Hace unas semanas se anunció que la policía eslovena había arrestado a unos individuos responsables de vender el bot que se utilizó para construir la botnet Mariposa, cuyos responsables también fueron arrestados en España en marzo de este mismo año. Desde entonces han aparecido muchas noticias sobre el caso, en ocasiones contradictorias, pero gracias a Peter Lovšin, que ha sido de gran ayuda, hemos podido poner un poco de orden en este desastre y arrojar de nuevo algo de luz.

Tras los arrestos en Eslovenia, la policía dió una rueda de prensa, donde revelaron información sobre el caso. Habían realizado registros en siete viviendas, donde se incautaron 75 dispositivos (ordenadores, discos duros, memorias, etc.). Confirmaron que habían detenido a 2 sospechosos, de 23 y 24 años. Después de 48 horas fueron puestos en libertad, pero la investigación continúa en curso. La policía confirmó que uno de los arrestados es sospechoso de ser el autor del malware (conocido como ButterflyBot) con el que la red de bots Mariposa se creó. Confirmaron que están investigando 2 delitos:

– Creación de herramientas que posibilitan crímenes informáticos.
– Lavado de dinero.

Existe más información, no confirmada por la policía eslovena, pero que diferentes medios han encontrado y publicado: el arrestado de 23 años se cree que es Iserdo, el líder, y es conocido en la vida real como Matjaz Skorjanc, de Maribor, Slovenia. Es un estudiante de medicina fracasado, cuyo padre tiene una pequeña empresa cerca de Maribor dedicada a la venta y desarrollo de dispositivos electrónicos. Resulta que su alias, Iserdo, deletreado al revés es Odresi, que significa “redimir” en esloveno.

La persona de 24 años es Nusa Coh, también de Maribor, y cuyo alias en el IRC es L0La. Parece que al menos parte del dinero que Iserdo estaba haciendo con la venta del bot estaba siendo pagado a Nusa Coh, aunque puede que ella no supiera cómo estaba Iserdo consiguiendo ese dinero. Ella recibía transferencias de dinero via Western Union de diferentes personas, como Netkairo, el “dueño” de la red de bots Mariposa

(Si queréis saber porqué todos los criminales usan Western Union os recomiendo leer este artículo que publiqué hace unos meses ).

Durante la investigación apareció otro nombre, Dejan Janzekovic, de 24 años. Él también es de Maribor y trabaja como administrado de sistemas en “Amis”, una compañía eslovena de telecomunicaciones y proveedor de servicios de Internet (ISP). Algunos medios de comunicación le identificaron erróneamente como Iserdo, pero él no ha sido arrestado. Dejan contactó con los medios e hizo pública su historia, la policía también registró su casa pero parece que él ha sido más bien una víctima. Los investigadores le conectaron con el caso ya que había sido compañero de clase de Nusa Coh (L0La) en el instituto (2nd gymnasium Maribor). Dejan ha declarado que no ha estado en contacto con ella desde hace muchos años, y que además Iserdo había utilizado una foto suya como identificación en algunas ocasiones.

La semana que Iserdo y L0La fueron arrestados, la página web utilizada para anunciar y vender el bot fue cerrada. Como seguramente recordáis, os enseñé varias capturas de pantalla que tomé hace unos cuantos meses. Una semana después del arresto, la web volvió a estar disponible, y pude tomar unas capturas de pantallas actualizadas para vosotros:

Pincha para agrandar

Pincha para agrandar

Unos días más tarde el CERT de Eslovenia (SI-CERT) contactó con la compañía que hospedaba la página
(West Hosting corp). Parece que estuvieron encantados de colaborar, ya que desde entonces la página no está disponible.

Sin embargo, no todo son buenas noticias. Por lo que sé, tanto Netkairo como Ostiator, los responsables de Mariposa, siguen en la calle y no han sido acusados de nada (de momento). Si alguna vez os habéis preguntado cómo es Netkairo, he visto que su perfil de Facebook lo tiene para que lo vea todo el mundo, así que lo podéis ver aquí. Este es un comentario que publicó cuando se anunció el arresto de Iserdo y su cómplice:

Netkairo

En cualquier caso, espero en un futuro cercano poder anunciar más buenas nuevas, ya que Iserdo vendío cientos de bots que a su vez se han convertido en cientos de botnets que pueden ser tiradas abajo. Esta es la forma de acabar con el cibercrimen; no mostrar piedad y darles caza hasta el final.