En los primeros días de junio, Microsoft reportó que en una acción conjunta con el FBI logró interrumpir el funcionamiento de 1.462 botnets, todas ellas derivadas del “crimeware” conocido como Citadel. Microsoft agregó que esta “red de botnets” causó daños por 500 millones de dólares antes de detener sus operaciones, y de acuerdo a un representante de la Unidad de Crímenes Digitales, se liberaron al menos dos millones de ordenadores.
La noticia es muy buena, pero han surgido varios investigadores de seguridad criticando las tácticas de Microsoft, argumentando que en el proceso de anular a Citadel, se afectó negativamente a honeypots y otros recursos que tenían objetivos similares a los de Redmond y compañía. Mientras escribo estas palabras, en alguna parte del globo un bot está “compartiendo” información con su botnet, sin que el usuario de la terminal ni siquiera se de cuenta de ello. Aunque todos podemos tomar ciertas medidas para mantener el malware a raya, derribar una botnet requiere de otra clase de iniciativas.
Una de ellas utilizó el nombre oficial “Operación b54”, encabezada por Microsoft, el FBI, y autoridades en más de ochenta países. El objetivo era neutralizar un total de 1.462 botnets creadas con el paquete de “crimeware” conocido como Citadel. Microsoft anunció que la operación había sido un éxito en los primeros días de junio, interrumpiendo las actividades de una super-red que causó pérdidas por 500 millones de dólares. A este dato se suman las recientes declaraciones de Richard Boscovich, de la Unidad de Crímenes Digitales en Microsoft, quien dijo que al menos dos millones de ordenadores fueron liberados de las botnets Citadel, y eso sería un número “conservador”. Hong Kong, Estados Unidos y Europa son las tres regiones principales en las que se encontraban los sistemas infectados. Pero eso no es todo. Aparentemente, la gran operación de Microsoft tuvo cierto daño colateral.
En el blog suizo de seguridad abuse.ch se explica que las acciones de Microsoft no sólo afectaron a las botnets de Citadel, sino también a por lo menos trescientos dominios que ya habían sido sometidos al proceso de “sinkholing” correspondiente, al igual que otros cientos de dominios controlados por otros expertos en seguridad. Otro detalle llamativo llega de parte de Sophos, que tomó como referencia a un grupo de 72 dominios pertenecientes a Citadel.
De esos 72, el 51 por ciento ni siquiera aparece en la lista de 57 páginas que Microsoft publicó recientemente, y un veinte por ciento adicional ni siquiera termina en un “sinkhole” adecuado. En otras palabras, o la operación tuvo fallas desde el comienzo, o los dueños de las botnets ya han logrado recuperar el control de sus redes maliciosas. Con estos datos sobre la mesa, algo me dice que la historia de Citadel no va a terminar pronto.
