Un resplandor rojo se extiende por un mapa mundial que se muestra en un gran monitor de pared en el Centro de Cibercrimen de Microsoft. Se ve cómo Europa Central, parte de Asia, y sobre todo Estados Unidos y México están siendo ciberatacados. Todo es en tiempo real.
En cuestión de segundos, análisis especializados desarrollados por la inteligencia artificial de Microsoft procesan millones de piezas de datos individuales. Se revela que la tasa de infección es más del doble de lo que se había anticipado, con un millón de ataques más al acecho en una “capa inferior”.
Visualizar los datos de esta manera confirmó lo que sospechaban los analistas de malware de Microsoft y los investigadores del cibercrimen: después de años de monitorear un “botnet-in-the-box”, comúnmente utilizado para que los cibercriminales pueden comprar y descargar en línea el malware Win32/ Dorkbot, ha evolucionado hasta convertirse en una amenaza más sofisticada, que ahora sirve como un conducto importante para difundir algunos de los malware más invasivos en internet, malware capaz de robar silenciosamente grandes volúmenes de información personal y financiera de millones de víctimas inocentes.
México está en el top diez de los ciberataques mundiales, y en el monitor, donde se puede elegir ver país por país, se muestra a la Ciudad de México, Guadalajara, Monterrey y Chihuahua, como los más afectados de los últimos 30 días por parte del cibercrimen.
Dorkbot está de momento en tercer lugar como el que tiene el mayor número de ciberataques, pero el ha ayudado a que otros malware, como B106 y Avalanche, códigos maliciosos de índole financiero, infecten más equipos y ocupen, literalmente, el primero y segundo sitio. En sólo unos segundos, Microsoft ha comenzado a combatirlos, a través de su inteligencia artificial y alerta a las autoridades.
Determinamos que hay más de 100 mil nuevas infecciones cada mes de esta nueva versión más virulenta del malware Dorkbot, y sí, México ya es de los más ciberatacados con diferentes códigos maliciosos”, explica Shilpa Bratt, directora de Operaciones de Negocio de la Unidad de Crímenes Digitales de Microsoft.
Como resultado, las agencias policiales de todo el mundo toman medidas para detener la propagación de este y otros malware. El FBI, Interpol, Europol y varios equipos nacionales como la Policía Cibernética de la SSP de México comienzan a intercambiar datos.
MÁS INFORMACIÓN
Después de años de lucha, incautación, tráfico de cientos de dominios previamente propiedad de ciberdelincuentes, y recopilación de información de ciberataques, Microsoft comenzó a analizar los datos como parte de su Programa de Inteligencia Cibernética de Amenazas, y ha mejorado con algoritmos e inteligencia artificial para predecir el próximo ataque y adelantarse a los delincuentes, o realizar pronto parches de seguridad para los equipos, anticipando como será la nueva cepa.
“Al analizar los datos, Microsoft puede notificar a los consumidores y las empresas sobre los dispositivos infectados, ayudarlos a eliminar el malware de sus dispositivos y obtener más información para llevar adelante la investigación”, afirma Bratt.
Afirma que hasta ahora, los datos ya han revelado información importante sobre cómo los delincuentes han estado utilizando diversos malware, entre ellos Dorkbot, para dirigir las computadoras infectadas a compartir información robada, solicitar instrucciones para una nueva actividad delictiva y descargar malware adicional para cometer nuevos delitos.
“Una vez que un dispositivo está infectado, el malware literalmente se comunica con los delincuentes que lo colocan allí y espera instrucciones sobre cualquier actividad criminal que quieran que haga. Cuando se considera que millones de máquinas están infectadas, la cantidad de órdenes entre estos dispositivos afectados y los servidores que les dan indicaciones es asombroso. Estamos hablando a veces de miles de millones de órdenes por día”, explica Bratt.
MÁS RETOS
Uno de los mayores desafíos que presenta una operación como esta es similar al desafío que enfrentan muchas organizaciones: estimar el poder de cómputo y el almacenamiento que se requerirán.
Es por eso que Microsoft Azure, y su capacidad de escalar para que pueda manejar todos los datos entrantes, es fundamental para el éxito de las interrupciones de botnets. Sin esa capacidad, los datos críticos resultantes de la operación tardarían días en procesarse y analizarse o, lo que es peor, el hardware podría sobrecargarse y colapsar, dejando a los investigadores en la oscuridad.
Agrega que la mediana de tiempo antes de que una empresa se dé cuenta de que han sido atacados es de más de 200 días. “Microsoft Cloud está ayudando a dificultar aún más que los ciberdelincuentes pirateen dispositivos”.