Jacob Butler, un canadiense de 23 años, fue arrestado el miércoles en Ottawa porque dirigía Kimwolf, una de las botnets de denegación de servicio distribuido (DDoS) más extensas de las que se tenga registro. La botnet infectó más de dos millones de dispositivos Android TV en todo el mundo y lanzó más de 25.000 ataques DDoS por encargo, algunos de ellos contra direcciones IP del Departamento de Defensa de Estados Unidos. La orden de arresto, que permanecía sellada desde abril, la ha revelado ahora el Departamento de Justicia tras la detención. Butler, que usaba el alias ‘Dort’, se enfrenta a diez años de prisión si es extraditado y condenado por intrusión informática.
Le adelanto que la operación que ha llevado a su captura es un ejercicio de libro sobre cómo los errores de OPSEC —la seguridad operacional del oficio— acaban costándole caro a un administrador de botnet. Y también una muestra de que el modelo de ‘DDoS como servicio’ se ha convertido en un problema persistente para la seguridad nacional de las potencias tecnológicas. Si usted sigue de cerca la ciberguerra, sabrá que no es la primera vez que una botnet construida con dispositivos IoT acaba golpeando infraestructura militar. Lo novedoso aquí es la rapidez con la que Kimwolf ha resucitado tras la intervención policial de marzo.
Anatomía de una botnet que se cebó con los Android TV
Kimwolf era una variante de Aisuru, otra botnet que ya había batido récords de dispositivos comprometidos. El salto cualitativo llegó cuando sus operadores aprendieron a abusar de redes proxy residenciales para controlar localmente los televisores inteligentes infectados. Con esa técnica consiguieron que el tráfico malicioso se confundiera con el de usuarios domésticos reales, burlando los primeros filtros de los proveedores de seguridad. La botnet funcionaba como un servicio de DDoS por encargo: otros cibercriminales alquilaban su potencia de fuego para tumbar sitios web, extorsionar empresas o, en los casos que han disparado todas las alarmas, atacar nodos de la red del Pentágono.
Los investigadores de Infoblox y del Defense Criminal Investigative Service (DCIS) confirmaron que Kimwolf lanzó ataques contra IPs de la DoD Information Network. Fuentes consultadas por Moncloa.com sostienen que esos ataques, aunque no llegaron a interrumpir servicios críticos, sí provocaron alertas internas que desencadenaron la investigación coordinada. En marzo, las autoridades estadounidenses y canadienses desmantelaron la infraestructura de Kimwolf y de otras tres botnets —Aisuru, JackSkid y Mossad— que juntas habían secuestrado tres millones de dispositivos y lanzado más de 300.000 ataques DDoS. Sin embargo, documentos judiciales indican que Kimwolf ya está de nuevo operativa. No es la primera vez que un golpe policial desmonta una botnet y, semanas después, la botnet vuelve a levantar cabeza.
El fallido oficio de un chaval de 23 años
El affidavit que sostiene la denuncia contra Butler revela un historial de errores de OPSEC que a un agente de inteligencia con experiencia le harían sonrojar. El especialista del DCIS detalla que Butler usó la misma dirección IP para acceder a varias cuentas de correo controladas por él y a cuentas de Discord vinculadas a la operación de Kimwolf. Las cookies de máquina compartidas entre una cuenta personal de Google y las cuentas operativas terminaron de atarle al banquillo. En un intento de evadir el rastreo, el acusado empleó proxies y VPN, pero no lo hizo de manera exclusiva. «Como muchos cibercriminales, Butler no utilizó direcciones IP de proxy o VPN de forma consistente», anota el agente especial. Esa inconsistencia dejó un patrón que los analistas de señales pudieron seguir sin demasiado esfuerzo.
Conozco bien este tipo de fallos. Lo he escrito otras veces en Moncloa.com: el eslabón más débil del ciberespionaje no es la tecnología, sino el ser humano. Butler no era un topo infiltrado en la NSA ni un ilegal del GRU; era un veinteañero que administraba un servicio de DDoS para terceros, y que cometió los mismos deslices que han tirado por tierra operaciones mucho más sofisticadas. La diferencia es que aquí no hay una agencia de inteligencia detrás que le proporcione contramedidas profesionales, sino un chaval que confió demasiado en su propia suerte.
La extradición a Estados Unidos se presenta como un trámite que Ottawa no discutirá. Canadá forma parte del club de los Five Eyes, y la cooperación judicial en ciberamenazas con Washington es fluida. Butler, el canadiense, será juzgado en Alaska, el estado donde se presentó la denuncia. Si le condenan, pasará una década en una prisión federal. Mientras tanto, Kimwolf sigue rodando por la red con otros administradores que, probablemente, están leyendo este artículo y tomando notas.
La botnet está de nuevo en marcha. Cerrarla fue como poner una tirita a una hemorragia de dispositivos sin securizar.
Dossier Moncloa: Ojos en la Sombra
El vector de amenaza que representa Kimwolf es un clásico que muta con cada generación de cacharros conectados: un ciberataque de denegación de servicio distribuido (DDoS) lanzado desde una infraestructura de bots construida sobre dispositivos IoT vulnerables. La novedad aquí es la escala —dos millones de Android TV— y el modelo de negocio: DDoS como servicio. Eso convierte a una botnet criminal en una plataforma que cualquier actor malicioso puede alquilar, incluidos grupos APT que necesiten desviar la atención, saturar defensas o extorsionar a una víctima como paso previo a un ataque más quirúrgico.
Las agencias implicadas se reparten en tres planos. Quien ataca, directamente, es Jacob Butler y sus cómplices, pero la botnet ha sido alquilada por «una amplia gama de actores serios», según Zach Edwards, investigador de amenazas de Infoblox. Quien se defiende es, en primer lugar, el Departamento de Defensa de EE.UU., cuyas redes sufrieron ataques de Kimwolf; en segundo lugar, cualquier organización que haya sido víctima de sus 25.000 embestidas. Quien mira con atención es el resto de los Five Eyes, especialmente el GCHQ británico y el CNI español —cuyo CCN-CERT monitoriza infraestructuras críticas—, porque este tipo de botnets no conoce fronteras y puede redirigirse contra objetivos europeos en cuestión de minutos.
A juzgar por la naturaleza del material comprometido, estimo que la información sobre los ataques a la DoD Information Network se maneja a nivel Confidencial —en la terminología de clasificación estadounidense—, aunque los detalles técnicos de las intrusiones probablemente alcancen el Secreto. La denuncia penal, sin embargo, se ha destilado para que pueda ser desclasificada en el momento de la detención. Eso es algo habitual en las operaciones judiciales del FBI y el DCIS: se guarda bajo sello hasta que el sospechoso está a buen recaudo.
El caso me recuerda a la caída del administrador de la botnet Mariposa en 2010 —tres españoles detenidos en una operación del entonces BCE y la Policía Nacional—, aunque aquella era de escala menor y no llegó a manosear infraestructura militar. Entonces escribí en El quinto elemento que «el próximo 11S empezará con un clic». Kimwolf no ha sido ese 11S, pero sí una señal de que los dispositivos IoT que compramos por millardos son el caldo de cultivo para que cualquier chaval con pocos escrúpulos ponga en jaque a un ministerio de Defensa. La solución no vendrá de más detenciones, sino de una arquitectura de internet que deje de anteponer la conectividad inmediata a la seguridad mínima. Mientras tanto, jugaremos al Whac-A-Mole con los Butler que vayan saliendo. Y perderemos.
