La lucha contra el cibercrimen internacional logró ayer una victoria importante cuando se anunció el desmantelamiento del foro de cibercriminales Darkode en una operación conjunta de fuerzas policiales de diferentes países.
Historia de Darkode
Darkode ha sido durante varios años un foro en el que cibercriminales de todo tipo vendían y compraban amenazas de cualquier clase, desde kits de exploits a vulnerabilidades 0day, pasando por botnets y programas de creación de ransomware.
Como otros foros de este tipo, a Darkode se accedía solamente previa invitación de alguno de los usuarios y tras realizarse una rigurosa comprobación del perfil del candidato. Esto hizo que la popularidad del foro creciese, especialmente entre usuarios de habla inglesa, puesto que este acceso solo mediante invitación le daba cierto aire de exclusividad.
El hermetismo de este foro provocaba que el tráfico de malware que allí se producía tuviera especial interés, puesto que se traficaba con amenazas que podrían afectar a muchos usuarios a nivel global. De hecho, existen bastantes vínculos que conectan a administradores de Darkode con miembros de grupos como Lizard Squad, responsables, entre otras acciones, de los ataques a las redes Playstation Network y XBOX Live.
Una acción conjunta
Desmantelar un foro de estas características con tantos usuarios repartidos por todo el mundo y con un acceso tan restringido no es tarea fácil. Ha hecho falta la colaboración de numerosas fuerzas policiales de distintos países y el apoyo de Europol para conseguir cerrar este foro y presentar cargos a 60 sospechosos en 18 países.
A día de hoy, si alguien intenta acceder a este foro se encontrará con la siguiente imagen indicando que el foro ha sido desmantelado:
Esta es la culminación de una larga investigación que ha durado años y en la que numerosos agentes consiguieron infiltrarse en este foro para conocer más acerca de sus actividades, sus miembros y administradores y actuar en consecuencia una vez se hubieron recopilado todas las pruebas.
“Esta acción representa un punto de inflexión en nuestros esfuerzos para eliminar la capacidad de los criminales de comprar, vender y comerciar con malware, botnets e información personal, algo que han sido utilizado para robar a ciudadanos de Estados Unidos y de todo el mundo”, comentaba el Director Adjunto del FBI Mark F. Giuliano. “Los ciberdelincuentes no deben disponer de un refugio para sus herramientas o sus negocios y la operación Horizonte Oculto ha demostrado que haremos todo lo que podamos para acabar con sus actividades ilegítimas”.
Un viejo conocido entre los detenidos
Los usuarios y administradores contra los que se han presentado cargos son de países como Estados Unidos, Suecia, Pakistán o Brasil, entre muchos otros, pero revisando la lista de inculpados encontramos un nombre que nos trae recuerdos. Se trata de F.C.R., natural de Vizcaya y más conocido por su nick Netkairo; fue uno de los administradores de la botnet Mariposa, desmantelada en 2010, la cual llegó a contar con alrededor de 13 millones de usuarios infectados bajo su control.
Para los que no recuerden esta interesante historia, a principios de 2010, el Grupo de Delitos Telemáticos de la Guardia Civil, en colaboración con fuerzas policiales de otros países y la empresa de seguridad Panda, logró desmantelar una de las botnets más grandes conocidas hasta la fecha. Dio la casualidad de que sus tres administradores eran españoles y uno de ellos era Netkairo, aunque el desarrollo de la botnet fue realizado por un ciudadano esloveno.
Más curioso aun fue la historia de la solicitud de trabajo que Netkairo y Ostiator (otro de los administradores de Mariposa) le realizaron a nuestro compañero de profesión Luis Corrons, Director Técnico de PandaLabs, esperando ser contratados por su “amplia experiencia” en temas de malware. La mejor recreación de esa entrevista (y la más divertida, sin duda) la podemos encontrar en un post publicado en Security by Default por nuestro gran amigo Yago Jesús.
Conclusión
A pesar de que el foro Darkode ha permanecido activo desde 2009, su desmantelamiento demuestra que las acciones contra los cibercriminales no conocen fronteras y que las fuerzas policialesactúan para evitar delitos tecnológicos contra los usuarios.
Este tipo de operaciones pueden parecer una aguja en un pajar, pero no cabe duda de que su efectividad se ha incrementado en los últimos años, conforme las fuerzas policiales iban adquiriendo experiencia y contaban con la ayuda de empresas de seguridad y tecnológicas, sin olvidar a los hackers, pues una de sus finalidades es hacer de Internet un lugar más seguro.