Trickbot y su millón de ordenadores zombies: ¿Las elecciones de EE.UU. están amenazadas?

Los sistemas que gestionan los datos electorales podrían verse comprometidos.

El gigante de la tecnología Microsoft y la inteligencia militar de los Estados Unidos se están enfrentando a Trickbot

 Trickbot es una red de bots – una de las mayores redes de ordenadores del mundo controlada a distancia por ciberdelincuentes – como una amenaza para las elecciones presidenciales de los Estados Unidos. Ha sido utilizada para paralizar hospitales, residencias de ancianos, bancos e incluso gobiernos municipales.

Considerada una de las redes cibercriminales más grandes y activas del mundo, el grupo acaba de resistir un asalto de Microsoft y del Comando Cibernético de los Estados Unidos, el equivalente militar de la Agencia de Seguridad Nacional (NSA).

 Posible amenaza mundial

Hay mucho en juego. Calificando a Trickbot como «una de las redes de bots más infames del mundo y prolíficos distribuidores de rescates», Microsoft describió el rescate como «una de las mayores amenazas para las próximas elecciones«, explicando en un comunicado que «los adversarios pueden utilizar el rescate para infectar un sistema informático utilizado para mantener las listas de votantes o informar sobre los resultados de la noche de las elecciones, aprovechando esos sistemas a una hora determinada optimizada para sembrar el caos y la desconfianza».

Microsoft, que mantiene una unidad de lucha contra las amenazas a la ciberseguridad, fue autorizada por un juez a neutralizar un segmento de los servidores que los ciberdelincuentes utilizan para coordinar su red de hacking, informó el martes el Washington Post.

Más de un millón de ordenadores bajo control cibercriminal

Se trata de un golpe a «un actor clave en el panorama cibercriminal», dijo a France 24 Jean-Ian Boutin, que dirige la investigación de amenazas en ESET, una de las empresas de seguridad cibernética que se ha asociado con Microsoft.

Inicialmente, Trickbot era simplemente «un software malévolo desarrollado en 2016 y especializado en delitos financieros«, dijo Vincent Nguyen, quien dirige la unidad de respuesta a las amenazas de seguridad y gestión de cibercrisis en la empresa consultora Wavestone. Desde sus orígenes como herramienta para robar los códigos de acceso a las cuentas bancarias, creció hasta convertirse en una gigantesca red de bots.

Es la última de esas redes nefastas: Trickbot controla más de un millón de ordenadores «zombi» – el término utilizado para designar los PCs controlados a distancia – en todo el mundo. Eso la convierte en «una de las mayores redes de bots en funcionamiento», dijo Nguyen. Esa potencia de fuego global se alquila a grupos de ciberdelincuentes que pueden utilizarla para sus propias fechorías.

El hecho de tener un millón de ordenadores a mano permite lanzar campañas masivas de spam o liderar ataques de denegación de servicio (DoS), inundando las máquinas con peticiones para saturar y desactivar un servidor, que son difíciles de contrarrestar.

Trickbot también se ha utilizado para difundir programas de rescate, virus que bloquean el acceso a los archivos de una computadora hasta que el asaltante pueda extraer un pago. De hecho, es ese uso el que ha atraído la mayor atención de los medios de comunicación.

La red Trickbot fue el núcleo del primer ataque de rescate con consecuencias mortales: a finales de septiembre, el software de rescate bloqueó el acceso al sistema informático de un hospital alemán; al ser invadido administrativamente, el centro tuvo que rechazar a algunos pacientes. Uno murió como resultado de no recibir a tiempo los cuidados necesarios.

En los Estados Unidos, los ciberdelincuentes han utilizado la vasta red de computadoras controladas por Trickbot para tomar como rehén a un servidor, virtualmente hablando, que administraba los sistemas informáticos de 11 hogares de ancianos en medio de la pandemia de COVID-19, señaló Microsoft.

Trickbot
Posiblemente se trata de inteligencia rusa.

El espectro de Rusia

La notoriedad de Trickbot ha sido motivo de preocupación para el Comando Cibernético de EE.UU. y Microsoft al acercarse las elecciones del 3 de noviembre. «Hay que pensar en Trickbot como una llave que permite a los ciberdelincuentes entrar en un sistema informático para piratearlo», dijo Boutin a Francia 24.

El peor escenario para la votación del 3 de noviembre sería que un ordenador controlado por la red de Trickbot se conectara al sistema informático de un colegio electoral o a un servidor que contenga los archivos de los votantes. Los hackers podrían entonces usar la computadora para llegar al servidor objetivo y bloquearlo con un rescate.

Esto podría significar que «los sistemas que gestionan los datos electorales podrían verse comprometidos, bloqueados por el rescate, lo que podría obstaculizar el recuento de votos», dijo Nguyen. Un incidente de ese tipo añadiría valor al molino del titular. Donald Trump no deja pasar la oportunidad de sugerir que las próximas elecciones podrían ser «las elecciones más amañadas de la historia».

La amenaza es tomada con mayor seriedad ya que Microsoft y el Comando Cibernético de los EE.UU. han dicho que Trickbot es manejado por ciberdelincuentes «de lengua rusa». No han establecido un vínculo directo con el Kremlin, pero en el contexto de un resurgimiento de la propaganda rusa a medida que se acerca la votación, hay un riesgo real.

«No sabemos si se trata de la inteligencia rusa», dijo al New York Times Tom Burt de Microsoft, que supervisa la unidad de desmantelamiento de Trickbot. «Pero lo que sabemos es que TrickBot es por volumen la vía de distribución clave para el rescate y que sería muy fácil para los actores estatales contratar a TrickBot para distribuir el rescate con el objetivo de piratear los sistemas electorales», dijo Burt. «Ese riesgo es real, particularmente dado que gran parte de los rescates están dirigidos a los municipios», añadió.

Ordenadores neutralizados

Microsoft incluso planeó su operación alrededor de las elecciones de noviembre. Trickbot podría haber sido el objetivo ya en abril, pero el gigante de la tecnología eligió esperar hasta octubre para dar a los ciberdelincuentes el menor tiempo posible para reconstruir su imperio.

De hecho, la operación no ha significado la muerte de Trickbot. «Una red como esa no puede ser destruida de la noche a la mañana y podemos ver que todavía hay alguna actividad, aunque sea menor», dijo Boutin. En otras palabras, no todos los servidores que controlan los ordenadores de forma remota podrían ser neutralizados. La gran pregunta es cuántos PCs siguen bajo el control de estos ciberdelincuentes, qué pueden hacer con ellos y, sobre todo, si Trickbot tendrá tiempo de recuperarse antes del 3 de noviembre.

Artículos relacionados