El gusano Storm Worm ha infectado tantas máquinas que ahora es una de las supercomputadoras más potentes.
Una nueva supercomputadora de inmensa potencia anda suelta por ahí. Con más de un millón de CPU y un petabyte de RAM, este monstruo hace palidecer completamente a su más grande competidora, la BlueGene/L, que contiene la irrisoria cantidad de 128.000 núcleos de procesamiento y 32 terabytes de memoria. Esa nueva supercomputadora, debe decirse, crece un poco más todos los días.
Hay un solo problema, y es que este gigante no está operado por una universidad, ni por IBM, ni por una agencia gubernamental. Es la red de robots de Storm Worm, capaz de enviar cantidades asombrosas de correo indeseado y virus por todo el planeta, y de lanzar ataques devastadores contra los investigadores de seguridad o contra cualquiera que trate de bloquearle el paso.
Una red de robots (o “botnet”) es una red de computadoras infectadas por programas robot maliciosos que puede ser controlada a distancia por un solo individuo. Los estimados varían, pero los investigadores de seguridad creen que el gusano Storm Worm tiene entre 1 y 10 millones de PC bailando al son de su música.
El mejor hardware
Peter Gutmann, un experto en informática de la Universidad de Auckland, en Nueva Zelandia, apunta que las supercomputadoras verdaderas probablemente susperarían en rendimiento a la red distribuida de Storm en las pruebas de referencia tradicionales para supercomputadoras. Pero “donde Storm es muy superior a todas las supercomputadoras convencionales es en los recursos de hardware que tiene a su disposición (el número de CPU, la cantidad de memoria y el ancho de banda de la red)”, escribió él en un correo electrónico.
Esas conexiones de redes, que probablemente ascienden a millones, son los recursos más valiosos para los piratas que se esconden detrás de Storm. Los controladores de redes de robots, o “pastores de robots”, venden los servicios de sus botnets para enviar correo indeseado o realizar ataques en la Internet por un costo en el mercado negro de la Internet (si desea aprender más sobre la economía del mercado negro de la Web, vea “Cómo funciona la Web: El mercado de los programas maliciosos” en esta misma edición). Mientras más conexiones de red y PC tiene una botnet, más correo indeseado o ataques de negativa de servicio puede enviar y más dinero puede ganar.
¿Quién se esconde detrás de Storm Worm? No se sabe a ciencia cierta. Los investigadores de la firma de seguridad finlandesa F-Secure creen, por varias razones, que los cerebros de esa operación son rusos. Ellos operan usando un dominio y servidor de la notoria Red de Negocios Rusa. En el código de sus aplicaciones se refieren al odio que profesan por Kaspersky Lab, una firma de seguridad basada en Moscú. Y algunos de sus programas usan la palabra “bydloshka”, que los investigadores de F-Secure creen se deriva de “buldozhka”, un término afectivo ruso que podría traducirse por “bulldog”.
Defensa astuta
Quienquiera que controle esa enorme botnet está manejando su diseminación y defensa con un gran nivel de adelanto. Frecuentemente cambian los bien elaborados mensajes de correo electrónico con los que engañan a los usuarios para que instalen el virulento robot. Cuando se corrió la voz a finales del verano [boreal] de las postales electrónicas falsificadas (find.pcworld.com/58673), Storm cambió el correo electrónico en septiembre a mensajes que fingían promocionar a Tor, un programa legítimo para navegar anónimamente. El falso correo electrónico de Tor (find.pcworld.com/58674) usó imágenes y texto del verdadero sitio Web de Tor, pero cualquier destinatario que siguiera el vínculo del correo electrónico para bajar el programa e hiciera doble clic sobre el archivo tor.exe resultante terminaría instalando el gusano Storm Worm.
Y una vez que tenga el control de una PC, Storm luchará por conservarlo. Según Paul Sop, funcionario técnico principal de Prolexic, que defiende a empresas clientes contra el tipo de ataque de Internet que lanzan las botnets, los investigadores de seguridad que examinan las máquinas infectadas con Storm pueden esperar una represalia inmediata.
“La red de Storm Worm tiene la capacidad de defenderse a sí misma”, dice Sop. “Cuando usted la investiga, le dirá a otra porción de la botnet que le envíe un ataque de DDoS”. En un DDoS, o ataque distribuido de negativa de servicio, un pastor de robots da instrucciones a parte o a toda la botnet para que envíe un alud de datos basura a una víctima particular. Frecuentemente esa inundación es suficiente para sacar fuera de línea a un sitio de la Web, o para tumbar la conexión a Internet de un investigador.
Defensa peculiar
Storm es la única botnet que Sop conoce con este tipo de autodefensa automatizada. Además, es muy taimada en la manera en que se defiende. No lanzará el ataque desde las mismas máquinas que están siendo examinadas, y ni siquiera desde aquellas que tengan direcciones IP similares, ya que la causa del ataque se haría inmediatamente evidente. En vez de ello, pasa la ubicación del investigador a otras partes de la botnet de Storm para que el ataque DDoS parezca venir de otra parte.
El gusano Storm Worm se ha propagado tanto que ya es una estrella en YouTube, donde un vídeo de F-Secure que muestra la diseminación del gusano alrededor el mundo ha sido visto más de 850.000 veces (usted puede ver el vídeo en find.pcworld.com/58935, y lea los comentarios, donde encontrará los de algunos espectadores que están convencidos de que el gusano fue creado por extraterrestres).
Para evitar convertirse en el próximo diente del enorme engranaje de Storm Worm, use un buen programa antivirus y mantenga sus aplicaciones al día. El gusano Storm Worm y otros programas maliciosos parecidos aprovechan frecuentemente los agujeros existentes en versiones viejas de software como el Internet Explorer, Firefox, QuickTime e incluso WinZip para infectar las PC.
Además, tenga mucho cuidado con cualquier correo electrónico no solicitado, aunque parezca venir de alguien que usted conoce. Y, por último, para determinar si su computadora ha pasado al mundo de los muertos vivientes, vea “Identificación apropiada para una PC zombi” en find.pcworld.com/58676.
-Por Erik Larkin