Glosario

Botnet

¿Qué es una botnet?

Una red de bots o botnet es un grupo de dispositivos conectados a Internet a los que se han instalado programas maliciosos -bots- que les permiten ser controlados por un tercero al mismo tiempo. Normalmente se controlan sin el conocimiento de su propietario legítimo, y a menudo se utilizan para infligir daños como parte de diversos planes maliciosos.

El término botnet es un portmanteau, ya que procede de la fusión de las palabras robot y red. Es un término adecuado, ya que se refiere a una gran masa de máquinas esencialmente descerebradas controladas por una única entidad central en la cima de la red. Es un ejército de dispositivos zombis que siguen las órdenes de su líder.

Una botnet puede estar formada por decenas de miles, o incluso millones, de PC, portátiles, tabletas, smartphones y otros dispositivos. Los ciberdelincuentes las utilizan para llevar a cabo diversas actividades fraudulentas, como el envío de spam por correo electrónico, el fraude de clics, el robo de datos y los ataques distribuidos de denegación de servicio (DDoS).

¿Por qué se usan las botnets?

Una botnet es una forma de escalar la ciberdelincuencia. Permite a un solo individuo o a un pequeño grupo llevar a cabo un ataque que, de otro modo, habría requerido cientos, o miles, de delincuentes individuales. Además, aunque la mayoría de las infraestructuras de seguridad pueden manejar a un solo usuario malintencionado, cuando aparecen mil dispositivos en lugar de uno, los protocolos de seguridad pueden doblarse o incluso romperse.

Los ciberdelincuentes controlan las botnets mediante un software de mando y control que les permite ejecutar órdenes en toda la red distribuida desde una perspectiva descendente.

Estos «pastores» pueden aprovechar las vulnerabilidades de los ordenadores de las personas, como un software de seguridad de Internet anticuado o inexistente, para desplegar malware que «recluta» dispositivos para un ejército de botnets. No es que el ordenador tenga la oportunidad de rechazar este reclutamiento. El malware que utilizan puede propagarse increíblemente rápido, proporcionando al pastor una red de máquinas potente y en rápida expansión que puede utilizar para sus nefastos fines.

Normalmente, estos bots llegan a su ordenador objetivo a través de malware instalado silenciosamente desde un sitio web o archivo comprometido. La red de bots puede permanecer latente durante meses, o incluso años. Una vez llegado el momento, se utiliza colectivamente para realizar una serie de tareas, pero lo más habitual es que se utilice para ayudar a la ciberdelincuencia. Los propietarios de los dispositivos de una botnet no suelen ser conscientes de que sus dispositivos están infectados y esclavizados.

Detecta bots maliciosos con SEON

Las herramientas anti fraude de SEON aprovechan lo mejor de la inteligencia humana y computacional para identificar los usos sospechosos y descubrir a estafadores ocultos.

Prueba una Demo

¿Cómo funcionan las botnets?

Hay dos etapas distintas en la creación de una red de bots: infectar/enlistar dispositivos bot y desplegarlos. Veámoslas con más detalle:

  1. Un pastor/herder hace funcionar una red de bots infectando el mayor número posible de dispositivos con malware. Los dispositivos pueden infectarse mediante tácticas como correos electrónicos de phishing, vulnerabilidades de software y sitios web y troyanos.
  2. Una vez que el malware está instalado en un dispositivo, el herder podrá controlarlo mediante un CMS. 
  3. Una vez en control de una botnet que puede incluir de docenas a miles de máquinas, el herder puede llevar a cabo estrategias coordinadas para explotar los puntos débiles de un sistema.

Al crear una botnet zombi, el pastor adquiere la capacidad de llevar a cabo una serie de ataques a gran escala, controlando la extensa red a través de su servidor de comandos.

¿Qué es un ataque de botnet?

Las tácticas coordinadas de los bots para atacar la infraestructura de seguridad o infligir otros daños se denominan ataques de botnets. Las redes de bots se utilizan para una serie de fines maliciosos. Dado que el responsable de la red de bots puede realizar tareas de nivel de administrador dentro del sistema operativo del usuario, tienen la capacidad de:

  • lanzar ataques de fuerza bruta -por ejemplo, probar muchas permutaciones de una contraseña hasta encontrar la correcta- para intentar obtener acceso no autorizado a los sistemas
  • cometer fraude publicitario o fraude de afiliados enviando bots para que hagan clic en los anuncios, aumentando artificialmente las cifras o cosechando comisiones PPC sin dirigir realmente ningún tráfico al host
  • enviar spam masivo desde direcciones de correo electrónico comprometidas
  • realizar minería de criptomonedas, utilizando la potencia de procesamiento de ordenadores esclavizados para realizar esta tarea que consume muchos recursos
  • distribuir malware adicional a través de correos electrónicos fraudulentos u otros ataques de phishing
  • lanzar ataques DDoS botnet, esencialmente rompiendo un sitio web inundándolo de tráfico inesperado

¿Por qué las botnets son tan difíciles de parar?

Las botnets son difíciles de detener debido a su enorme tamaño, la relativa facilidad con que se crean y amplían, el enorme número de dispositivos siempre conectados que existen y la dificultad de muchos sistemas para protegerse contra una avalancha de atacantes, en lugar de un puñado de ellos.

Las cifras del Instituto AV-Test muestran que registra más de 350.000 nuevas piezas de malware y aplicaciones potencialmente no deseadas cada día, muchas de las cuales se espera que contribuyan a la creación de botnets. El malware representa alrededor del 90% de esos registros. Los especialistas en ciberseguridad de Spamhaus, por su parte, informan de que el tráfico de botnets aumentó un 23% durante el cuarto trimestre de 2021, en comparación con el tercero.

