Tras la reciente desarticulación de la red de bot Mariposa -operación conjunta de Panda Security, Defence Intelligence, FBI y la Guardia Civil española, que ha dado como resultado la detención de tres personas-, y a través de la diferente información recopilada de la conocida trama, se ha descubierto que los 13 millones de ordenadores infectados con el bot están distribuidos en 190 países y en 31.901 ciudades diferentes.

Según Luis Corrons, director Técnico de PandaLabs, “Los mayores ratios de infección los encontramos en países donde hasta ahora la educación de los usuarios en materia de seguridad informática y prevención no ha sido una prioridad. En cambio, otros países donde sí se están realizando este tipo de campañas en los últimos años, el nº de infecciones ha sido mucho menor, como es el caso de EEUU, Alemania, UK o Japón.”

El ranking de infecciones por ciudad está encabezado por Seúl, con un 5,36% de las IPs comprometidas; seguida por Bombay, con un 4,45%, y por Nueva Delhi, con el 4,27%. El top 20 es el siguiente:

1 Seúl 5.36%
2 Bombay 4.45%
3 Nueva Delhi 4.27%
4 México 3.89%
5 Bogotá 2.68%
6 Lima 1.98%
7 Kiev 1.68%
8 Bangalore 1.39%
9 Islamabad 1.24%
10 Teherán 1.23%
11 Kuala Lumpur 1.16%
12 Madrás 1.11%
13 Santiago de Chile 1.03%
14 El Cairo 1.01%
15 Hyderabad 0.82%
16 Santo Domingo 0.75%
17 Río de Janeiro 0.75%
18 Riad 0.72%
19 Medellín 0.65%
20 Dubai 0.63%

En cuanto a países, el ranking lo encabeza India, con el 19,14% de las infecciones; seguido por México, con el 12,85%, y Brazil, con el 7,74%. El top 20 de países afectados es el siguiente:

INDIA 19.14
MÉXICO 12.85
BRASIL 7.74
COREA 7.24
COLOMBIA 4.94
RUSIA 3.14
EGIPTO 2.99
MALASIA 2.86
UCRANIA 2.69
PAKISTAN 2.55
PERU 2.42
IRAN 2.07
ARABIA SAUDI 1.85
CHILE 1.74
KAZAKHSTAN 1.38
EMIRATOS ARABES UNIDOS 1.15
MARRUECOS 1.13
ARGENTINA 1.10
ESTADOS UNIDOS 1.05

“Gracias a la colaboración de las diferentes partes implicadas en el Mariposa Working Group, el día 23 de diciembre a las 5:00 pm (GMT +1), dejamos sin servicio los servidores a los que se conectaba la botnet y redirigimos las peticiones a un servidor controlado por nosotros. Es en este momento cuando vimos la cantidad de IPs diferentes y únicas que estaban siendo controladas por el bot, casi 13 millones, y cuando tuvimos acceso a la información que nos da las cifras de los países y ciudades afectadas”, continúa Luis Corrons.

Y añade: “Entre estas IPs hay tanto ordenadores de usuarios particulares como de empresas. Al dibujar en un mapa los países afectados, este es el resultado que nos da.”

El Instituto de Tecnología de Georgia ha publicado una animación en la que se muestra el progreso de infección de la Botnet Mariposa. David Dagon, “Ph.D. Candidate” del Instituto de Tecnología de Georgia, comenta sobre la distribución geográfica de Mariposa: “Creo que un aspecto destacable de esta botnet es que es diferente a lo que siempre se comenta sobre infecciones. Normalmente, la prensa suele publicar que los botmasters de países del Este atacan a países occidentales. (Por ejemplo los botmasters rusos y víctimas de la Unión Europea o de Estados Unidos). En Mariposa vemos lo contrario: botmasters de occidente, y víctimas del Este. La lección es muy clara: todos estamos ante una amenaza común”.

Desde Panda Security recomendamos a todos los usuarios –ya sean particulares o empresas- que analicen en profundidad su PC para asegurarse que no tienen el bot Mariposa. Para ello, pueden utilizar la aplicación online y gratuita ActiveScan o bien descargarse el antivirus gratuito que protege desde la nube Panda Cloud Antivirus.