cargos a la espera de que se finalice la instrucción del caso.