Según el Inteco, el control del virus ‘DNSChanger’ por el FBI, dejará sin internet a algunos equipos a partir de julio

El Instituto Nacional de Tecnologías de la Comunicación (Inteco) alertó de la posibilidad de que equipos informáticos de todo el mundo puedan quedar sin acceso a internet a partir del 9 de julio, cuando se apaguen definitivamente los servidores controlados por el FBI en la operación de control del virus ‘DNSChanger’. Éste afecta a sistemas operativos Windows, Mac OS y Linux y cuya funcionalidad es modificar la configuración DNS de los equipos infectados para que no utilicen servidores ilegítimos, controlados por los atacantes.

A partir de ahí, intenta acceder al ‘router’ al que está conectado el equipo. Si consigue el acceso, cambia los servidores DNS utilizados por los servidores DNS no legítimos, y con este último cambio, equipos que no se encuentren infectados por el troyano pero que utilicen el mismo ‘router’ comprometido también tienen manipulada la resolución DNS, por lo que se ven afectados.

El pasado 11 de noviembre, el FBI llevó a cabo la operación ‘Ghost Click’, a través de la que desarticuló la red del ‘DNSChanger’ y detuvo a los responsables de ésta, todo ello en estrecha colaboración con la Justicia de Estados Unidos y distintas empresas privadas y organizaciones que colaboraron en esta operación. A partir de este momento se creó un grupo de trabajo sobre el ‘DNSChanger’, con el fin de iniciar una serie de medidas de mitigación y desinfección de esta botnet.

Para ello, a través de una orden judicial, el FBI y el Internet Systems Consortium (ISC) tomaron el control de los servidores DNS ilegítimos, sustituyéndolos por otros completamente limpios y funcionales, de forma que los usuarios infectados con este ‘malware’ pueden seguir accediendo a los servicios en línea sin problema. Si en el momento de desarticular la ‘botnet’, se hubiesen apagado los servidores, millones de usuarios infectados se habrían quedado sin acceso a internet, ya que sus equipos no serían capaces de realizar consultas DNS, protocolo fundamental y necesario para el funcionamiento de las comunicaciones en la red.

Inicialmente, el apagado de los servidores DNS controlados por el FBI e ISC estaba previsto realizarse el día 8 de marzo, pero se consiguió un aplazamiento de 120 días por parte de la Justicia de Estados Unidos, por lo que esos servidores estarán activos hasta el día 9 de julio, y a partir de esa fecha, los equipos que continúen con la configuración de DNS manipulada y utilizando los servidores relacionados con la ‘botnet’, no tendrán acceso a Internet.

En España, como resultado de la participación del Inteco-Cert en grupos de trabajo internacionales especializados en la cooperación y la gestión de incidentes de seguridad, desde el 16 de febrero se inició un procedimiento de mitigación del ‘DNSChanger’. Para ello, se ha trabajado en colaboración con ISC como entidad encargada de gestionar los servidores DNS relacionados con la botnet y con la Asociación de la Industria de Internet alemana (ECO). Con ese fin se realizaron diversas iniciativas para desinfectar los equipos afectados, desde la emisión de avisos a la atención y asistencia a los usuarios a través de los canales que dispone el Inteco.

Desde el 16 de febrero, cuando se inició el procedimiento de mitigación y desinfección, se han podido detectar y notificar unas 350.000 direcciones IP únicas infectadas con este ‘malware’. Puesto que muchos ISP utilizan direccionamiento IP dinámico en sus redes, esto no implica que este sea el total de maquinas infectadas en España, pero es un dato significativo que ayuda a calcular el impacto de esta ‘botnet’.