Trickbot y su millón de computadores “zombis”: ¿una amenaza para las elecciones en EE. UU.?

EE. UU., 18 OCT 2020 – Microsoft y los servicios militares estadounidenses de información se lanzaron contra Trickbot, una de las más importantes “botnets”, esas redes de computadores controlados a distancia por cibercriminales del mundo. Varias fuentes estiman que representa una amenaza para la elección presidencial de Estados Unidos.

Ha servido para paralizar hospitales, hogares de retiro, bancos e incluso municipalidades. Trickbot, considerada como una de las redes de cibercriminalidad más importantes y activas del mundo, acaba de sufrir los ataques del Cibercomando de Estados Unidos, el equivalente militar de la NSA, y de Microsoft. El problema es que representa una seria amenaza para la integridad” de la elección presidencial del 3 de noviembre, afirmó Microsoft en un comunicado publicado el lunes 12 de octubre que anunciaba la ofensiva contra esta red.

El gigante de la informática estadounidense –que dispone de una unidad encargada de luchar contra las amenazas informáticas– obtuvo la autorización de un juez para neutralizar una parte de sus servidores utilizados por los cibercriminales para coordinar la red de piratería, reportó el Washington Post el martes 13 de octubre.

Más de un millón de computadores controlados

Es un golpe duro para “un actor que se volvió central en la escena de la cibercriminalidad”, resalta Jean-Ian Boutin, responsable de las investigaciones de amenazas informáticas para Eset, uno de los grupos de ciberseguridad que colaboró con Microsoft, contactado por France 24.

En un principio, Trickbot no era más que un simple “programa malicioso desarrollado en 2016 y especializado en la criminalidad financiera”, recuerda Vincent Nguyen, responsable de la célula de respuesta a los incidentes de seguridad y de gestión de las cibercrisis del gabinete del consejo en informática Wavestone. Pasó de ser una herramienta para robar códigos de acceso a cuentas bancarias, a desarrollarse y convertirse en una botnet gigantesca, es decir, una red de computadores controlados a distancia por los cibercriminales.

Trickbot controla más de un millón de computadores “zombis” –el término utilizado para designar esos computadores controlados a distancia– en el mundo. Lo cual lo convierte “en una de las botnets con mayor actividad”, confirma Vincent Nguyen. Esta fuerza de ataque mundial se alquila a grupos de cibercriminales que la pueden utilizar para cometer sus delitos. Tener un millón de computadores bajo la manga permite lanzar campañas masivas de spams o incluso llevar a cabo ataques por denegación de servicio (enviar un gran número de solicitudes informáticas para saturar un servidor) difíciles de controlar.

Trickbot también ha sido utilizado para difundir softwares de rescate, esos virus que bloquean el acceso a los archivos de un computador hasta el pago de un “rescate”. Su empleo es incluso lo que ha tenido el mayor impacto mediático. La red Trickbot está en el corazón del primer ataque por software de rescate en tener una consecuencia fatal: a finales de septiembre, un virus de ese tipo bloqueó el acceso al sistema informático de un hospital en Alemania, el cual, desbordado administrativamente, tuvo que rechazar a algunos pacientes. Uno de ellos falleció por no haber recibido los cuidados necesarios a tiempo.

En Estados Unidos, unos cibercriminales utilizaron la extensa red de computadores controlados por Trickbot para secuestrar cibernéticamente un servidor que administraba el sistema informático de once hogares de retiro en plena pandemia de Covid-19, resalta Microsoft.

La sombra rusa

Esa popularidad de Trickbot es lo que despierta la preocupación del Cibercomando de Estados Unidos y de Microsoft con la llegada de las presidenciales. “Hay que pensar en Trickbot como en una clave que permite a los cibercriminales entrar en un sistema informático para piratearlo”, explica Jean-Ian Boutin.

Un escenario catastrófico para el escrutinio del 3 de noviembre sería que uno de los computadores controlados por esa red esté vinculado al sistema informático de una oficina de votación o a un servidor donde se encuentren algunas cartillas electorales. Piratas informáticos utilizarían este computador para atacar el servidor previsto y bloquearlo gracias a un software de rescate.

De esta manera, una de las hipótesis sería, por ejemplo, que “los sistemas que administran los datos electorales estén comprometidos, bloqueados por un software de rescate, lo cual puede impedir el recuento de los votos”, especula Vincent Nguyen.

Semejante incidente le añadiría agua al molino del presidente saliente, Donald Trump, que no deja pasar una oportunidad para sugerir que la próxima elección será “la más manipulada de todos los tiempos”.

La amenaza es tomada aún más en serio pues Microsoft y el Cibercomando afirman que Trickbot es administrado por cibercriminales “rusoparlantes”. No establecen un vínculo directo con el Kremlin, pero en el contexto actual de recrudescencia de la propaganda rusa con el acercamiento del escrutinio estadounidense, “¿por qué correr riesgos?”, se pregunta Tom Burt, que supervisa el equipo de Microsoft desde la ofensiva contra Trickbot, entrevistado por el New York Times.

Microsoft incluso planificó su operación en función de las elecciones de noviembre. Trickbot habría podido ser un objetivo desde abril, pero el grupo estadounidense prefirió esperar hasta octubre para dejarle el menor tiempo posible a los cibercriminales de reconstruir su imperio.

“Semejante red no puede ser destruida de la noche a la mañana y nos hemos dado cuenta de que sigue habiendo actividad, incluso aunque sea menor”, afirma Jean-Ian Boutin. En otras palabras, todos los servidores de comando que controlaban los computadores a distancia no pudieron ser neutralizados. Y la pregunta del millón es saber cuántos computadores están todavía en manos de esos cibercriminales, qué pueden hacer y, sobre todo, si tendrán tiempo de recuperarse para el 3 de noviembre.