El británico Marcus Hutchins se convirtió en un "héroe accidental" en mayo de este año, al frenar con éxito la expansión del virus WannaCry, el mayor ciberataque global de los últimos tiempos.
Sin embargo, ahora lo acusan de haber creado otro virus informático: un programa malicioso que lleva robando cuentas bancarias al menos desde 2014.
Este miércoles, el joven de 23 años fue detenido en Estados Unidos y se enfrenta a seis cargos "por su papel en la creación y distribución del troyano Kronos", vinculado a estafas bancarias, según explicó el Departamento de Justicia de ese país.
Las autoridades estadounidenses, que aseguran que han estado dos años investigándole, dicen que el analista informático hacía dinero con el virus en el mercado de la web oscura de AlphaBay, el cual fue recientemente clausurado por el Buró Federal de Investigaciones (FBI por sus siglas en inglés).
Aseguran que, con la ayuda de un cómplice anónimo, vendía el programa fraudulento desde su casa en Devon, Reino Unido.
Pero, ¿cómo funcionaba Kronos y qué ha logrado hasta ahora?
Estafas bancarias por un alto precio
Se trata de un malware (programa malicioso) que se hace pasar por un programa legítimo para robar credenciales de inicio de sesión de cuentas bancarias y otros datos financieros a través de archivos adjuntos y enlaces fraudulentos.
¿Qué es un troyano?
- Es una forma de malware (programa malicioso) que se disfraza de aplicación benigna y que infecta la computadora.
- Su fortaleza reside en que tiende trampas a las víctimas para que se descarguen y ejecuten un código malicioso.
- Suele funcionar a través de archivos adjuntos fraudulentos o correos electrónicos.
- Su nombre, al igual que muchos software informáticos, proviene de la mitología: el famoso caballo de Troya mencionado en la Odisea de Homero.
- Permanece escondido en una aplicación hasta que ataca la computadora.
- Sirve para robar nombres de usuarios y contraseñas y otros datos confidenciales.
Se supo de él por primera vez en julio de 2014, cuando fue detectado en un foro de cibercrimen ruso, en el que se vendía por la asombrosa suma de US$7.000, ya que incluía actualizaciones gratuitas y correcciones de posibles fallos.
Este alto precio llamó la atención de muchos investigadores de seguridad, ya que este tipo de virus se venden por cientos, y no por miles de dólares.
De hecho, a veces se ofrecen gratuitamente o se distribuyen a través de filtraciones.
Según la publicación sobre Kronos en el sitio clandestino ruso, el virus fue diseñado para "inyectarlo" en sistemas afectados por el software malicioso Zeus, unos de los troyanos bancarios más conocidos de la historia, que se detectó por primera vez en 2007 (y que más tarde fue eliminado).
Los creadores de Kronos se jactaban en su anuncio de robar credenciales de sesiones de navegación en Internet Explorer, Firefox y Chrome usando lo que se conoce como "recuperación de formularios", una alternativa más sofisticada que los programas espía.
Pero, además, el hecho de que fuera compatible con las "inyecciones web" de Zeus facilitaba la tarea a los hackers a la hora de robar información personal.
En octubre de 2015, expertos de IBM dijeron que el virus había sido detectado en ataques a sitios web de bancos británicos e indios.
En mayo de 2016, la firma de ciberseguridad Proofpoint informó que se había usado para atacar a clientes de instituciones financieras canadienses, y en noviembre de ese mismo año la empresa declaró que se estaba distribuyendo a través de miles de correos electrónicos.
El comportamiento de Kronos, explican en el sitio tecnológico Alphr, es el típico de un troyano bancario, pero atacaba a usuarios varias industrias, desde bancos hasta universidades y hospitales.
Las campañas se enviaban de manera global pero sus objetivos se centraban sobre todo en Reino Unido y Estados Unidos.