Muchos equipos informáticos de todo el mundo pueden quedarse sin acceso a Internet en 40 días, el 9 de julio, ya que a partir de ese día se apagarán definitivamente los servidores controlados por el FBI en la operación de control del virus DNSChanger. Así al menos lo ha alertado hoy el Instituto Nacional de Tecnologías de la Comunicación (Inteco).
DNSChanger es un virus troyano que afecta a sistemas operativos Windows, Mac OS y Linux, cuya principal funcionalidad es modificar la configuración DNS —Domain Name Service (dominio)— de los equipos infectados, con el fin de que utilicen servidores ilegítimos, controlados por los atacantes.
En un primer momento, el troyano modifica la configuración DNS del equipo infectado para cambiar los servidores legítimos por otros manipulados. A partir de ahí, intenta acceder al router (enrutador) al que está conectado el equipo y si consigue el acceso, cambia los servidores DNS. Con este último cambio, los equipos que no se encuentren infectados por el troyano pero que utilicen el mismo router comprometido también tienen manipulada la resolución DNS, por lo que se ven afectados; según ha informado el Inteco.
El clic fantasma
El pasado 11 de noviembre, el FBI llevó a cabo la operación Ghost Click (Clic fantasma), a través de la cual desarticuló la red del DNSChanger y detuvo a los responsables de la misma, todo ello en estrecha colaboración con la Justicia de Estados Unidos y distintas empresas privadas y organizaciones que colaboraron en esta operación.
A partir de este momento se creó un grupo de trabajo sobre el DNSChanger, con el fin de iniciar una serie de medidas de mitigación y desinfección de esta red; para ello, a través de una orden judicial, el FBI y el ISC (Consorcio de Sistemas de Internet, según sus siglas en inglés) tomaron el control de los servidores DNS ilegítimos, sustituyéndolos por otros completamente limpios y funcionales, de forma que los usuarios infectados con este malware pueden seguir accediendo a los servicios en línea sin problema.
Inicialmente, el apagado de los servidores DNS controlados por el FBI e ISC estaba previsto realizarse el día 8 de marzo, pero se consiguió un aplazamiento de 120 días por parte de la justicia de Estados Unidos. Por tanto dichos servidores estarán activos hasta el día 9 de julio. A partir de entonces, los equipos que continúen con la configuración de DNS manipulada y utilizando los servidores relacionados no tendrán acceso a Internet.
El virus en España
En España, como resultado de la participación de Inteco-Cert en grupos de trabajo internacionales especializados en la cooperación y la gestión de incidentes de seguridad, desde el día 16 de febrero se inició un procedimiento de mitigación del DNSChanger. A tal fin, se han realizado diversas iniciativas para desinfectar los equipos, desde la emisión de avisos a la atención y asistencia a los usuarios a través de los canales que dispone el Instituto Nacional de las Tecnologías de la Información.
Desde el 16 de febrero se ha podido detectar y notificar unos 350.000 direcciones IP únicas infectadas con este malware. Puesto que muchos Proveedores de Servicios de Internet (IPS) utilizan direccionamiento IP dinámico en sus redes, esto no implica que este sea el total de maquinas infectadas en España, pero es un dato significativo que ayuda a calcular el impacto de esta red.