Cientos de miles de personas probablemente se sientan confusas hoy lunes cuando enciendan los ordenadores de sus casas u oficinas y no puedan conectarse a Internet. Sus conexiones de red estarán bien, pero los intentos por visitar sus dominios favoritos serán infructuosos.

Estas personas serán las víctimas desafortunadas de lo que queda del 'botnet' (robot informático) DNSChanger. Entre 2007 y octubre del año pasado, el virus DNSChanger infectó cuatro millones de ordenadores en 100 países, según el FBI. A menudo sin el conocimiento de las víctimas, los ordenadores se convirtieron en aviones no tripulados utilizados por los servidores piratas para visitar sitios web y hacer clic en anuncios como parte de un plan para generar ingresos fraudulentos por publicidad.

En noviembre pasado, el FBI detuvo a un grupo de ciudadanos estonios presuntamente detrás de la trama y se apoderaron de los llamado servidores de comando y control del 'botnet', localizados en Nueva York y Chicago. Pero aunque los 'botnets' anteriores han sido deshabilitados mediante la eliminación de estos servidores, las autoridades no han podido hacer lo mismo con DNSChanger: debido al particular modo en que el virus provoca daños, "habría sido como cortar Internet de repente para millones de usuarios", señala Dave Monnier, miembro de Team Cymru, un grupo independiente de investigadores de seguridad informática.

Una vez dentro de un sistema, el malware modifica la configuración que indica al ordenador con qué sistema de nombres de dominio (DNS, por sus siglas en inglés) ponerse en contacto. Los servidores de DNS, muchos de los cuales pertenecen a proveedores de servicios de Internet, que también se ocupan de su funcionamiento, conectan a los usuarios que escriben o hacen clic en nombres de dominio con las direcciones IP específicas correspondientes a los sitios de destino. En vez de eso, los ordenadores infectados con DNSChanger contactaban con servidores DNS controlados por criminales, que los habían programado para enviar a los usuarios a dominios falsos o reemplazar anuncios legítimos con otros falsos.

En uno de los casos, cuando los usuarios de ordenadores infectados escribían el nombre de dominio de iTunes, eran enviados a un sitio web de una empresa no afiliada con Apple que afirmaba vender software de la misma. En otro, los usuarios que visitaban Amazon.com recibían un anuncio de un servicio de marketing por correo electrónico en lugar del anuncio de Windows Internet Explorer que deberían haber visto. A través de estas y otras acciones similares, los conspiradores acumulaban páginas vistas y clics hasta llegar a la suma de 14 millones de dólares (11,4 millones de euros) en ingresos por publicidad, según alegan las autoridades estadounidenses.

En lugar de eliminar los servidores DNS con los que millones de ordenadores mantenían las conexiones, los agentes federales los reemplazaron con los legítimos. Eso no cura el virus, pero los sustitutos han mantenido la conectividad de las máquinas infectadas y han dado tiempo para que un consorcio de la industria llamado DNSChanger Working Group (que incluye al Team Cymru de Monnier) identifique las direcciones IP de los ordenadores infectados y trate de notificarlo a sus usuarios. En marzo, un juez federal amplió el período de notificación hasta el 9 de julio. (A finales de junio, más de 200.000 direcciones IP seguían estando afectadas, pero dado que una gran cantidad de dispositivos pueden usar la misma dirección IP, el número de máquinas infectadas es probablemente mucho mayor).

Eliminar el malware requiere un conjunto específico de herramientas de software, que podrían ser difíciles de adquirir sin conexión a Internet hoy lunes. Y sin embargo, no está del todo claro que todas las personas cuyos equipos se vean afectados se enteren antes de esa fecha. Las direcciones IP específicas con ordenadores infectados pueden ser rastreadas hasta las organizaciones o proveedores de Internet que las posean, y los proveedores pueden pasar esa información a los clientes individuales. Pero no todos los proveedores son suficientemente "maduros y capaces" como para hacerlo, señala Monnier. (Puedes consultar aquí para ver si tu equipo está buscando las direcciones IP correctamente).

Un 12 por ciento de los ordenadores afectados pertenecen a compañías de Fortune 500, y un 4 por ciento de ellas son de "grandes" agencias federales de Estados Unidos, según Internet Identity, una compañía de seguridad que también forma parte del grupo de trabajo DNSChanger. Monnier advierte que los proveedores se van a ver inundados con quejas hoy lunes: "Los teléfonos en los centros de llamadas no van a parar de sonar".