Durante los últimos años, las ciberbandas de criminales han logrado extender cuidadosamente sus operaciones a lo largo de varios proveedores de servicios de internet (PSIs), una táctica que hace mucho más difícil el seguimiento del crimen organizado para las agencias del orden y los administradores de seguridad.

Sin embargo una nueva investigación muestra que tomar datos de varios lugares, incluyendo compañías anti-malware y anti-spam así como listas negras de phishing, hace posible la identificación de densos clusters de PSIs que parecen tolerar completamente las actividades maliciosas. Este patrón ha resultado especialmente evidente en Europa del Este y en Oriente Medio.

Un grupo de investigadores de la Universidad de Indiana en Bloomington y el Laboratorio Nacional Oak Ridge en Oak Ridge, Tennessee, han comparado datos procedentes de una variedad de fuentes que miden la reputación del ISP desde varias perspectivas.

Las organizaciones de seguridad tienden a clasificar las amenazas online de forma distinta dependiendo de su localización geográfica y enfoque. El estudio incluye información sobre páginas web de phishing procedente de Phishtank.com y el Grupo de Trabajo Anti-Phishing; datos de botnets procedentes de la Fundación Shadowserver; datos de spam provenientes de la Universidad de Indiana, Spamhaus, SURBL y Support Intelligence; así como estadísticas sobre alojamiento de malware procedentes de organizaciones como CleanMX, eSoft y Malware Patrol.

Craig Shue, científico de investigación de ciberseguridad en el Laboratorio Nacional Oak Ridge, afirmó que el grupo acordó no nombrar los hosts y PSIs que fueron determinados como maliciosos al comprobar los distintos grupos de datos. La compañía empleadora de Shue, así como varias organizaciones que contribuyeron con sus datos, están preocupados por las denuncias legales que podrían sufrir al criticar a ciertos PSIs.

Aún así, Shue afirmó que está claro que una gran fracción de direcciones de internet se encuadran dentro de muchos PSIs involucrados en actividades maliciosas. “En general, un pequeño número de PSIs poseen una fracción desproporcionada de hosts maliciosos,” concluyeron los investigadores en su informe. “Estas redes podrían recabar albergar actividad maliciosa y deberían ser investigadas.”

Los investigadores clasificaron a un PSI como malicioso si albergaba al menos un 2,5 por ciento de direcciones de internet maliciosas dentro de un grupo de datos determinado, como por ejemplo la lista de sitios de phishing o los sitios de malware. Encontraron 58 redes con más de 100.000 hosts vulnerados cada una dentro de su rango de direcciones de internet, mientras que otras 255 redes poseían entre 10.000 y 100.000 sistemas dentro de las listas negras.

“Lo que observamos es que no hay muchos PSIs por encima del 1 por ciento dentro de cada grupo de datos, aunque hay más PSIs de los que creíamos que había,” afirmó Shue.

El grupo identificó dos PSIs de Ucrania, uno de Irán, y uno de Bielorrusia con más de un 80 por ciento de su rango de direcciones de internet dentro de listas negras, combinando spam, phishing y software malicioso en hosts. Dentro de otro grupo de datos—que examinaba el predominio de servidores que los criminales utilizan para controlar botnets (grandes grupos de PCs ‘hackeados’)—los investigadores descubrieron que un gran PSI de banda ancha de Turquía representaba el 9,11 por ciento de todas las direcciones de internet.

Los investigadores intentaron evitar penalizar de forma injusta a los grandes proveedores de red mediante el análisis del porcentaje dentro de las direcciones de internet de un PSI que se encontraban dentro de cada grupo de datos negativos. Hay otros métodos que identifican los problemas de red basándose en el número de direcciones en listas negras dentro de un PSI determinado, y este método normalmente señala a los PSIs más grandes del mundo, la mayoría de los cuales están en los Estados Unidos.

Los investigadores también deseaban identificar aquellos PSIs y proveedores de hosting que poseyeran una cantidad desproporcionada de redes asociadas que fuesen maliciosas. Para ello, se enfocaron en aquellos PSIs con al menos tres socios de red de este tipo. Encontraron 22 redes con el 100 por cien de sus clientes considerados maliciosos, mientras que casi 194 redes tenían al menos un 50 por ciento de sus clientes bajo esa categoría.

La semana pasada, un PSI ruso llamado Troyak fue desconectado de internet después de que sus proveedores upstream cancelasen sus actividades. Un grupo de investigadores descubrió que Troyak daba servicio a varios proveedores de hosting que, en conjunto, albergaban redes de comando y control (C&Cs) para más de 60 botnets “Zeus”—gigantescos grupos de PCs zombis que proporcionan a los criminales un flujo constante de datos financieros robados, como por ejemplo credenciales bancarias de internet.

El 9 de marzo Troyak fue brevemente desconectado de la red antes de descubrir que otro PSI upstream se apoderase de él. Este juego del gato y el ratón se repitió cinco veces durante los siguientes tres días.

Roman Hussey, un experto en tecnología de la información suizo mantiene un sitio llamado Zeustracker, que hace el seguimiento de C&Cs de botnets Zeus en el mundo, afirma que es importante recolectar y hacer pública la información relativa a los PSI maliciosos. No sólo ayuda a centrar la atención sobre los hosts maliciosos y a aislarlos, afirmó, sino que sirve para informar a los medios.

“Troyak ha pasado por algunos problemas antes de volver a estar en internet, y en gran medida se debe a la reacción de los medios,” señala Hussey. Debido a esa reacción, “todos los PSI saben qué es Troyak, y no se van a relacionar con él.”

Sin embargo Alex Lanstein, investigador de seguridad senior en Fireeye, una firma de seguridad con sede en Milpitas, California, y que ha participado en varios esfuerzos por desactivar botnets y PSIs maliciosos, afirma que muchas firmas de seguridad no quieren compartir la información públicamente por motivos relativos a la competitividad.

Y existen importantes razones estratégicas para mantener ciertos tipos de amenazas allí donde podamos tenerlas vigiladas, afirma Lanstein. “Algunas compañías de seguridad bloquean hosts o PSIs específicos para sus clientes, pero no se lo dicen a nadie más, para que los propietarios de las redes maliciosas no sepan que están siendo bloqueados,” señala Lanstein.

Señaló un artículo que la compañía publicó en septiembre de 2009 sobre un PSI en Ucrania. “Cuando lo publiqué, literalmente un día después dejaron de usar los bloqueos de direcciones de internet sobre los que habíamos escrito,’ señala Lanstein. “Tan pronto como descubren que están en una gran lista negra, a menudo se deshacen de los bloques de direcciones de internet que están siendo bloqueadas,” y trasladan sus operaciones a un espacio de direcciones menos contaminado.