¿Qué Es Una Botnet? ¿Para Qué Sirve?

Las botnets son una de las amenazas más complejas en el panorama de la ciberseguridad actual. Estas redes de dispositivos comprometidos pueden ser empleadas para una variedad de actividades maliciosas que afectan tanto a usuarios individuales como a organizaciones. En este artículo, exploraremos cómo operan, sus diferentes tipos y los riesgos asociados, además de ofrecer algunas recomendaciones para protegerse contra estas amenazas.

Contenidos

• Explicación
  • Funcionamiento
  • Clases de Botnets
• Funciones Malintencionadas De Una Botnet
  • Ataques DDoS
  • Spamming
  • Minería De criptomonedas
  • Robo De información
• ¿Cómo Se Convierten Los Dispositivos En Parte De Una Botnet?
  • Ejemplos
  • Cómo Prevenir Que Ocurra
• Conclusión

Explicación

Una botnet es una red de dispositivos conectados a Internet que se encuentran infectados por malware y pueden ser controlados de forma remota.

Funcionamiento

Las botnets se encuentran gestionadas por un servidor central de comando y control (C&C) que envía instrucciones a todos los dispositivos infectados que componen la red. A menudo, este servidor se sitúa en países con una legislación permisiva o inexistente en cuanto al cibercrimen.

La comunicación entre los bots y el servidor C&C se realiza normalmente mediante protocolos IRC (acrónimo de Internet Relay Chat) o HTTP. Los dispositivos infectados también envían información sobre su estado y datos técnicos, como la cantidad de tráfico que han generado.

Clases de Botnets

Dependiendo del protocolo o método de comunicación utilizado, las botnets se clasifican en:

1. IRC: utilizan canales de IRC para comunicarse con el servidor C&C y recibir comandos.
2. HTTP: hacen uso del protocolo HTTP para comunicarse con el servidor y recibir instrucciones. Estas redes de bots son más difíciles de detectar que las de IRC, aparentando ser tráfico legítimo.
3. P2P (peer-to-peer): utilizan una estructura de red descentralizada sin un servidor central. Los dispositivos infectados se comunican entre sí para cumplir con su objetivos. Estas botnets siempre pasan desapercibidos y requieren de un análisis exhaustivo.

Funciones Malintencionadas De Una Botnet

Los botnets pueden ser utilizados para una variedad de propósitos malintencionados, incluyendo ataques de denegación de servicio (DDoS), spamming, minería de criptomonedas y robo de información.

Ataques DDoS

En los ataques DDOS los bots pertenecientes a la botnet son utilizados para saturar los servidores de un servicio en línea con tráfico, causando que el servicio se interrumpa y deje temporalmente de funcionar; normalmente con fines de venganza o activismo político.

Un ejemplo notable sería el ataque al blog de ciberseguridad Krebs On Security, llevado a cabo por una botnet llamada Mirai formada por más de 24.000 dispositivos IoT y con un tráfico generado de más de 600 gigabytes por segundo.

Spamming

Las botnets pueden usarse para enviar correos eléctronicos y otra clase de mensajes no deseados. El utilizar una gran cantidad de bots causa que servicios antispam o antivirus como clamav-daemon o spamassasin se saturen y no ejerzan correctamente su función, poniendo en peligro al objetivo del ataque.

Minería De criptomonedas

Algunas botnets se han diseñado de manera que puedan utilizar la fuerza de procesamiento de los dispositivos infectados para minar criptomonedas. Aumentando significativamente el consumo de energía y reduciendo la vida útil del dispositivo, a la vez de beneficiar económicamente al atacante.

Robo De información

También pueden ser usadas para robar información confidencial, esto se logra mediante la instalación de software de espionaje como keyloggers; permitiendo a los atacantes a toda clase de datos personales, e incluso infectar dispositivos adicionales para que también formen parte de la botnet.

¿Cómo Se Convierten Los Dispositivos En Parte De Una Botnet?

Hay múltiples maneras en las que los dispositivos pueden estar infectados con malware y formar parte de una botnet. Una forma común es mediante el phishing, donde se engaña al destinatario para que haga clic en un enlace malicioso o ejecute un archivo infectado.

También se puede conseguir mediante la explotación de vulnerabilidades en sistemas y aplicaciones, una vez encuentran la manera de incorporar el malware en el dispositivo este pasa a convertirse en parte de la RED.

Ejemplos

Algunos ejemplos notables de botnets incluyen:

• Mirai: mencionada anteriormente en el ejemplo de ataques DDoS, fue utilizada en 2016 para atacar el proveedor DNS adquirido por Oracle DynDNS; provocando la interrupción de servicios como Netflix, Twitter y Reddit. Fue investigado y resuelto por investigadores de ciberseguridad, y su creador fue condenado a 6 meses de arresto domiciliario junto con una multa de casi 9 millones de dólares.
• GameOver Zeus: de tipo P2P, se utilizó para obtener datos bancarios de la víctimas mediante phising y también distribuir el ransomware cryptolocker. Dejó de estar operativa en el año 2014.
• Emotet: identificado por primera vez en 2014, se trata de un troyano bancario que ha evolucionado hasta convertirse en una plataforma utilizada para distribuir otros tipos de malware. Con alta capacidad de auto-propagación y difícil de detectar.
• Kelihos: usada para enviar spam, obtener información confidencial y realizar ataques de denegación de servicio. Fue desmantelada a finales de 2011 por Microsoft y el creador fue condenado a 33 meses de prisión.

Como puedes ver, estos botnets han tenido un impacto significativo en la comunidad en línea y han sido objeto de esfuerzos para desmantelarlos y perseguir a sus creadores. Luego hay otras más modernas como

Cómo Prevenir Que Ocurra

Existen medidas que se recomiendan tomar para prevenir la infección de dispositivos y evitar que se conviertan en parte de un botnet:

• Utiliza un software antivirus actualizado, esto detendrá el malware que causaría que nuestro equipo pasase a formar parte de la red de bots.
• Nunca abrir los enlaces ni ejecutar los archivos procedentes de remitentes desconocidos, para evitar ser víctima de un ataque de phishing.
• Asegurarse de que el software que vayamos a instalar en el dispositivo siempre provenga de fuentes legítimas.

Conclusión

En resumen, una botnet es una red de dispositivos infectados con malware que pueden ser controlados de forma remota. Se pueden utilizar, entre otros motivos, para llevar a cabo ataques DDoS, enviar spam y robar información. Para evitar ser víctima de esto, es importante utilizar un buen software antivirus en nuestros dispositivos y seguir unas medidas de seguridad adecuadas.