En 2005, un grupo de hackers ruso conocido como UpLevel desarrolló Zeus, un programa tipo point-and-click para crear y controlar una red de sistemas de ordenadores controlados de forma remota o comprometidos. Estas redes se conocen por el nombre de botnet. Cinco años de desarrollo después, la última versión de este software, que se puede descargar gratis y requiere muy pocos conocimientos técnicos para trabajar con él, es una de las plataformas para botnets más populares entre los spammers, personas fraudulentas, y todos aquellos dedicados al robo de información personal.

La semana pasada, la firma de seguridad NetWitness, con sede en Herndon, Virginia, publicó un informe destacando el tipo de problemas que el software puede causar. En el informe se documenta una botnet Zeus que llegó a controlar casi 75.000 ordenadores en más de 2.400 organizaciones, incluyendo al productor de fármacos Merck, el fabricante de equipamiento para redes Juniper Networks, y el estudio de Hollywood Paramount Pictures. A lo largo de cuatro semanas, el software fue utilizado para robar más de 68.000 credenciales de acceso, incluyendo miles de credenciales de acceso a Facebook y al correo electrónico de Yahoo.

“Poseían sistemas comprometidos dentro de ambas compañías y en agencias del gobierno,” afirma Alex Cox, analista principal en NetWitness.

Una encuesta llevada a cabo por otra firma de seguridad—Damballa, con sede en Atlanta—descubrió que los programas controlados por Zeus ocupaban el segundo lugar dentro de los programas más comunes en las redes corporativas en 2009. Damballa hizo un seguimiento de más de 200 botnets basadas en Zeus en redes de empresa. La botnet individual más grande controlada mediante una plataforma Zeus consistía en 600.000 ordenadores comprometidos.

El software de Zeus es menos importante por sus conquistas que por su alta estima dentro del entorno de los cibercriminales. “Zeus es increíblemente popular entre aquellas personas que quieren iniciarse y empezar su propio pequeño negocio, podríamos decir,” afirma Gunter Ollman, vicepresidente de investigación de Damballa.

Un grupo de cuatro o cinco desarrolladores empezaron a trabajar en Zeus en 2005. Al año siguiente lanzaron la primera versión del programa, un troyano básico diseñado para esconderse en un sistema infectado y robar información. En 2007, el grupo creó una versión más modular, que permitía a otros desarrolladores underground crear plug-ins y añadirlos a su funcionalidad.

La última plataforma de Zeus permite a los usuarios construir software malicioso a medida para infectar sistemas, administrar una red de máquinas comprometidas, y usar la botnet resultante para actividades ilegales. El kit de construcción contiene un programa para la construcción del software de la red, así como scripts web para la creación y albergue de un servidor central de comando y control.

Una serie de desarrolladores independientes han creado “paquetes de explotación” compatibles capaces de infectar los sistemas de las víctimas mediante el uso de vulnerabilidades en el sistema operativo o el navegador. Otros desarrolladores se han enfocado en la creación de software de tipo plug-in para ayudar a que los cibercriminales en ciernes ganen dinero a partir de una botnet Zeus. Algunos add-ons se enfocan en ataques de phishing—mostrando las imágenes y las páginas web necesarias para crear sitios de banca fraudulentos, por ejemplo. Otros add-ons otorgan a los operadores de las redes las herramientas para crear campañas de spam. “Hay toda una industria alrededor de la creación de add-ons para Zeus,” afirma Don Jackson, investigador de seguridad en la Unidad Contra Amenazas de Secure Works, una compañía con sede en Atlanta.

La disponibilidad del código fuente de Zeus ha atraído a muchos desarrolladores, afirma Jackson. Todos los delincuentes de internet que desean crear su propia botnet empiezan con Zeus, puesto que es sencillo de usar, afirma, mientras que las extensiones add-on satisfacen a un tipo de usuarios más sofisticados. “Es muy fácil de usar nada más instalarlo,” afirma Jackson. “Sin embargo cuando añades la funcionalidad avanzada con un precio de miles de dólares, entonces se convierte en una herramienta para operadores avanzados.”

Incluso los kits básicos de Zeus incluyen técnicas de ofuscación para ayudar a saltarse la detección por parte de los programas antivirus y otras medidas de seguridad. En un experimento, el consultor de Internet Security Services Alex Heid descubrió que sólo alrededor de la mitad de los programas antivirus detectaron transmisiones de datos de Zeus. Después de emplear algunas técnicas simples para enmascarar el código, la cuota de detección bajó aún más, hasta alcanzar el 10 por ciento. “Las tecnologías de cibercrimen están avanzando más rápidamente que las tecnologías de seguridad,” afirma Heid.

Una vez que Zeus compromete un sistema, no ofrece al usuario ningún signo de que está ahí, según afirma Jackson. “¿Qué aspecto tiene Zeus cuando infecta tu ordenador? Mira a la pantalla ahora mismo, y lo que ves es exactamente el aspecto que tiene,” señala Jackson. “Está diseñado para hacer su trabajo y hacerlo con éxito y en silencio.”

Aunque tanto Damballa como NetWitness venden tecnología y servicios para la detección de componentes comprometidos en redes corporativas, no proporcionan software para usuarios finales.

“La mayoría de las empresas con las que trabajamos tienen un gran número de usuarios, así que básicamente se rinden a la hora de defender sus ordenadores,” señala Ollmann. “Haces todo lo posible con los antivirus y los firewalls, pero uno acaba aceptando que cierto porcentaje del sistema va a ser infectado, con lo que la atención se centra en la reconstrucción de los sistemas comprometidos en vez de en la defensa contra todas las amenazas posibles.”

Cox añade que enfocarse en las comunicaciones entre los sistemas infectados y el servidor de control y comando es normalmente la mejor forma de captar las infecciones. “El entendimiento del aspecto de la normalidad en la red para así poder detectar anormalidades es lo que resulta realmente importante en el entorno de amenazas actual,” afirma. “No sólo hay que confiar en los controles de seguridad existentes, sino que hay que mantener el ojo puesto en la red.”