Durante los últimos años hemos sido testigos de unas cuantas infecciones digitales, algunas de ellas provocando serios daños y pérdidas millonarias. El malware se encuentra en constante evolución, y se hace cada vez más difícil seguir el ritmo para aquellos que ofrecen diferentes servicios de seguridad. Como si ya no hubiera suficientes botnets en operación, la cuarta variante de la botnet TDL está haciendo de las suyas, y de acuerdo a la gente de Kaspersky, su método de funcionamiento la hace prácticamente indestructible.
Por simples cuestiones didácticas, una vez más: Una botnet es una red de ordenadores infectados por alguna forma de malware, que permite a un operador remoto manipular a estos sistemas infectados, y utilizarlos para diferentes propósitos, desde el robo de información hasta la propagación de spam. Como parte de una botnet, un ordenador se convierte en lo que normalmente consideramos un zombie, y sólo una limpieza adecuada del malware involucrado puede romper las cadenas que lo mantienen atado a la botnet. Aunque las botnets no suelen estar tan expuestas en las noticias, las consecuencias de sus acciones son de fácil visualización. Si recibes spam frecuentemente, lo más probable es que cada uno de esos correos haya llegado de alguna terminal zombie controlada por una botnet. Y en esta ocasión, es posible que estemos hablando de “la definitiva”.
Su nombre es TDL, y ya se encuentra en su cuarta versión. ¿Qué diferencia a TDL-4 de otras redes? Por un lado, tiene comportamiento de “Bootkit”, lo que significa que puede infectar el MBR de un disco duro e “iniciarse” antes que el sistema operativo propiamente dicho, dificultando tanto su detección como su remoción. Al mismo tiempo, posee algunas características de antivirus, ya que puede eliminar a la “competencia” más importante de un ordenador infectado. Otro desafío muy importante que plantea TDL-4 es que su comunicación entre sistemas infectados y terminales de control está completamente cifrada. Versiones anteriores de la botnet utilizaban RC4 para el cifrado, pero ahora fue reemplazado con un algoritmo propio.
Finalmente, llegamos a lo que parece ser el factor más importante en la resistencia de esta botnet: Opera de forma completamente descentralizada. Si bien deben existir algunas terminales de control, TDL-4 recurre a la red Kad. Dicho en otras palabras, TDL-4 es una botnet operada por P2P, y derribar una terminal de control no tiene efecto alguno en la operatividad de la botnet. De acuerdo a la información publicada, en los primeros tres meses de este año TDL-4 ha infectado cuatro millones y medio de ordenadores alrededor del globo. El foco principal de infección se encuentra en Estados Unidos, pero también se ha registrado un porcentaje importante en la India y el Reino Unido. Cierta novela de ciencia ficción decía que “saber que hay una trampa es el primer paso para evadirla”. Ahora ya sabemos que TDL-4 está allí afuera, pero su naturaleza descentralizada la convierte en toda una pesadilla.