La historia de los creadores del 'troyano' Gozi que manipulaba transacciones bancarias

Hace unos días las autoridades federales estadounidenses informaban de la acusación formal de tres personas respecto a la  creación y distribución de un software malicioso estilo virus conocido con el nombre de Gozi. Técnicamente se trata de un troyano: un pequeño software que realiza acciones extrañas sin que el usuario sea consciente de ello. 

Gozi en concreto robaba contraseñas y otras credenciales bancarias, interceptaba y desviaba transferencias de dinero y realizaba otras acciones fraudulentas.

Gozi existe al menos desde 2005 aunque no se 'liberó' en Internet para que comenzara a actuar hasta 2007. Cuando un usuario lo instalaba inadvertidamente en un ordenador se comportaba llevando a cabo lo que los expertos en seguridad llaman un ataque del intermediario (Man-in-the-middle).

En un ataque de este tipo, si el usuario quiere usar su banco para hacer una transferencia todo parece ir normal: hace la petición de la web del banco... pero es Gozi quien la recibe, quien conecta con el banco y quien lee las páginas. Se las ofrece entonces al usuario tal cual; espera a que este teclee sus contraseñas y va transmitiendo de un lado a otro toda la información. Es el espía perfecto: no necesita modificar la información que circula en ambos sentidos sino simplemente guardar copia de ella.

“Gozi es el espía perfecto, copia la información“

En este tipo de ataque el troyano se puede comportar de forma más sofisticada todavía y eso es lo que hizo Gozi con el paso del tiempo: si el usuario pedía hacer una transferencia, solicitaba al banco la operación pero con una cuenta de destino distinta. Entonces requería las credenciales normalmente -y la persona creía que se iba a realizar la operación que había pedido- mientras el troyano realizaba la transferencia alternativa a otro banco de algún remoto país. Si el usuario intentaba comprobar su cuenta el troyano modificaba lo que se veía para que todo pareciera normal. Tan solo borrando el software malicioso completamente o utilizando otro equipo podría darse cuenta del engaño.

En sus andanzas, Gozi evolucionó para capturar no solo las cuentas de acceso sino también números de identificación personales, de carnet de conducir, códigos PIN o las 'respuestas secretas' para recuperar contraseñas. Todo lo que se suele considerar información segura y que serviría para realizar engaños más sofisticados y en otros servicios.

También comenzó a atacar específicamente a los mejores objetivos: clientes de ciertos bancos norteamericanos a los que era más fácil engañar. Según los investigadores, las cifras robadas por este método superaron "varias decenas de millones de dólares", quizá cientos.

Cuando se detuvo al ruso Nikita Kuzmin, de 25 años, estaba intentando entrar en Estados Unidos. Se declaró culpable en 2011 y aceptó devolver el dinero sustraído sobre el que tenía control: unos 50 millones de dólares. Su compañero de andanzas el letón Deniss ¿alovskis fue detenido a finales del año pasado y está a la espera de extradición.

Finalmente también dieron con Mihai Ionut Paunescu, un rumano que mantenía en Bucarest el centro de proceso de datos con todos los servidores de la operación: ni más ni menos que 130 máquinas dedicadas a la gestión de todo lo necesario para recibir la información robada.

En total Gozi acabó 'infectando' a más de un millón de usuarios de todo el mundo y a 40.000 en Estados Unidos. Paunescu fue detenido tras unas escuchas telefónicas telefónicas: hacía pasar su empresa por un servicio de juegos y apuestas en Internet. Ahora está también a la espera de extradición.

Cada uno de ellos se enfrenta a cargos que podrían suponerles hasta 60 años en la cárcel; 95 en el caso del creador de Gozi.