Ha caído la red criminal Mariposa, que controlaba 13 millones de ordenadores zombis. Los cibercriminales que pertenecía a ella llegaron a hacerse con los datos de 800.000 personas de 190 países.

Tres personas que participaban en la gestión de la red, fueron detenidas el pasado martes por el Grupo de Delitos Telemáticos de la Unidad Central Operativa de la Guardia Civil (UCO). Según Jose Antonio Berrocal, teniente coronel jefe del departamento, Mariposa es la red mas grande este tipo desmantelada en el mundo. El caso continúa a nivel internacional y se está investigando a un posible cuarto responsable, que estaría asentado en Venezuela.

Los delincuentes organizaron una red de ordenadores zombis que infectaban a través de troyanos. Engañaban a los usuarios y cuando se ejecutaba el virus, conseguían hacerse con el control remoto de los equipos. Además, descargaban malware en los ordenadores con los que conseguían la información.

En la investigación han participado también la compañía de Canadá, Defence Intelligence, y Panda Labs. Según señaló Luis Corrons, director técnico de Panda Labs, a El País, la existencia de la red botnet se conoció a mediados de 2009. Su compañía formó un grupo de trabajo con Defence Intelligence, el Instituto Teconológico de Georgia, la Guardia Civil, el FBI y fuerzas de seguridad de otros países. Les sorprendió su extensión, ya que controlaba más de 13 millones de equipos. “Nadie ha visto ninguna de este tamaño. La ampliaban para robar información y la alquilaban a terceros”.

A través de la botnet conseguían dinero que blanqueaban jugando al póker en Internet. En las partidas los cómplices se dejaban ganar y no abonaban la apuesta. De este modo, el ganador justificaba unos ingresos que no venían del juego, en realidad.

El acceso de la red a los equipos zombis se cerró el 23 de diciembre. No se sabía quién la controlaba porque los atacantes usaban sistemas con los que escondían su IP. Los cibercriminales intentaron conseguir el acceso de nuevo y lanzaron ataques de denegación de servicio a Defence Intelligence y a usuarios suyos de Canadá.

Los atacantes un día cometieron un fallo, con el que pudieron “llegar a identificarlos: un día, uno de ellos olvidó emplear los habituales recursos para ocultar su dirección en Internet”, con lo que pudieron localizarlo. El 3 de febrero, la Guardia Civil accedió a la casa de uno de ellos en Vizcaya y los otros dos componentes fueron arrestado en Santiago de Compostela y Murcia. El grupo se bautizó como los DDP Team (Días de Pesadillas Team).

La red de botnet se encuentra cerrada, pero los equipos de los afectados continúan infectados.