Los distribuidores de spam y malware montan sus propios datacenters

Uno de los eternos y más molestos problemas de Internet, es el spam y el malware. Con más periodicidad de la que nos gustaría, asistimos a como cada vez que son cazados unos spammer y son cerradas sus redes, resurgen de nuevo al poco tiempo.

Por una parte el método más efectivo para la reducción de este tipo de tráfico, es el cierre del ISP y el precinto de los servidores donde están alojados los servicios, pero esta solución no es definitiva, ya que los ciberdelincuentes no tardan en contratar los servicios con otras compañías.

Estos ciberdelitos generan cantidades económicas importantes, y uno de los métodos que permite a estos ciberdelincuentes aguantar el máximo tiempo posible sin que sean desconectados, es contratando un buen número de servidores a un ISP pequeño.

¿Que sucede con este sistema?, pues muy simple, al ser un ISP pequeño y los ciberdelincuentes ser clientes “importantes” dentro del negocio de este ISP, se buscan un aliado legal a la hora de defender su negocio de spam o malware.

El pasado verano la Comisión de Comercio Federal de Estados Unidos, cerraba temporalmente las redes de Pricewert, consiguiendo reducir el volumen de spam en Internet un 15%. Los servidores de Pricewert albergaban una alta cantidad de servicios ilegales distribuidores de spam y de malware, y a pesar de que se les llevaba tiempo avisando desde las comunidades de seguridad online, estos siempre defendían su servicio protegiendo a sus clientes.

Había sido probado que un importante número de servidores del ISP Pricewert, estaban siendo utilizados para el control de una botnet de ordenadores infectados por el troyano Cutwail. Pricewert alegó en su defensa, que la supuesta actividad delictiva es responsabilidad siempre de los clientes.

El cierre de estos ISP o redes, reduce considerablemente el spam, aunque durante un corto periodo de tiempo, ya que estos ciberdelincuentes no tardan en contratar sus servicios con otro proveedor.

Los ciberdicuentes que se dedican a este oscuro negocio a gran escala, están cada vez mejor especializados, y están estableciendo sus propios ISPs con sus propios bloques de IPs, de modo que los que luchan por erradicar el spam, no tiene a nadie a quien presentar sus quejas.

La situación actual esta completamente fuera de control. Los ciberdelincuentes compran grandes bloques de IPs, y están estableciendo sus propios datacenters. Los LRI (Local Internet Registries) venden a estos ciberdelincuentes los bloques de IPs, y los ciberdelincuentes compran servidores y montan sus propios centros de datos, y es complicado que esto no suceda, pues al fin y al cabo los LRI no son la policía de Internet.

Además estos vendedores en ocasiones carecen de los recursos necesarios para poder investigar si los bloques de IPs que venden, será utilizados en el futuro con fines delictivos.

Con este costoso sistema, los ciberdelincuentes consiguen que no haya a quien quejarse cuando el spam o malware es detectado, por lo que no pueden ser desconectados los servidores. El procedimiento sería formular una denuncia con los LRIs, aunque este es un proceso largo y costoso.

Un caso conocido es el de Rusian Business Network, que consiguieron hacerse con un importante número de IPs, desde donde conducen todo tipo de actividades ilegales. Según Spamhaus, esta red alberga a los peores cibercriminales, pederastas y spammers del mundo.

Alex Lanstein, jefe de investigación de seguridad en FireEye, afirma que uno de los problemas que esta causando esta práctica -además de los ya evidentes-, es el agotamiento de las pocas direcciones IPv4 que quedan, ya que estos ciberdelincuentes utilizan una cantidad enorme de IPs que al fin y al cabo no están teniendo ningún tráfico, pero no se puede hacer nada al respecto.