Nikita Kuzmin, creador del sofisticado troyano Gozi, recibió ayer una condena de 37 meses en prisión por haber distribuido esta amenaza, que se usó para infectar cerca de un millón de computadoras y causó pérdidas por decenas de millones de dólares. El acusado deberá además pagar casi 7 millones de dólares por los daños que ocasionó a sus víctimas.
Y aunque la condena es reciente, ya está cumplida, porque Kuzmin fue arrestado en 2010 y encarcelado en agosto de 2011. Hasta esta semana, esperó tras las rejas la sentencia y se declaró culpable de varios cargos de intrusión y fraude.
La jueza Kimba M. Wood fue la responsable de la decisión, al igual que en el caso de Deniss Calovskis, uno de los desarrolladores de Gozi que en enero pasado fue liberado bajo la misma modalidad.
Kuzmin, un ciudadano ruso de 28 años, fue condenado por idear no solo la amenaza, sino también un ingenioso método de distribuirla: Gozi era rentado a otros cibercriminales, a una tarifa de 500 dólares por semana, lo que en 2007 representó una modalidad pionera. El dinero se abonaba a través de WebMoney, informa el Departamento de Justicia de los Estados Unidos.
Este ejecutable en alquiler podía ser usado para infectar víctimas y funcionaba con webinjects personalizados creados por otros criminales, que podían hacer que el troyano apuntara a robar información de bancos específicos. Los datos robados eran enviados a un servidor que Kuzmin controlaba, y al cual podían acceder todos los cibercriminales que hubieran pagado la tarifa semanal. Con esta práctica, el acusado se hizo de al menos 250.000 dólares.
Esos webinjects fueron desarrollados por Deniss Calovskis, que salió de prisión tras 21 meses porque la jueza Wood consideró que su rol en este ataque fue menor, comparado al de otros atacantes involucrados. Entre ellos está Mihai Ionut Paunescu, quien ofrecía un servicio de hosting "a prueba de balas" que permitió la distribución de Gozi y otras amenazas con sigilo; actualmente, está esperando su extradición a los Estados Unidos.
El vector de propagación más frecuente de Gozi eran los archivos adjuntos en correos electrónicos, particularmente, un documento PDF que parecía inofensivo y relevante para la víctima, pero descargaba subrepticiamente al troyano.
La amenaza permanecía en el sistema recolectando con sigilo información sensible relacionada a cuentas bancarias, principalmente usuarios y contraseñas para acceder a banca en línea; los cibercriminales que obtenían estos datos los usaban para extraer fondos de las cuentas de las víctimas.
Cuando fue descubierto por investigadores de seguridad en 2007, Gozi había extraído 10 mil registros bancarios de 5.200 computadoras, que pertenecían a cerca de 300 compañías. En el transcurso de la investigación, según el comunidado del Departamento de Justicia, se descubrió que Gozi había infectado a cerca de un millón de computadoras en Estados Unidos, Alemania, Gran Bretaña, Polonia, Francia, Finlandia, Italia, Turquía y otros países. En Estados Unidos, las víctimas incluyen a individuos, compañías y organismos como la NASA.