¿Qué Es Una Botnet? ¿Para Qué Sirve?

Una botnet es una red de dispositivos conectados a Internet que se encuentran infectados por malware y pueden ser controlados de forma remota.

Contenidos

• Funcionamiento De Una Botnet
  • Clases de Botnets Según Su Funcionamiento
• Funciones Malintencionadas De Una Botnet
  • Ataques DDoS
  • Spamming
  • Minería De criptomonedas
  • Robo De información
• ¿Cómo Se Convierten Los Dispositivos En Parte De Una Botnet?
• Ejemplos De Botnets
• Prevención De Botnets
• Conclusión

Funcionamiento De Una Botnet

Las botnets se encuentran gestionadas por un servidor central de comando y control (C&C) que envía instrucciones a todos los dispositivos infectados que componen la red. A menudo, este servidor se sitúa en países con una legislación permisiva o inexistente en cuanto al cibercrimen.

La comunicación entre los bots y el servidor C&C se realiza normalmente mediante protocolos IRC (acrónimo de Internet Relay Chat) o HTTP. Los dispositivos infectados también envían información sobre su estado y datos técnicos, como la cantidad de tráfico que han generado.

Clases de Botnets Según Su Funcionamiento

Dependiendo del protocolo o método de comunicación utilizado, las botnets se clasifican en:

1. IRC: utilizan canales de IRC para comunicarse con el servidor C&C y recibir comandos.
2. HTTP: hacen uso del protocolo HTTP para comunicarse con el servidor y recibir instrucciones. Estas redes de bots son más difíciles de detectar que las de IRC, aparentando ser tráfico legítimo.
3. P2P (peer-to-peer): utilizan una estructura de red descentralizada sin un servidor central. Los dispositivos infectados se comunican entre sí para cumplir con su objetivos. Estas botnets siempre pasan desapercibidos y requieren de un análisis exhaustivo.

Funciones Malintencionadas De Una Botnet

Los botnets pueden ser utilizados para una variedad de propósitos malintencionados, incluyendo ataques de denegación de servicio (DDoS), spamming, minería de criptomonedas y robo de información.

Ataques DDoS

En los ataques DDOS los bots pertenecientes a la botnet son utilizados para saturar los servidores de un servicio en línea con tráfico, causando que el servicio se interrumpa y deje temporalmente de funcionar; normalmente con fines de venganza o activismo político.

Un ejemplo notable sería el ataque al blog de ciberseguridad Krebs On Security, llevado a cabo por una botnet llamada Mirai formada por más de 24.000 dispositivos IoT y con un tráfico generado de más de 600 gigabytes por segundo.

Spamming

Las botnets pueden usarse para enviar correos eléctronicos y otra clase de mensajes no deseados. El utilizar una gran cantidad de bots causa que servicios antispam o antivirus como clamav-daemon o spamassasin se saturen y no ejerzan correctamente su función, poniendo en peligro al objetivo del ataque.

Minería De criptomonedas

Algunas botnets se han diseñado de manera que puedan utilizar la fuerza de procesamiento de los dispositivos infectados para minar criptomonedas. Aumentando significativamente el consumo de energía y reduciendo la vida útil del dispositivo, a la vez de beneficiar económicamente al atacante.

Robo De información

También pueden ser usadas para robar información confidencial, esto se logra mediante la instalación de software de espionaje como keyloggers; permitiendo a los atacantes a toda clase de datos personales, e incluso infectar dispositivos adicionales para que también formen parte de la botnet.

¿Cómo Se Convierten Los Dispositivos En Parte De Una Botnet?

Hay múltiples maneras en las que los dispositivos pueden estar infectados con malware y formar parte de una botnet. Una forma común es mediante el phishing, donde se engaña al destinatario para que haga clic en un enlace malicioso o ejecute un archivo infectado.

También se puede conseguir mediante la explotación de vulnerabilidades en sistemas y aplicaciones, una vez encuentran la manera de incorporar el malware en el dispositivo este pasa a convertirse en parte de la RED.

Ejemplos De Botnets

Algunos ejemplos notables de botnets incluyen:

• Mirai: mencionada anteriormente en el ejemplo de ataques DDOS, fue utilizada en 2016 para atacar el proveedor DNS adquirido por Oracle DynDNS; provocando la interrupción de servicios como Netflix, Twitter y Reddit. Fue investigado -y resuelto- por investigadores de ciberseguridad, y su creador fue condenado a 6 meses de arresto domiciliario junto con una multa de casi 9 millones de dólares.
• GameOver Zeus: de tipo P2P, se utilizó para obtener datos bancarios de la víctimas mediante phising y también distribuir el ransomware cryptolocker. Dejó de estar operativa en el año 2014.
• Kelihos: usado para enviar spam, obtener información confidencial y realizar ataques de denegación de servicio. Fue desmantelada a finales de 2011 por Microsoft y el creador fue condenado a 33 meses de prisión.

Como puedes ver, estos botnets han tenido un impacto significativo en la comunidad en línea y han sido objeto de esfuerzos para desmantelarlos y perseguir a sus creadores.

Prevención De Botnets

Existen medidas que pueden tomarse para prevenir la infección de dispositivos y evitar que se conviertan en parte de un botnet. Algunas de ellas son:

• Utiliza un software antivirus actualizado, esto detendrá el malware que causaría que nuestro equipo pasase a formar parte de la red de bots.
• Nunca abrir los enlaces ni ejecutar los archivos procedentes de remitentes desconocidos, para evitar ser víctima de un ataque de phishing.
• Asegurarse de que el software que vayamos a instalar en el dispositivo siempre provenga de fuentes legítimas.

Conclusión

En resumen, una botnet es una red de dispositivos infectados con malware que pueden ser controlados de forma remota. Se pueden utilizar, entre otros motivos, para llevar a cabo ataques de denegación de servicio (DDoS), enviar spam y robar información. Para evitar ser víctima de esto, es importante utilizar un buen software antivirus en nuestros dispositivos y seguir unas medidas de seguridad adecuadas.