Todo comenzó con un aviso fraudulento publicado en Internet por parte de ciberdelincuentes que lograron tomar el control del acceso a Internet de aproximadamente 570 mil computadoras a través de la propagación de un virus.

Este código ayudó a crear una extensa botnet (red de equipos infectados que funcionan como máquinas zombis, controladas por los atacantes sin que el usuario se percate de ello). Esta acción permitió a sus creadores ganancias superiores a los 14 millones de dólares.

El código, básicamente cambia las configuraciones del sistema operativo que permiten a nuestras computadoras conectarse a un determinado sitio de Internet.

"El troyano (detectado por ESET como una variante del Win32/DNSChanger), modifica archivos del equipo infectado, para que el usuario sea redirigido a algún sitio que él piensa confiable, cuando en realidad es un sitio falsificado. Por ejemplo, si usted escribe google.com en su navegador, podría ser dirigido a un sitio que no es google.com," explica José Luis López, director ejecutivo de ESET Uruguay.

Cuando en nuestro navegador escribimos el nombre de un sitio web, nuestro equipo se contacta con lo que se llama "servidor de nombres" (DNS por sus siglas en inglés), y así obtener la dirección IP, (un número único que identifica una computadora en su conexión a una red). Los sitios de Internet que por su naturaleza necesitan estar permanentemente conectados, generalmente tienen una dirección IP fija.

El troyano modifica la configuración de nuestro PC, para que el mismo se conecte a un servidor de nombres falsos, que mantiene una lista de sitios manipulados por los delincuentes que crearon el malware.

Si bien el FBI pudo detener a los creadores de esta botnet en noviembre de 2011, no pareció adecuado desconectar los servidores fraudulentos ya que de este modo, todas las computadoras controladas por ellos se verían afectadas perdiendo el acceso a Internet y provocando un caos mundial.

"Literalmente, nuestro PC le pregunta la dirección de un sitio web, a una máquina que ya no le puede responder," afirma López.

La solución que encontró el FBI para afrontar este problema fue la contratación de una empresa privada con el objetivo de instalar dos nuevos servidores de Internet como sustitución para los maliciosos, pero que obviamente no apuntaban a sitios falsos. Ésta fue la única solución a corto plazo que creyó correcto aplicar.

La medida, además de intentar minimizar los daños causados, permitía dar tiempo a los millones de usuarios afectados para limpiar y corregir sus equipos.

Pero el plazo vence el 9 de julio de 2012, y ese día los servidores utilizados como "parche" se apagarán. "Aún cuando su equipo ya no esté infectado por este malware, su configuración de red podría haber sido modificada por el troyano, y por lo tanto todavía estaría apuntando a los servidores DNS falsos," afirma López. "En la práctica, esto significa que usted no podrá acceder a páginas web que utiliza de forma común hoy día."

Para saber si nuestra PC está afectada podemos ingresar en http://www.dcwg.org., una web ofrecida por el FBI para testear las computadoras comprometidas por este malware.

También la siguiente página en español, puede ayudar a identificar si nuestro computador fue modificado por el troyano DNSChanger: http://www.dns-changer.eu/es/check.html

Aquellos que no tengan antivirus actualizado, pueden realizar un examen en línea con la siguiente herramienta gratuita: http://www.eset.com.uy/eos/

Según se informó, la mayoría de los proveedores de Internet están en pleno conocimiento de esta situación y han tomado medidas al respecto.

Más información:

Como comprobar manualmente si DNSChanger ha infectado el ordenador
Desde el 8 de marzo, muchos usuarios podrían dejar de navegar por Internet
Infectados con DNSChanger pueden seguir navegando... por ahora