@isitreallysafe

Entre el 30 de mayo 30 y el 12 de junio estuve recibiendo emails aparentemente enviados por varios usuarios de @etb.net.co que, muy amablemente, me advertían acerca de un complot que algunos conocidos míos estarían planeando para darme de baja. Todos estos emails incluían un link que supuestamente me llevaría a una grabación del audio de las conversaciones de quienes estarían interesados en -supuestamente- cantar un ‘Carlos Tango Down’.

Todos estos emails en realidad fueron enviados por el mismo personaje o la misma banda. Como cosa poco sorprendente, buscaban instalar malware en mi dispositivo.

Utilizando varios servidores comprometidos los emails fueron enviados haciéndose pasar por seis personas diferentes – los supuestos usuarios de ETB. Sin embargo, los emails fueron en realidad enviados desde varios servidores comprometidos, uno operado por la empresa canadiense Telenet Informatique, Inc., otro operado por una empresa de Illinois llamada Today’s Growth Consultant, Inc. y otro operado por EMMedia, Inc., de Santa Mónica en California.

El link a la supuesta grabación de las conversaciones acerca del complot para acabar conmigo llevaba a una dirección IP asignada a Rackspace Hosting en Estados Unidos que, a su vez, dirigía a un dominio asociado a una dirección en India. Desde ese servidor se descargaba el zip que contenía el malware.

Por su parte, una vez instalado, el malware llama a dos dominios asociados a la dirección IP 181/135/142/96 – asignada a Empresas Públicas de Medellín (por su propia salud y la de su dispositivo, NO visite esta dirección) – a su vez asignada a un usuario en esa misma ciudad. La dirección está incluida en cinco blacklists por Spamhaus, SORBS y HostKarma como maliciosa.

EPM podría revisar el tráfico asociado a esta dirección IP para sacar sus propias conclusiones, contactar a su cliente y amablemente indicarle que el uso dado a la misma contradice los términos del servicio de acceso a Internet y que, por tanto, debe suspender toda actividad maliciosa inmediatamente. Como puede tratarse de un servidor que esté siendo abusado, también es razonable dar una oportunidad al usuario de la dirección para que detenga la actividad o limpie su máquina.

Si la actividad no es suspendida, EPM podría bloquear la dirección para que no haya tráfico hacia o desde ella. O incluso podría compartir la información con la unidad de delitos informáticos de la Dijín.

Tengo la certeza de que EPM, que de sobra sabemos es seria, responsable y eficiente, tomará prontamente las acciones que considere adecuadas para detener este abuso en el espacio de direcciones IP que le ha sido delegado.

Actualización: Ayer viernes, 21 de junio hacia las 2 PM hora del Pacífico, los servidores asociados con la distribución del malware fueron dados de baja. Aunque EPM no intervino para proteger a los usuarios, este caso, que se repite miles de veces cada día, queda abierto para la reflexión de los ISPs.

¿Cuál es la responsabilidad de los ISPs cuando direcciones IP que les han sido asignadas son usadas con fines maliciosos como distribución de malware, comando y control de botnets, distribución de material de abuso infantil u otros similares?

Carlos S. Álvarez
blogladooscuro @ gmail.com
@isitreallysafe