Los troyanos de la familia ZBot (ZeuS) aparecieron en 2007. Gracias a su sencilla configuración y a su utilidad para el robo de datos en Internet, ZeuS se ha convertido en uno de los programas espías más vendidos en el mercado de Internet.

Exactamente, ¿en qué consiste la peligrosidad de este troyano? A continuación brindamos una breve descripción de este programa una vez que ha infectado el sistema capturado:

• Todo lo que uno “memoriza” en su equipo (por ejemplo, al marcar la casilla “Recordar la contraseña”) es también accesible para el troyano, ya sean datos de identificación, contraseñas o cualquier otro dato (por ejemplo aquellos utilizados para completar automáticamente un formulario en línea).
• Incluso si uno decide no memorizar nada, el troyano vigila todas las teclas pulsadas, y la secuencia de caracteres que permiten acceder al dinero del usuario será visualizada y enviada al ciberdelincuente.
• Para evitar que los ciberdelincuentes accedan a la lectura de los datos generados a través del teclado, los sitios web suelen recurrir a la herramienta conocida como teclado virtual. Al ingresar una contraseña, presiona el botón izquierdo del ratón sobre las teclas del teclado que aparece en la pantalla. Entonces, ZeuS activa un mecanismo para interceptar los datos del usuario: al presionar el botón izquierdo del ratón, ZeuS captura la imagen de pantalla alrededor del cursor, de tal manera que el delincuente conocerá las teclas seleccionadas en la pantalla mediante el ratón.
• ZeuS controla todos los datos que pasan por su navegador. Si Ud. trata de abrir una página web cuya dirección está registrada en el archivo de configuración de ZeuS, el troyano puede modificar el código descargado desde la página antes de que esta se registre en el navegador. Por lo general, la modificación consiste en la adición de nuevos campos para la captura de datos personales o confidenciales. Después de todo, si su banco (y Ud. está convencido de que se encuentra en el sitio de su banco) le pide ingresar, además de su contraseña, el código PIN de su tarjeta, ¿por qué no habría de hacerlo? Pero se trata de un engaño. La solicitud de ingresar el PIN fue añadida por ZeuS. El código original del sitio del banco no contiene este campo. El código PIN ingresado es entonces interceptado por el troyano que lo envía a su dueño.
• Algunos sitios web crean en su equipo una signatura numérica especial cuando el usuario se registra. La autenticidad de la signatura se verifica en cada una de las posteriores visitas. Estas signaturas son lo que se conoce como certificados. Si su navegador no le otorga al sitio visitado el correspondiente certificado, entonces Ud. no podrá tener un acceso completo al sitio. ZeuS encuentra los certificados de seguridad en el ordenador infectado, los roba y los envía al ciberdelincuente.
• Si el ciperpirata decide usar el equipo del usuario como herramienta para cometer actos ilegales (por ejemplo, para distribuir correo spam), ZeuS ofrece a su dueño la posibilidad de instalar en el equipo infectado todas las aplicaciones necesarias.

Así, si su equipo se infecta con el Troyano ZeuS, el delincuente se apropiará de todo lo que esté a su alcance. Y si el usuario no presenta ningún dato de su interés, no crea que el delincuente se sentirá decepcionado: siempre tendrá la posibilidad de usar su equipo para cometer actos ilegales.

Los equipos infectados, asociados a un solo “dueño”, constituyen lo que se llama una red zombi (botnet). El ciberpirata manipula como a marionetas los equipos que caen atrapados en su red. Los usuarios pueden incluso ignorar que su equipo está distribuyendo correo spam o que el ciberdelincuente lo utiliza para conectarse disimuladamente a Internet. Pueden pasar meses sin que las víctimas se enteren de que sus equipos están involucrados en operaciones ilegales.