Si quieres que tu software malicioso se cargue en 1.000 ordenadores de Estados Unidos, te costará alrededor de 1.000 dólares (795 euros), o una moneda de diez centavos (8 céntimos) cada uno, en el mercado negro. Para que tu malware se instale en 1.000 máquinas en países asiáticos solo tienes que pagar 5 dólares (4 euros).

Estos ordenadores infectados, conocidos de forma colectiva como 'botnets', pueden ser utilizados para enviar spam, robar contraseñas u otra información privada, y piratear sistemas informáticos corporativos. Diversos investigadores estiman que cinco millones de ordenadores en todo el mundo fueron infectados solo en el primer trimestre de 2012.

Dada la eterna dificultad de detener las infecciones, especialmente en ordenadores con software obsoleto o carente de protección antivirus, un frente clave en la guerra contra los 'botnets' consiste en reclutar a millones de personas corrientes (desafortunados propietarios de equipos infectados) para que tomen medidas y limpien sus máquinas, además de mantenerlas actualizadas. Incluso si el Gobierno o la industria quisieran pasar por alto a estos usuarios, no podrían hacerlo porque en Estados Unidos, y en muchos otros lugares, las máquinas privadas no se pueden tocar sin una orden judicial.

"Existe un dilema fundamental en el hecho de que podemos identificar, literalmente, millones de ordenadores infectados pero no estamos en condiciones de hacer mucho en lo que respecta a la limpieza", indica Stefan Savage, investigador de seguridad informática en la Universidad de California en San Diego (Estados Unidos).

La semana pasada, la Casa Blanca y las principales empresas de informática e Internet que conforman el Industry Botnet Group, una sociedad formada el año pasado, se comprometieron a intensificar la acción de la industria contra los 'botnets'. Este nuevo esfuerzo incluye una coordinación mayor entre la industria y el Gobierno, el progreso hacia el intercambio de información entre los proveedores de servicios de Internet y las instituciones financieras, y la campaña de limpieza de ordenadores 'Keep a Clean Machine', destinada a mejorar la educación de los consumidores. Todas estas iniciativas son voluntarias.

Sin embargo, uno de los problemas cruciales es encontrar la forma de persuadir a aquellos usuarios poco duchos y apáticos en lo que se refiere a la tecnología de que se protejan. Los esfuerzos para estudiar qué tipo de advertencias desencadenan una acción productiva por parte de los propietarios de ordenadores es una parte de ese enfoque. Y los PSI (proveedores de servicios de Internet) tendrán un papel clave, ya que son el punto natural de contacto con los usuarios.

"Los 'botnets' son hoy lo que era el spam en 2004, cuando pensábamos que hundiría Internet, o por lo menos el correo electrónico", indica Michael O'Reirdan, ejecutivo de Comcast y copresidente de un grupo de la industria que, entre otras iniciativas antiabuso, trata de mejorar la forma en que los PSI notifican a los usuarios y les ayudan a arreglar sus máquinas.

Los PSI finalmente asumieron un papel de liderazgo en la lucha contra el spam, contratando personal técnico y creando filtros para capturar los correos no deseados. Sin embargo, sus esfuerzos para luchar contra los 'botnets' mediante la notificación de infecciones a los propietarios de ordenadores siguen siendo primitivos "como el DOS 1.0", tal y como señala O'Reirdan, refiriéndose sistema operativo original de Microsoft de la década de los 80.

A los intentos por entender cómo podrían ser persuadidos los consumidores para adoptar un papel más activo en la seguridad de sus máquinas les han seguido recientes secuestros por parte de las fuerzas del orden de grandes 'botnets'. En noviembre pasado, el FBI secuestró DNS Changer, un 'botnet' que redirigía a las personas a sitios web infectados, y detuvieron a los involucrados. El FBI ya no permite las redirecciones, pero aún puede ver los flujos de solicitudes que llegan a DNS Changer, y por lo tanto el número de infecciones activas que aún existen: 350.000 tras el último recuento.

Según O'Reirdan, este tipo de información ayudará a los PSI a determinar qué tipos de alertas y mensajes inducen a la gente a tomar medidas. Los proveedores de Internet pueden ver cambios en momentos y áreas geográficas específicos en el tráfico que fluye a DNS Changer. "Esta será la primera vez que contemos con una población en la que hayamos hecho parte de esta correlación e investigación", indica O'Reirdan. Aún no hay resultados disponibles.

Paradójicamente, lo que agrava el problema es que "la gente ha sido entrenada para no hacer clic en emails o ventanas emergentes que no entienden, ya que podría tratarse de un ataque de phishing (adquisición de información confidencial de forma fraudulenta), ¿pero de qué otra forma entras en contacto con el cliente? Tenemos que empezar por algún lado", afirma O'Reirdan.

También está resultando difícil que las empresas de software logren tener impacto. El año pasado, Microsoft tuvo un papel destacado en el cierre de los servidores de comando y de control de otro 'botnet', llamado Rustock, en una acción civil. Sin embargo, se cree que solo el 58 por ciento de las máquinas infectadas en Estados Unidos han sido limpiadas del virus real.

"Todas estas operaciones significan poco si no se llega a las víctimas", afirma Richard Boscovich, abogado de la Unidad de Crímenes Digitales de Microsoft. "Esa es una de las piedras angulares: informar a las víctimas y detener la victimización permanente".

Un número sorprendente de personas ha apagado las actualizaciones automáticas de sus sistemas operativos y no tiene ningún software antivirus instalado, añade Boscovich. (Las empresas de software no pueden cambiar nada en los ordenadores de la gente a menos que obtengan permiso por adelantado). Los usuarios de sistemas operativos de Microsoft pueden visitar este sitio para aprender a utilizar Windows Update. Hay más información de seguridad disponible aquí.

Para acabar con Rustock, Microsoft obtuvo órdenes judiciales para confiscar direcciones web y servidores relacionadas con el 'botnet'. Aunque esfuerzos como este son útiles, hacen poco por cambiar el modelo de negocio de los 'botnets'. Y a pesar de que las herramientas en la lucha contra el malware han mejorado mucho, asegura Savage, no han llegado a ser lo suficientemente buenas para cambiar las cosas. "Capturar un gran número de máquinas sigue siendo fácil", asegura Savage.