Brasil es uno de las mayores fuentes de malware del planeta. Mientras todos los países miran las pantallas de la web, es probable que les estén robando las cuentas bancarias.
En junio decenas de reparticiones oficiales brasileñas fueron objeto de uno de los más grandes ataques cibernéticos de los últimos años. Grupos como LulzSec Brasil, Anonymous y Fail Shell se hicieron un picnic con prefecturas y ministerios, universidades y unidades militares, además de empresas financieras de primer nivel. No se salvó ni la presidencia de la República ni Petrobras. El propósito aparente de los hackactivistas era político: dejar fuera de servicio los servidores del Estado, aunque trascendió que también habrían llegado a datos privados de los funcionarios.
Ante la magnitud del ataque, el ministro de Ciencia y Tecnología, Aloizio Mercadante, convocó a los más renombrados programadores brasileños a un Hacker Day para organizar la defensa ante lo que parece una guerra declarada. Y es que, según distintas organizaciones especializadas, Brasil es el cuarto país más infectado del globo por los hackers. Sólo el último año los ataques a servidores web crecieron 69%. “En un ránking mundial de producción de malware, Brasil sólo está por debajo de Rusia y China”, dice el español Luis Corrons Granel, director técnico de la firma de seguridad informática PandaLabs.
Pero mientras todos piensan en los mediáticos ciberactivistas, el punto fuerte de los hackers brasileños es algo mucho menos glamoroso, más cotidiano y dañino: la producción de troyanos bancarios, programas maliciosos que se instalan en el ordenador del usuario para tomar sus datos, y luego de un proceso escalonado, su dinero.
Quince años de tradición en banca electrónica y millones de usuarios eran un marco tentador para el desarrollo de este nicho criminal. Según un estudio de 2011 por Eset, desarrolladora eslovaca de aplicaciones de seguridad, 5,6% de los ordenadores brasileños estaban infectados por este tipo de malware, muy lejos de Colombia y México, segundos y terceros en ese penoso ránking, con 2,3% y 1,7%, respectivamente. Bradesco, Itaú y Banco do Brasil acumularían 36% de las cuentas afectadas con 12% cada uno, de acuerdo a otro estudio, en este caso de la empresa rusa de productos de seguridad Karpersky Labs. Sumando a Santander (9%) y ABN Amro (8%) se contarían más de la mitad de los casos.
Detrás de los ataques existe toda una industria organizada con su respectiva cadena de valor. El primer eslabón, el desarrollador, tiende a estar lejos de la acción; se limita a dejar sus códigos a disposición del mercado, incluso en la web. “Para estudio e investigación” es la coartada usual.
Y la producción crece geométricamente. Durante 2010 se crearon 20 millones de programas maliciosos en el mundo, contra 500.000 que existían en 2003, según PandaLabs. Cualquier interesado más o menos intrépido por US$ 5.000 o US$ 7.000 puede comprar en el mercado un Zeus Builder, software de tipo keylogging que toma registro de la actividad del ordenador para robar certificaciones. Surgió en 2007 y fue utilizado en varios atracos contra claves de seis o siete dígitos, incluida la intercepción de una transferencia por US$ 6 millones en Alemania. Por mucho menos – entre US$ 500 y US$ 1.000 – se puede adquirir un Bugat, utilizado para la suplantación de identidad en transacciones bancarias. En septiembre de 2010 se utilizó contra Linkedin. Con US$ 1.500 se llega a un SpyEye que extrae información de tarjetas de crédito ubicada en el disco duro. Algunos estiman que, por su relación costo-calidad, éste desplazará a Zeus del mercado.
“Después hay que sumar los kits para atacar los bancos locales, que oscilan en los mismos precios”, dice Luiz Eduardo dos Santos, director de la empresa estadounidense SpiderLab para América Latina. Y los hay de todo tipo, incluyendo para desarrollar troyanos.
Pero el malware verdeamarelo tiene sus particularidades. Casi todos los troyanos bancarios brasileños están escritos en Delphi. “Se aprende en cursos particulares o del manual, por lo que los programadores pueden ser personas muy jóvenes y de escasa formación”, dice Dmitry Besuzhev, de Karpesky para América Latina.
Algunos datos parecen darle la razón. Los troyanos se caracterizan por ser piezas de código gigantescas y por dejar trazas de portugués en la codificación. Los responsables no son precisamente los mejores alumnos de la universidad. De hecho, los archivos fotográficos de la policía federal brasileña están repletos de adolescentes de clases bajas para este tipo de delitos.
“A veces se encuentran excepciones. Códigos eficientes sin trazos idiomáticos, y con comunicación por canales seguros”, describe Besuzhev en su blog. “Descubrimos que eran rusos haciendo su Brasil”, agrega.
La dimensión social. El troyano nunca viene solo. Es un cóctel complejo de código malicioso. Un primer troyano que se infecta en el sitio descarga los demás elementos virales: uno que ataca al antivirus; uno o dos que monitorean la actividad del usuario, para cuando ingresa a un banco a tomar claves, y otro más para tomar datos de las redes sociales. El canal más utilizado en Brasil es el Orkut, una red social perteneciente a Google.
Las redes sociales se han convertido una de las piezas clave de las organizaciones delictivas. Pero estas suelen ser un eslabón distinto del cibercrimen: la inteligencia de mercado. Fechas de cumpleaños, lugares de trabajo, amistades son información útil para encubrir mensajes maliciosos. La estrategia es llevar al usuario, mediante un mensaje de engaños hacia un sitio legal previamente infectado. En otros casos se utilizan sitios directamente falsos y para ello “es muy común que utilicen host gratuitos de la empresa rusa RBC Media”, dice Besuzhev.
El tercer eslabón es el que hace la extracción de dinero. Una vez infectado cuando el usuario realiza una transacción bancaria, el programa captura la información y la envía por e-mail, o la sube a un sitio de la organización criminal. Lo usual es que utilicen una cuenta de fachada donde se hace una primera transferencia y, de allí, a la cuenta directa de los implicados.
Para ataques más selectivos la operación es similar, coinciden los especialistas. Detectado un integrante de la organización objetivo, con algún nivel de acceso a los permisos críticos, se busca infectarlo para introducir el código malicioso dentro del sistema de la organización. Para colmo, la multiplicación de dispositivos aumenta los puntos vulnerables. Las laptops que entran y salen del perímetro de la organización son un problema conocido. Los expertos estiman que 40% de los pendrive latinoamericanos estarían infectados, mientras que 85% de los smartphones son vulnerables. Su integración con los sistemas de gestión ya es una fuente de preocupación.
El problema es que, una vez adentro, el ataque puede ir más que por información, por el control de las plantas de producción, como ya lo demostró el gusano Stuxnet: durante 2010 dejó fuera de funcionamiento algo tan sensible como una planta nuclear en Irán. En América Latina ningún especialista reportó casos de esta naturaleza, pero todos aseguran que llegarán más tarde o más temprano.