Por el número de ordenadores que la integraban, la red Mariposa sea probablemente una de las botnes (redes de robots) detectadas y, con ella, se podría haber realizado un ataque de ciberterrorismo muy superior a los realizados contra Estonia o Georgia.

En los registros practicados en los domicilios de los detenidos se han intervenido ordenadores, material informático e información personal de más de 800.000 usuarios. Los datos obtenidos por los ahora detenidos podían utilizarlos para sí o alquilarlos a bandas organizadas dedicadas al fraude bancario.

La denominada botnet Mariposa se detectó en mayo de 2009 por técnicos de la empresa canadiense Defence Intelligence, quienes crearon un grupo de trabajo para su seguimiento, junto con la empresa española Panda Security y el Georgia Tech Information Security Center.

A partir de entonces se avanzó en la investigación de forma coordinada, lo que permitió conocer los vectores de infección de la botnet y sus canales de control de los ordenadores ajenos. Asimismo, se pudo determinar la existencia de un grupo de habla hispana, identificado como DDPTEAM, que había adquirido en el mercado del “malware” (programas maliciosos) el troyano utilizado

El pasado mes de diciembre, identificados prácticamente todos los canales de control de esta botnet, se procedió de una forma coordinada a nivel internacional a bloquear los dominios que habían utilizado. Éstos se localizaban principalmente en dos prestadores de servicio americanos y uno español.

Tres detenidos e identificado un cuarto miembro

Tras el bloqueo de los dominios, se logró identificar al máximo responsable del ddpteam, que se autodenominaba “netkairo” o “hamlet1917”, procediéndose a su detención en su localidad de residencia, Balmaseda (Vizcaya), el pasado mes de febrero.

En el registro domiciliario se intervinieron varios equipos informáticos que están siendo analizados, en los que se encontraron numerosas evidencias de su actividad delictiva y de la identidad de otros miembros del grupo, lo que ha permitido que la pasada semana, se procediera a la detención de los otros dos españoles miembros del grupo, “OsTiaToR”, en Santiago de Compostela (A Coruña), y “Johnyloleante” en Molina de Segura (Murcia).También se investiga la participación de un cuarto miembro del grupo, identificado como “fénix”, que podría ser venezolano. 

La coordinación de las actuaciones técnicas por parte de Panda Security y la colaboración del Prestador de Servicio CDMON, según destaca la Guardia Civil, han sido vitales para la investigación.

¿Qué es una botnet?

Una botnet (red de robots) es un conjunto de ordenadores infectados con un programa malicioso, que están bajo control de su administrador o “botmaster”. Para su control, los ordenadores infectados, conocidos como zombies o bots, se conectan a un equipo llamado Command & Control (C&C) donde reciben instrucciones.

Las botnets se pueden utilizar para robar información de los propios equipos o para usarlos de forma clandestina (envío de spam, atacar a terceros equipos o provocar denegaciones de servicio o DoS). El botmaster puede utilizar esa información para sí o alquilarla a terceros, muy habitual en bandas organizadas dedicadas al fraude bancario.