Hubo un tiempo en el que los administradores de botnets de grandes dimensiones campaban prácticamente a sus anchas sin apenas temor a que se tomaran represalias contra ellos. Por suerte para los usuarios, esas grandes redes van cayendo, poco a poco, y, en un año, hemos visto como varias de las redes de ordenadores zombies más veteranas iban cayendo una tras otra. Algunas, como Waledac, volvían a surgir tiempo después pero con otra estructura diferente, lejos de ser la mega-botnet que fue y centrándose sistemas de control de pequeñas redes en lugar de una enorme.
La última en caer (al menos temporalmente) ha sido Rustock, a la cual algunos expertos otorgaban cerca de la mitad del correo no deseado que se enviaba cada día. La colaboración de empresas como Microsoft, la firma de seguridad informática FireEye, la empresa farmacéutica Pfizer (conocida por ser el fabricante de Viagra) y diversas fuerzas de seguridad, han hecho posible desarticular la mayor parte de la estructura de C&C (centros de control) de esta red.
Si observamos el gráfico anterior, observamos como el volumen de spam generado en los últimos días ha disminuido notablemente tras el desmantelamiento de Rustock el pasado 16 de Marzo. Esto es debido al desmantelamiento de los centros de control que enviaban las ordenes a los sistemas infectados y a la limpieza de los equipos Windows infectados, usando las herramientas de eliminación de software malintencionado que Microsoft proporciona gratuitamente a través de su sistema de actualizaciones Windows Update.
A pesar de haber terminado con la mayoría de operaciones de esta botnet al haber eliminado gran parte de los C&C que la gobernaban, aun es pronto para afirmar que Rustock no volverá a resurgir, como ya lo hizo Waledac, usando otra configuración para que no sea tan fácil desmantelarla de nuevo.
Desde el laboratorio de ESET en Ontinet.com aplaudimos este tipo de acciones para eliminar el peligro que suponen las botnets. No obstante, nos gustaría recordar que la mayoría de ordenadores que pertenecen a una red zombi lo son porque sus usuarios han descuidado sus medidas de seguridad y permitieron que un malware se ejecutase en su sistema. Es por ello que debemos evitar a toda costa que nuestro sistema se infecte usando un antivirus capaz de detectar los archivos maliciosos y actualizando el sistema para evitar que estos archivos se propaguen usando agujeros de seguridad ya corregidos.
Josep Albors