Tres españoles controlaban la mayor red de ordenadores zombis desmantelada en el mundo con trece millones de equipos infectados -200.000 sólo en España-, que había logrado robar datos personales y bancarios de más de 800.000 usuarios e infectar ordenadores de 500 grandes empresas y más de 40 entidades bancarias. 

La red Mariposa, desarticulada por la Guardia Civil en colaboración con el FBI y Panda Security, podría haber perpetrado un ataque de ciberterrorismo mucho más letal que los cometidos contra Estonia y Georgia, ya que había conseguido infiltrarse en miles de ordenadores particulares, de empresas y organismos oficiales de más de 190 países. Los ordenadores zombis, controlados a distancia sin que su usuario lo sepa, son utilizados habitualmente por las redes del ciberdelito para realizar transacciones ilegales, enviar correo basura, infectar otros equipos o, lo que es peor, como arietes en un ataque coordinado contra una red gubernamental o una entidad financiera. 

En rueda de prensa para presentar la operación, el jefe del Grupo de Delitos Telemáticos de la Guardia Civil (GDT), Juan Salom, ha alertado de que se "ha tenido mucha suerte" de que los tres españoles responsables de la red y que ya han sido detenidos, no la utilizaran para "hacer más daño". En todo el mundo se calcula que existen unos 100 millones de ordenadores comprometidos, de los que 13 millones estaban en manos de los tres españoles arrestados en Balmaseda (Vizcaya), Santiago de Compostela y Molina de Segura (Murcia), con edades comprendidas entre los 25 y los 31 años. 

Netkairo, OsTiaToR y Johnyloleante eran los alias que empleaban en la red los tres arrestados, que vivían cómodamente gracias a los ingresos que obtenían con el alquiler de su red de ordenadores esclavos a otros ciberdelincuentes. Tampoco eran grandes expertos informáticos y, de hecho, no eran los diseñadores de su red zombi, sino que habían comprado el programa en el mercado negro y se limitaban a administrarla a tiempo completo desde sus domicilios. 

Esta botnet -nombre con el que se denomina este tipo de redes- comenzó a extender sus tentáculos en mayo del año pasado, mes en el que una empresa de seguridad informática canadiense, Defence Intelligence, alertó de la presencia de esta nueva plaga. Para propagar la red, los tres detenidos escondían un virus troyano en archivos atractivos en eMule o en Messenger, utilizados por millones de usuarios cada día. Además, el virus era capaz de copiarse de forma automática en memorias USB, con lo que la infección crecía de forma exponencial en pocas horas. 

Tras constatarse que la red podía estar dirigida por un español, se comunicó el caso a la Guardia Civil que inmediatamente comenzó a rastrear Internet para tratar de identificar al cerebro de esta botnet, el detenido en Vizcaya y que se hacía llamar Netkario. El pasado 23 de diciembre, en una acción coordinada de la Guardia Civil, el FBI y varias empresas de seguridad informática, se consiguió desactivar la red zombi aunque, días más tarde, los detenidos consiguieron recuperar el control de parte de los ordenadores infectados. Con estos equipos controlados a distancia lanzaron un ataque de represalia contra Defence Intelligence, la empresa que había dado la voz de alarma, y cuyos servidores quedaron inoperativos. Ante el peligro potencial que suponía esta red, la Guardia Civil decidió poner el caso en conocimiento de la Audiencia Nacional, que ordenó la detención de los tres responsables, quienes han quedado en libertad con cargos. 

El jefe del Departamento de Investigación de Delincuencia Económica y Tecnológica de la Guardia Civil, José Antonio Berrocal, ha aclarado que no se tiene constancia de que la red desmantelada haya sido utilizada contra ningún interés estratégico. "No hay que sembrar la alarma", ha dicho Berrocal, que ha afirmado que la existencia de un equipo infectado en una empresa o en un organismo oficial no significa que la información sensible haya sido sustraída. 

Por su parte, el responsable de Panda Security, Luis Corrons, ha afirmado que cualquier antivirus del mercado, debidamente actualizado, es capaz de eliminar el troyano puesto en circulación por esta red, aunque ha recordado que los ahora detenidos lo modificaban continuamente para eludir las barreras de seguridad. "Lo más seguro es hacer un uso responsable de Internet", ha advertido Juan Salom, que ha insistido en que lo importante de esta operación no ha sido el volumen del fraude, sino la cantidad de información que habían conseguido acumular los tres arrestados.