Una fuerza policial internacional rodea a un delincuente que muta ante sus ojos y se escabulle para continuar con sus fechorías justo cuando parece que están a punto de atraparle.
Parece una escena protagonizada por un personaje mutante de X-Men, pero también describe cómo funcionaba el virus Beebone, desactivado recientemente por el FBI y la UE.
El virus mutante cambiaba su identidad hasta 19 veces al día para evitar su detección.
Y en su apogeo, en septiembre del 2014, este malware (un tipo de código maligno) controlaba hasta 100.000 ordenadores cada día.
Los criminales lo usaban para robar contraseñas y descargar otros programas que infectaban los ordenadores.
Por el momento, se ha pedido a 12 000 víctimas que utilicen una nueva herramienta online para eliminarlo.
Altamente sofisticado
Una vez en la computadora de la víctima, Beebone opera como una aplicación de descarga que puede ser controlada por la banda criminal escondida detrás del programa.
Fue utilizado para forzar a los sistemas infectados a atraer otros malwares de la red, cada cual más terrible.
Unos robaban contraseñas, otros bloqueaban archivos sensibles y pedían un rescate para ponerlos operativos. Otros, conocidos como rootkits, accedían secretamente a la información. Incluso tiraban abajo sitios web.
La compañía de seguridad informática Intel Security, la cual ayudó a las fuerzas del orden a detener el malware, afirma que había visto como Beebone cambiaba de identidad hasta 19 veces al día para eludir a los métodos de detección de los antivirus tradicionales.
"Beebone es altamente sofisticado. Cambia regularmente su identificador único, descargando nuevas versiones de sí mismo y pudiendo detectar cuando está siendo aislado, estudiado o atacado", explica el director de tecnología de la compañía, Raj Samani.
"Puede bloquear con éxito los intentos de acabar con él", asegura.
Operation Beebone
La Operación Beebone fue llevada a cabo por la Fuerza de Acción Conjunta contra la Ciberdelincuencia establecida por la Unión Europea para frenar el crimen internacional por internet.
El equipo finalmente consiguió abordar el malware evitando que se conectase de los servidores de la red que utilizaba para controlar y enviar instrucciones a las computadoras.
Casi 100 dominios .com, .net y .org fueron neutralizados utilizando una técnica denominada "sinkhole", el proceso por el cual el tráfico destinado a direcciones IP específicas es redirigido desde el punto controlado por los criminales al controlado por las autoridades.
Esto permite a los investigadores ver cómo se comporta la aplicación e interceptar así las solicitudes de nuevas peticiones de información del programa malicioso.
El FBI ayudó a la operación redirigiendo el tráfico desde la mayoría de las direcciones web usadas por los delincuentes, ya que operaban bajo jurisdicción de los Estados Unidos.
En la operación participaron también empresas privadas como Intel Security, Kaspersky y Shadowserver.
Una amenaza que va más allá
Beebone fue descrito por la fuerza de Europol como "muy sofisticada".
Diversos expertos en seguridad consideran que las consecuencias del ataque pudieron ser mucho peores.
El director de Portcullis Security (que aconseja al gobierno británico), Paul Docherty, explica la importancia de la metodología empleada por este virus:
"El hecho de que [este malware] fuese tan complicado sugiere que podría ser utilizado para más objetivos. Si los responsables fueron capaces de manejar código así de difícil de detectar, potencialmente podría ser usado para mover el objetivo desde hogares a corporaciones y otras entidades que guardan habitualmente grandes cantidades de datos valiosos y sensibles", indica.
El jefe de operaciones del Centro Europeo contra la Ciberdelincuencia, Paul Gillen, dijo, asimismo, que la agencia va a analizar ahora si se puede identificar a quienes se encontraban detrás de estos ataques para llevarlos ante la justicia.