Un volumen tan enorme de malware significa que es imposible mantener a salvo todas las máquinas todo el tiempo, incluso con un enfoque vigilante de la seguridad informática. Y muchos particulares, desgraciadamente, no son tan vigilantes cuando se trata de mantener actualizada su seguridad antimalware y parchear las vulnerabilidades con prontitud.

Esta carrera armamentística en rápido movimiento significa que siempre hay nuevas oportunidades para que quienes controlan las redes de bots hagan crecer sus redes.

Tipos de botnets

Dentro de la definición general de una botnet, una red distribuida de máquinas comprometidas controladas por una sola entidad, existen distintas variedades o clases de botnets para servir a distintos propósitos con métodos ligeramente diferentes. En función de cómo se controlan, éstas son:

El botnet de cliente-servidor

El modelo de cliente-servidor es donde el mando de la red de bots se maneja a través de un único servidor. Los comandos del pastor pasan por este servidor para controlar toda la red.

Botnet P2P

El modelo peer-to-peer es una forma descentralizada de operar una red de bots. En lugar de conectarse con un servidor de comandos, los bots distribuyen información y comandos entre sí. Esencialmente, cada bot de la red actúa como su propio servidor, en comparación con la botnet cliente-servidor.

En una red de bots P2P, cada bot espera a que el pastor publique las órdenes, ya sea escaneando activamente el dominio de publicación designado en busca de órdenes de las que tirar, o bien esperando pasivamente a que las órdenes se envíen a la red de bots. Este es un enfoque más moderno para crear una red de robots, que elimina la vulnerabilidad de tener el servidor de comandos como único punto de fallo de la red de robots.

Como una red de bots P2P está descentralizada, es incluso más difícil de desmantelar que una red de bots de tipo cliente-servidor.

La botnet cómplice/controlada

Se trata de una botnet cliente-servidor en la que el malware ha infectado un servidor central, ahora secuestrado y que recibe comandos, que luego distribuye.

Ten en cuenta también que algunas botnets pueden ser combinaciones de las clases anteriores.

3 Ejemplos de ataques de botnet

Los ataques de botnet pueden ser enormemente disruptivos y dañinos, tal como muestran estos tres ejemplos.

1. El ataque botnet ZeuS

La red de bots ZeuS surgió en 2007 y sigue operativa a día de hoy. Hasta ahora ha infectado más de 13 millones de ordenadores en más de 196 países, utilizándolos para realizar fraudes bancarios en línea en todo el mundo. El impacto financiero de este troyano bancario supera los 120 millones de dólares.

2. El ataque botnet Mariposa

Hasta la fecha se han producido dos grandes brotes de la botnet Mariposa, que han infectado a 12 millones y 11 millones de máquinas respectivamente. Este troyano/gusano surgió en 2009 y se extendió a 190 países en 2011. Se utilizó para una serie de estafas en línea, así como para ataques DDoS y el robo de credenciales de usuario de máquinas zombis para su venta en la web oscura.

3. El ataque botnet Mirai

La red de bots Mirai se centra en el Internet de las Cosas y ha infectado al menos 560.000 dispositivos del Internet de las Cosas desde que apareció por primera vez en 2016. Mirai y sus clones y derivaciones se utilizan para montar ataques DDoS, incluido el famoso ataque que dejó fuera de combate al proveedor de nombres de dominio Dyn y rompió Internet durante un breve periodo de tiempo en octubre de 2016.

Reduce las tasas de fraude entre un 70-99%

Asóciate con SEON para reducir el fraude en tu negocio con enriquecimiento de datos en tiempo real, machine learning de caja blanca y APIs avanzadas.

Prueba una Demo

Cómo permanecer a salvo de las botnets

Todo tipo de dispositivos conectados a Internet pueden verse comprometidos en una botnet, tanto si pertenecen a particulares como a empresas y organizaciones. Si te preocupa que el malware tipo botnet pueda haber infectado tu dispositivo conectado a Internet, es hora de que compruebes lo siguiente.

Las empresas de ciberseguridad más antiguas ofrecen formas de escanear en busca de malware de tipo bot, ya sea gratuitamente o con su software antivirus/antimalware. Si efectivamente estás infectado, entonces necesitarás saber cómo deshacerte del malware tipo botnet de tu dispositivo. El proceso para ello variará en función de tu dispositivo, sistema operativo y tipo de malware. 

Cómo detener un ataque de botnet

Si eres una empresa preocupada por las redes de bots y los ataques de bots, asegúrate de estar al día sobre cómo detectar bots y cuáles son las últimas amenazas de redes de bots. Normalmente contarás con una combinación de defensas para evitar ataques tan elaborados y de gran volumen contra tus operaciones.

Las herramientas de detección y mitigación de bots reforzarán tus defensas contra la amenaza de los ataques de botnets, pero también lo harán la mayoría de los programas y herramientas sofisticados de mitigación de riesgos, prevención de fraudes, ciberseguridad y cortafuegos, todos ellos desplegados como parte de una pila de riesgos que se corresponda con tus necesidades particulares.

Para mantenerte a salvo de las botnets, es esencial que mantengas actualizados el sistema operativo y el software de prevención de riesgos de tu dispositivo, incluidos todos y cada uno de los parches de software. Dicho esto, mantenerte informado sobre las amenazas actuales y comunes, combinado con una dosis saludable de escepticismo digital, es tan buena parte de tu defensa contra las redes de robots como asegurarte de que tus definiciones de virus están actualizadas.

Fuentes