Lo que empezó como un troyano bancario más, allá por 2018, se convirtió con el tiempo en una de las herramientas más sofisticadas y peligrosas del mundo del cibercrimen. DanaBot no sólo robaba datos personales y financieros, sino que permitía controlar equipos de forma remota, espiar a víctimas e incluso lanzar ataques informáticos masivos. Ahora, su red ha sido finalmente desmantelada en una operación coordinada por Estados Unidos, en la que han participado agencias de seguridad y empresas de ciberseguridad de todo el mundo, entre ellas ESET y CrowdStrike.
DanaBot operaba bajo un modelo de “malware como servicio” (MaaS), alquilado a otros ciberdelincuentes que lo utilizaban en sus propias campañas. Era tan versátil como peligroso: robaba contraseñas, hacía capturas de pantalla, grababa lo que se escribía en el teclado y podía instalar otros programas maliciosos, incluido ransomware.
España ha estado en el radar de DanaBot desde el principio. Según ESET, que lleva rastreando su actividad desde 2018, nuestro país ha sido uno de los más golpeados por este malware, junto con Italia, Polonia y Turquía. “DanaBot ha sido una amenaza constante. Su impacto en usuarios particulares y empresas en España ha sido muy notable”, explica Tomáš Procházka, investigador de la firma.
De los ciberdelincuentes… al espionaje
Lo que hace que este caso sea especialmente preocupante es que DanaBot no sólo fue usado por delincuentes comunes. Investigaciones de CrowdStrike revelan que algunas de sus variantes fueron empleadas en operaciones de espionaje con vínculos directos con los intereses del Estado ruso. Dos de sus sub-botnets participaron en ataques DDoS contra instituciones ucranianas justo después del inicio de la guerra en 2022.
“DanaBot se ha movido en la frontera entre el cibercrimen y la ciberinteligencia”, señala Adam Meyers, responsable de operaciones contra adversarios en CrowdStrike. “Ha sido una plataforma muy rentable y peligrosa, usada también para apoyar los objetivos geopolíticos del Kremlin, sin que sus operadores hayan sufrido consecuencias en su país”.
El malware se propagaba por todo tipo de vías: correos electrónicos fraudulentos, webs falsas que ofrecían programas populares, e incluso a través de anuncios engañosos en buscadores como Google. Detrás de DanaBot había una red de afiliados que alquilaban el malware para sus campañas, disponiendo de paneles de control, herramientas de acceso remoto y servidores para camuflar las comunicaciones con los ordenadores infectados.
¿El final de DanaBot?
El golpe ha sido contundente. Las infraestructuras que permitían a DanaBot operar han sido desactivadas y los presuntos responsables, identificados y acusados formalmente. Aun así, los expertos advierten de que no se puede bajar la guardia. Estas redes suelen reaparecer bajo otros nombres o con nuevas variantes. Pero esta operación marca un antes y un después, y lanza un mensaje claro: también en el ciberespacio, los delincuentes no pueden sentirse intocables.
Para más detalles técnicos sobre cómo operaba DanaBot, ESET ha publicado un completo análisis en su blog, y CrowdStrike ha compartido sus conclusiones sobre el grupo SCULLY SPIDER, responsable de su desarrollo.
