El
Departamento
de
Justicia
de
los
Estados
Unidos
ha
anunciado
el
desmantelamiento
de
la
botnet
‘911
S5’,
considerada
la
mayor
jamás
detectada
hasta
ahora,
y
administrada
por
el
ciudadano
chino
YunHe
Wang,
detenido
la
semana
pasada.
Según
la
acusación,
esta
red
comprometió
más
de
19
millones
de
direcciones
IP
en
190
países,
incluyendo
más
de
613.000
en
Estados
Unidos.
‘911
S5’
fue
una
red
global
de
dispositivos
comprometidos,
principalmente
computadoras
con
sistemas
operativos
Windows,
que
Wang
y
sus
cómplices
infectaron
mediante
programas
VPN
maliciosos.
Comenzó
a
operar
en
mayo
de
2014
y
fue
desconectado
por
su
administrador
en
julio
de
2022…
aunque
resurgió
como «CloudRouter»
en
octubre
de
2023.
Las
aplicaciones
maliciosas
contenían
puertas
traseras
que
permitían
a
los
operadores
de
la
botnet
controlar
los
dispositivos
infectados,
usándolos
como
intermediarios
de
su
propia
actividad
en
Internet,
lo
que
permitía
que
sus
conexiones
parecieran
provenir
de
los
dispositivos
de
las
víctimas.
Los
cibercriminales
que
compraban
acceso
al
botnet
utilizaban
estas
direcciones
IP
para
realizar
una
variedad
de
delitos,
como
ciberataques,
fraudes
a
gran
escala,
amenazas
de
bomba
y
explotación
infantil.
Entre
los
fraudes
más
destacados,
se
incluye
la
presentación
de
solicitudes
falsas
para
ayudas
relacionadas
con
la
pandemia
de
COVID-19,
que
se
tradujeron
en
pérdidas
de
miles
de
millones
de
dólares
para
instituciones
financieras
y
programas
federales
de
los
EE.
UU.
Las
ganancias
obtenidas
por
Wang
al
vender
el
acceso
a
las
direcciones
IP
comprometidas
ascienden
a
aproximadamente
99
millones
de
dólares
qué
es,
cómo
infecta
y
cómo
protegerse
El
arresto

Entre
los
bienes
confiscados
a
Wang
se
encuentran
vehículos
de
lujo
como
un
Ferrari
F8
Spider
S-A,
un
BMW
i8,
un
BMW
X7
M50d
y
un
Rolls
Royce,
así
como
más
de
una
docena
de
cuentas
bancarias
nacionales
e
internacionales,
múltiples
billeteras
de
criptomonedas,
relojes
de
lujo,
21
propiedades
residenciales
o
de
inversión
en
diversos
países
y
20
dominios
web.
Las
ganancias
obtenidas
por
Wang
al
vender
el
acceso
a
las
direcciones
IP
comprometidas
ascienden
a
aproximadamente
99
millones
de
dólares.
Cómo
identificar
y
eliminar
las
aplicaciones
VPN
maliciosas
vinculadas
a
911
S5
Una
vez
que
los
usuarios
descargaron
estas
aplicaciones
VPN,
sin
saberlo
se
convirtieron
en
víctimas
de
la
botnet
911
S5:
-
MaskVPN -
DewVPN -
PaladinVPN -
ProxyGate -
ShieldVPN -
ShineVPN
Para
determinar
si
tu
dispositivo
está
infectado
con
alguna
de
estas
aplicaciones
VPN
maliciosas,
sigue
estos
pasos:
Abrir
el
Administrador
de
Tareas
-
Presiona
Control+Alt+Delete
en
el
teclado
y
selecciona
la
opción
«Administrador
de
Tareas»,
o -
Haz
clic
derecho
en
el
menú
de
inicio
(icono
de
Windows)
y
selecciona
«Administrador
de
Tareas».
Buscar
procesos
en
ejecución

-
En
el
Administrador
de
Tareas,
ve
a
la
pestaña
«Procesos»
y
busca
los
siguientes
nombres
de
servicios:
MaskVPN
(mask_svc.exe)
DewVPN
(dew_svc.exe)
PaladinVPN
(pldsvc.exe)
ProxyGate
(proxygate.exe,
cloud.exe)
ShieldVPN
(shieldsvc.exe)
ShineVPN
(shsvc.exe)
Verificar
a
través
del
menú
de
Inicio
Si
no
encuentras
los
servicios
en
ejecución,
busca
en
el
menú
de
inicio
alguna
referencia
a
las
citadas
aplicaciones.
Eliminación
de
las
aplicaciones
VPN
maliciosas
Si
encuentras
alguna
de
las
aplicaciones
mencionadas,
sigue
estos
pasos
para
desinstalarlas:
-
Usar
la
opción
de
desinstalación:
Si
la
aplicación
ofrece
una
opción
de
desinstalación
en
el
menú
de
inicio,
úsala
para
desinstalar
el
programa.
Si
no,
prueba
a
hacerlo
desde
«Agregar
o
quitar
programas»
en
la
Configuración
del
sistema. -
Detener
procesos
en
ejecución:
Si
te
topas
con
servicios
en
ejecución
que
no
pueden
ser
eliminados,
abre
el
Administrador
de
Tareas,
selecciona
el
servicio
correspondiente
y
elige
«Finalizar
tarea». -
Verificar
archivos
en
el
Explorador.
Después
de
desinstalar,
verifica
que
los
archivos
hayan
sido
eliminados:
-
Haz
clic
en
el
botón
de
inicio
(icono
de
Windows)
y
escribe
«Explorador
de
archivos». -
Navega
a
la
unidad
C:
y
abre
«Archivos
de
Programa
(x86)». -
Busca
las
carpetas
con
los
nombres
de
las
aplicaciones
maliciosas
(MaskVPN,
DewVPN,
ShineVPN,
ShieldVPN,
PaladinVPN
o
ProxyGate). -
Para
ProxyGate,
revisa
también
la
ruta ‘C:\users[NombreDeUsuario]\AppData\Roaming\ProxyGate’. -
Si
encuentras
las
carpetas
de
las
aplicaciones
maliciosas,
haz
clic
derecho
sobre
ellas
y
selecciona
«Eliminar».
Imagen
|
Marcos
Merino
mediante
IA
En
Genbeta
|
Cómo
saber
si
tu
ordenador
forma
parte
de
una
botnet