Es curioso esto de las botnets, el mercado underground del malware, y como, poco a poco, su funcionamiento se asemeja más al mundo corporativo real (o por lo menos, no tan underground)
Consideremos un recurso (la botnet), que consta de unos centenares de miles de PCs infectados (los bots) que están a tu entera disposición para lo que quieras: robar datos personales, robar contraseñas de servicios bancarios, enviar SPAM, lanzar ataques de DDoS contra alguien, extorsionar, etc.
Y para montar esto sólo tienes que conseguir crear un worm de éxito.
Lógicamente esto supone un potencial de lucro enorme. Inicialmente los que creaban estas redes, creaban el gusano, conseguían que se propagase, consolidaban su “base instalada”, y se dedicaban al negocio en sí de explotar la botnet.
Digamos que tenían la “cadena de valor” totalmente integrada. Beneficio máximo, pero tambien mucha exposición al riesgo. El riesgo en este mundo se resume en una cosa: que te trinquen.
El paso lógico es externalizar y deslocalizar.
Unos descubren las vulnerabilidades (”Investigación”). Otros diseñan los virus, troyanos y gusanos (”Desarrollo”).
Otros se dedican a la compra y venta de información conseguida (tarjetas de crédito, contraseñas, direcciones de email validadas para SPAM, etc.). Existen verdaderas “bolsas” y “marketplaces” underground para intermediar en la compraventa de estos activos. Como curiosidad, ¿sabeis por cuánto se vende el número de tu tarjeta de crédito en el mercado negro? No llega a los 50 céntimos de euro.
Otro desarrollo inevitable es el “malware as a service”. Es decir, si tienes control de una botnet de (digamos) 200.000 PCs infectados, puedes alquilar el servicio. Alguien quiere mandar SPAM, alguien quiere atacar una empresa mediante DDoS, etc. puede alquilar parte de la botnet (la facturación será por tiempo y número de PCs involucrados en la operación).
Aquí entra el tema de la competencia.
La población de PCs, con alguna versión de Windows (aunque empieza a haber botnets para otros sistemas operativos), con sistemas vulnerables (sin antivirus, o antivirus no actualizado, o sin parches de Windows, etc.) es muy grande. Pero estamos hablando de que un virus bien diseñado (por ejemplo Conficker/Downadup) puede llegar a infectar millones de máquinas en pocas semanas.
Esto crea un problema de competencia entre las “mafias”. Y se han dado casos de virus que intentaban “eliminar” a virus de la “competencia”. Todo sea por el “market share”.
Otra opción es la “OPA hostil”, es decir, subvertir una botnet para hacerse con el control. Por eso el malware moderno y bien diseñado incorporan técnicas criptográficas para controlar el “Command & Control” y las actualizaciones.
Aunque las mafias que controlan los botnets, por su propia naturaleza, son competitivas, se empiezan a dar casos de alianzas estratégicas, y quien sabe si de fusiones. Por ejemplo la cooperación mostrada entre Conficker y Waledac detectada ultimamente.
Un mundo fascinante esto. Y aunque suene raro, en el “lado del bien” hacen falta cada vez más economistas y especialistas del mundo empresarial.
No hay comentarios:
Publicar un comentario