El contenido Web malicioso se encuentra, cada vez más, distribuido por delincuentes profesionales que operan su propia infraestructura. Estos estafadores cuentan con empresas de alojamiento que utilizan para alojar código dañino y ejecutar órdenes en ordenadores secuestrados. En una charla que se dio esta semana en Source Boston, una conferencia sobre seguridad informática, un investigador describió las tácticas que una de esas empresas de alojamiento malicioso utiliza para evitar ser cerrada.

Si bien el spam y el malware pueden parecer no tener fin en la red, las empresas de alojamiento malicioso desempeñan un papel fundamental en la propagación de estas plagas, afirma Alex Lanstein, investigador senior de seguridad de FireEye, una empresa de seguridad con sede en Milpitas, California. Por ejemplo, señala éste el cierre a finales de 2008 de la empresa de hosting malicioso McColo. Cuando esta empresa en concreto dejó de operar, se detuvo más de dos tercios del spam en Internet.

Sin embargo, han aparecido nuevas empresas para ocupar el lugar de McColo. En particular, Lanstein señala un grupo de ordenadores comprometidos, o "botnet", conocido como Grum, que en los puntos de máxima afluencia el año pasado fue responsable del 26 por ciento del spam de todo el mundo. Lanstein afirma que él rastreó las operaciones de Grum hasta un bloque de direcciones de protocolo de internet (IP) alojadas por una única empresa en Ucrania llamada SteepHost.

Lanstein encontró que las direcciones IP que pasaban instrucciones a Grum fueron distribuidas entre todas las direcciones gestionadas por SteepHost, lo cual él cree que indica que la empresa está operando exclusivamente como un centro de datos delincuente.

No obstante, no es nada fácil desconectar una compañía de alojamiento malicioso. Lanstein indica que se puso en contacto con las empresas proveedoras de internet a SteepHost. Éstas bloquearon parte de las direcciones IP maliciosas utilizadas por la empresa, pero Lanstein señala que SteepHost respondió contratando una conexión adicional de otro proveedor. "No querían que se les desconectara, por lo que contrataron mejor tránsito", señala éste. "Es frustrante".

Incluso cuando una empresa de alojamiento malicioso es cerrada, no hay nada que impida a otra aparecer para reemplazarla. "Los malos son realmente buenos consiguiendo espacio IP", afirma Lanstein.

El problema, señala éste, es que no hay mecanismos para quitarles las direcciones IP a los que actúan mal. Incluso los bloques de direcciones IP propiedad de McColo fueron devueltas al fondo común hace un par de meses, ya que no podían ser decomisadas, mientras los propietarios se mantuvieran al día en el pago para su uso. "Puedo imaginar por qué hay escasez de direcciones IP," afirma Lanstein.

Las empresas de alojamiento malicioso también se protegen, a veces, escondiéndose detrás de otras empresas. A principios de este año, un proveedor de servicios de internet de Rusia llamado Troyak fue desconectado después de que quedara claro que estaba prestando servicio a varias empresas de alojamiento que ofrecían servicios de administración y apoyo al control de botnets.

En Source Boston, HD Moore, responsable de seguridad de la empresa de seguridad informática Rapid7 con sede en Boston, pronunció un discurso en el que señaló cuán ampliamente abarrotado se está volviendo el espacio de direcciones IP: el 91 por ciento del espacio de direcciones útiles ya ha sido asignado.

Moore señaló que podría surgir otro problema como efecto secundario de los esfuerzos para resolver la escasez de direcciones. El sucesor del actual sistema, conocido como IPv6, abriría las puertas a un gran número de direcciones IP disponibles. En ese escenario, afirmó Moore, habría tanto espacio disponible que las empresas de alojamiento malicioso podrían apoderarse de grandes bloques de direcciones IP, lo que haría más difícil el seguirles la pista.