El rey de los virus informáticos ha perdido su corona. Las autoridades policiales y judiciales de Europa y Norteamérica han desarticulado esta semana una de las redes de bots más importantes de la última década, conocida como Emotet, responsable del programa malicioso del mismo nombre que ha infectado miles de ordenadores de todo el mundo. Los investigadores han tomado el control de esta infraestructura en una acción internacional coordinada entre las autoridades de los Países Bajos, Alemania, Estados Unidos, Reino Unido, Francia, Lituania, Canadá y Ucrania, junto a la Oficina Europea de Policía (Europol) y la Agencia de la Unión Europea para la Cooperación Judicial Penal (Eurojust).
“Era mucho más que un malware [programa malicioso]”, aseguran las autoridades de Europol en un comunicado. Hasta hoy, Emotet era uno de los servicios de ciberdelincuencia más profesionales y duraderos que existían, pues desde su descubrimiento en 2014, el virus informático había evolucionado hasta convertirse en la solución de referencia para los ciberdelincuentes durante siete años.
¿Cómo era de potente y de destructor? Si usted ha sufrido los efectos de cualquier tipo de virus informático, es muy probable que haya sido víctima de Emotet. En 2019, la organización sin fines de lucro The Spamhaus Project publicó un informe en el que aseguraba que había decenas de miles de equipos infectados con Emotet en todo el mundo y que estos estaban emitiendo alrededor de 6.000 enlaces maliciosos que llevaban a sitios web que servían como vector de infección. Según estos datos, Emotet se constituía en el malware con mayor presencia global, pues representaba un 45% de los enlaces que se utilizaban para la descarga de virus informáticos en todo el mundo.
“Lo que hizo a Emotet tan peligroso es que el virus se ofreció en alquiler a otros ciberdelincuentes para instalar otros tipos de malware, como troyanos bancarios [programas aparentemente inofensivos que abren las puertas de los equipos a otros programas maliciosos] o ransomwares [programas que se utilizan para secuestrar la información de los equipos y pedir posteriormente un rescate a cambio de liberarlos], en la computadora de la víctima”, explica la Europol. En otras palabras, Emotet funcionaba como una especie de servicio de almacenamiento para los virus informáticos de ciberdelincuentes y también como una ama de llaves, que permitía el acceso de otros tipos de malware a los ordenadores que conseguía burlar.
Emotet debe su poder y su fama a su infraestructura, que involucraba a cientos de servidores ubicados en todo el mundo y con diferentes funcionalidades para administrar las computadoras de las víctimas infectadas, propagarse a otras nuevas, servir a otros grupos criminales y, en última instancia, hacer la red más resistente contra los intentos de eliminación. “La infraestructura de Emotet actuó esencialmente como un abridor de puertas para los sistemas informáticos a escala global y, una vez establecidos, dichos accesos se vendieron a otros grupos delictivos de alto nivel para implementar más actividades ilícitas, como el robo de datos y la extorsión a través de ransomware”, asegura la Europol.
Como trono, un banco
Emotet era el rey del malware y tuvo a las autoridades cibernéticas de rodillas durante casi una década. Pero este rey no tenía ni trono ni palacio. Según las imágenes y videos compartidos por la Policía Nacional de Ucrania, que llevó a cabo las capturas, el terror de la ciberseguridad a nivel mundial operaba desde una pequeña y sucia habitación, con un ordenador sobre una mesilla desordenada y como asiento, un banco. Nada de equipos de élite de piratas informáticos encapuchados en un almacén gigantesco con instalaciones de tecnología punta.
¿Pero qué hacía exactamente y cómo funcionaba Emotet? Los ciberdelincuentes utilizaban el correo electrónico como principal arma de ataque. “Mediante un proceso totalmente automatizado, Emotet se enviaba a las computadoras de las víctimas a través de archivos adjuntos de correo electrónico infectados, utilizando una variedad de señuelos diferentes para engañar a los usuarios desprevenidos para que abrieran estos archivos adjuntos maliciosos. Las campañas de correo electrónico de Emotet también se presentaban como facturas, avisos de envío e información sobre covid-19″, explican las autoridades europeas.
Todos estos correos electrónicos contenían documentos de Word maliciosos, ya sea adjuntos al correo electrónico en sí o descargables haciendo clic en un enlace dentro del correo electrónico. Una vez que un usuario abría uno de estos documentos, el código malicioso oculto en el archivo de Word comenzaba a ejecutarse e instalar el virus y servicios de Emotet en la computadora de la víctima.
Emotet pasará a la historia como uno de los principales actores en el mundo del ciberdelito e impulsor de los virus informáticos más potentes del ciberespacio, como TrickBot, QakBot y Ryuk. Pero sobre todo, será recordado como el virus informático que burló a las autoridades de más de ocho países en dos continentes sin ninguna infraestructura de película, desde una pequeña bodega ucraniana.
Puedes seguir a EL PAÍS TECNOLOGÍA RETINA en Facebook, Twitter, Instagram o suscribirte aquí a nuestra Newsletter.