¿El fin del virus de la policía?

En estos días  se anuncia un indiscutible éxito (otro) de la policía
española. La Brigada de Investigación Tecnológica (BIT) de la Policía
Nacional ha detenido a 11 individuos en relación al “virus de la
policía”. Pero desde luego no es el fin de este tipo de malware y,
como de costumbre, los medios generalistas se están dedicando a
intoxicar la información real con titulares demasiado optimistas.

No se han detenido los responsables del virus de la policía como si se
tratase de un equipo reducido de personas que se dedicaban a infectar a
los usuarios. En la página del ministerio del interior, lo explican:
“Los agentes han desarticulado la célula financiera de la organización
ubicada en la Costa del Sol y que blanqueaba el dinero logrado por
este fraude, obteniendo sólo este grupo más de 1.000.000 € al año”

Lo que se ha desarticulado es uno de los grupos dedicado a lavar la
impresionante cantidad de dinero que estaban consiguiendo con solo una
de las decenas de variantes creadas por uno de los muchísimos grupos que
están en ello. En el vídeo que acompaña a la noticia, las 200 tarjetas
de crédito que aparecen (clonadas o creadas a través de números robados)
dejan claro que eran más el departamento “financiero” que técnico.
Además, se dice que:
“Entre los arrestados se encuentra el responsable de la creación,
desarrollo y difusión de las diferentes versiones del malware a nivel
internacional: un ciudadano de 27 años y origen ruso que fue detenido
en los Emiratos Árabes Unidos”

Este hombre fue arrestado en diciembre, en realidad. Pero no pensamos
que sea “el máximo responsable”. Además, si lo fuera, no importaría
demasiado (luego veremos por qué). Pensamos que la creación, desarrollo
y difusión son precisamente tres actividades más bien independientes que
muy extrañamente pueden recaer sobre la misma persona.

* La creación la adjudicamos a la persona que tuvo la idea de usar la
imagen de la policía, las acusaciones… como reclamo para secuestrar el
ordenador. Puede que este mismo fuera quien lo programase en primera
instancia y comenzara su distribución a pequeña escala… o no. Además,
por supuesto esto es una evolución de otras ideas. Recordemos que en
2009 ya pudimos ver secuestros del ordenador en nombre de la RIA
(Recording Industry Association of America) acusando al usuario de tener
contenido descargado ilegalmente y pidiendo rescate. Un ataque muy
parecido. El virus de la policía como tal, comenzó en Alemania en 2010.

* El desarrollo se lo adjudicamos a quien lo programó, y a todos los que
observaron rápidamente que era una genial idea. Estos plagiaron la idea,
creando variantes propias, copiaron el código, o mandaron a terceros su
programación, quién sabe. El caso es que sería ingenuo pensar que existe
una única banda creando y distribuyendo algo que está teniendo tanto
éxito, en un mundo en el que se puede copiar lo que sea, y que además
está al margen absoluto de la ley. Todos copian en una especie de
sálvese quien pueda y recoge la parte del pastel más grande posible.

Hemos observado variantes buenas y malas técnicamente hablando… que
usaban muy diferentes técnicas para bloquear el sistema: desde Internet
Explorer en modo quiosco hasta la creación de escritorios virtuales
pasando por ventanas sin bordes. Otros activaban la cámara y otros
cifraban correos… No todos han sido creados por el mismo grupo, ni el
mismo grupo ha creado una sola variante.

* La difusión es lo más curioso. Habitualmente, su éxito ha sido
distribuirse por vulnerabilidades en Java a través de kits de exploits.
Y aquí estamos totalmente convencidos de que poco han tenido que ver los
creadores del malware en sí. La distribución a través de kits de
exploits es un mundo muy grande, que se complementa con el malware pero
que opera a otro nivel. La difusión ha podido hacerse a través de
terceros, pagando sus servicios de uso de kits, de investigación de
vulnerabilidades, etc… y más frentes, alejados quizás del núcleo
“duro” de la creación. Como en el comercio habitual, la distribución
puede ser totalmente externalizada. Quizás existan grupos reducidos que
han plagiado la idea, programado el malware y distribuido a pequeña
escala, todo a la vez… pero serán los menos (aunque quizás no por ello
menos en número).

En definitiva, ni mucho menos es el fin del virus de la policía. Es un
modelo demasiado lucrativo como para que sea descartada por los
atacantes a corto plazo. Hemos tenido la suerte de colaborar en cierto
modo con la policía, y además le hemos hecho un seguimiento muy de cerca
al desarrollo de este malware. Sin duda su éxito ha sido arrollador,
como en otros tiempos ocurría con virus concretos con gran difusión.

Pero no se trata de, como “antiguamente” un malware con nombre y
apellidos. Lo que ha triunfado, el éxito, debe atribuirse al modelo: no
al malware, no a un archivo concreto, no a un solo método de
distribución. Lo que ha permitido que solo una cédula de blanqueo de
dinero haya conseguido un millón de euros en un año es la idea, el
concepto global de un ransomware bien distribuido y convincente. Y eso
no se va a detener con la desarticulación de un grupo de personas.
Lamentablemente, quizás tampoco tenga un efecto disuasorio pronunciado.
Se juzgará a un reducido número de personas que se han lucrado con el
malware (que no es poco).

En cualquier caso, la actuación de la policía ha sido impresionante. No
es sencillo detectar (y mucho menos detener) a este tipo de
delincuentes, o al menos abatir una de sus patas imprescindibles (la
encargada de lavar el dinero). El esfuerzo en coordinación es complejo y
merece todo nuestro reconocimiento.

Fuente