El botnet más grande del mundo:
Storm toma Internet por asalto

Unos dicen que es un gusano, otros que es un troyano. Las cifras de computadores infectados por este flagelo binario se estima en millones. Su metodología se apoya en el spam y en la ingeniería social.

Apareció en los radares de los investigadores hace un año y es definido por algunos como un gusano, aunque otros lo califican de troyano. En lo que sí coinciden todos es en atribuirle a Storm una maliciosa eficiencia que combina ingeniería social con una tecnología relativamente sencilla que aprovecha al máximo la debilidad de los PCs con software desactualizado.

Este particular flagelo binario no borra archivos ni instala “keyloggers” para grabar todo lo que tecleamos o capturar passwords. Su notoriedad se debe, dice la publicación Network World,  a la habilidad de sus autores para actualizar y adaptar el código y las "tormentas de spam" que desencadena para atraer a nuevos usuarios, todo esto con la finalidad de aumentar la extensión de la red de PCs infectados.

Storm usa técnicas P2P o de redes entre pares, que permiten la comunicación entre PCs infectados sin la intervención de un servidor central. Esta naturaleza distribuida es lo que lo hace duro de erradicar.

¿Origen ruso?

Ninguno de los investigadores que constantemente monitorean el ciberespacio en busca de amenazas es categórico en la identificación de los autores de este software malicioso, aunque el grupo finlandés F-Secure, responsable del bautizo del malware como Storm, dice que un grupo de origen ruso llamado Zhelatin Gang es el responsable.

F-Secure también informa que Storm es el botnet o robot malicioso de software más extendido de la historia con algo más de un millón de computadores afectados. Otros investigadores afirman que es imposible saber el número exacto de PCs infectados, pues éste crece continuamente.

Hay otras estimaciones que indican una mayor amplitud de la cobertura de Storm. Secure Works identificó 70.000 ataques de Storm entre enero y mayo de este año. En ese momento sólo había 3.000 computadores infectados, pero que en estos momentos la red de zombies computarizados sobrepasa los 1,8 millones, dice la firma.

Red maliciosa

El hecho de disponer de una red tan extendida, en estado latente y que sus nodos –los PCs infectados—son muy difíciles de detectar, convierte al botnet Storm en una amenaza de nivel crítico para sitios web prominentes, públicos o privados.

Del mismo modo que los cerebros responsables de Storm son capaces de actualizarlo para guardar el paso con las actualizaciones del software de seguridad, pudieran ordenar a este ejército de obedientes PCs infectados atacar cualquier red legítima.

Con menos efectivos, un ataque coordinado contra sitios del gobierno y sitios privados de Estonia logró colapsar el servicio de Internet en ese país en abril pasado.

Los investigadores han detectado secuencias de instalación del malware que muestran diferentes versiones del software en un mismo día. Si bien la fuerza destructiva de Storm no se compara a la de Slammer o Blaster, la gran flexibilidad que muestra es la que ha contribuido a su longevidad. 

Usuarios cautelosos

La mejor manera de estar actualizados es a través de la escogencia de las actualizaciones automáticas de Windows. Los segundos martes de cada mes, si el usuario lo ha escogido así, Windows realiza la renovación del software –sistema operativo y navegador web—sin necesidad de intervención del usuario. Los antivirus y otras aplicaciones de seguridad mantienen un ritmo constante de actualizaciones.

Los servicios de correo gratuito traen ya muchas previsiones anti-spam, pero es aconsejable instalar una herramienta específica que filtre el correo entrante si no viene incluida con el software de seguridad.

La cautela debe extremarse con las ofertas de items gratuitos, software, videos, postales y otras regalías que vienen vía correo electrónico. Si no es de un remitente conocido, es mejor asignar un estatus de sospechoso al mensaje o incluso eliminarlo, pero en todo caso, la mejor protección está en no activar ningún enlace que venga en el mensaje.

Cómo trabaja

Storm se instala clandestinamente en el PC a través de un mensaje de spam, pero no está contenido en el mensaje. La infección ocurre cuando el usuario se dirige a un sitio web indicado en el mensaje, desde el cual se descarga Storm al PC.

Pareciera trivial que la inmensa mayoría de los usuarios está ya prevenido contra este tipo de técnicas, pero aquí es dónde entra a jugar su rol la ingeniería social.

Con este término se engloban todas las técnicas sociales que llevan a un usuario a realizar una acción determinada: hacer click en un enlace o dar información sensible bajo engaño.

En el caso de storm, los anzuelos se actualizan constantemente: una aplicación que lleva los numeritos del fútbol europeo, un video de YouTube, juegos gratuitos y otras atracciones.

Cuando el navegador de Internet entra al sitio especificado en el enlace, Storm se descarga en cuestión de segundos si el navegador no tiene la última actualización de seguridad e integra el PC respectivo al botnet o ejército de PCs infectados.

Para el software de nuestros PCs hay parches o actualizaciones de seguridad, pero contra las técnicas de la ingeniería social no parece haber una vacuna específica. Los hackers hacen una cuidadosa selección y actualización de temas para capturar aún a los que se creen muy informados y actualizados. 


Los autores de Storm son probablemente europeos, dice Roger Thompson, CTO de Exploit Prevention Labs, pero conocen bien la sociedad norteamericana y su cultura. De allí su éxito en infectar computadores de esa área geográfica.

Cuando el navegador está al día en materia de seguridad, el sitio le pedirá que haga click en una serie de enlaces, por ejemplo "Haga click para bajar el software que le permitirá visualizar la postal que le fue enviada". De ese modo, Storm puede eludir los últimos parches de seguridad e instalarse cómodamente.