que es una botnet
Mano de un robot pulsando una tecla en forma de hexágono.

¿Qué Es Una Botnet? ¿Para Qué Sirve?

Una botnet es una red de dispositivos conectados a Internet que se encuentran infectados por malware y pueden ser controlados de forma remota.

Funcionamiento de una Botnet

Las botnets están gestionadas-controladas por un servidor central de comando y control (abreviado en C&C) que envía instrucciones a todos los dispositivos infectados que componen la red. Este servidor suele estar situado en países con una permisiva -o inexistente- legislación relacionada con el cibercrimen.

La comunicación se realiza mediante protocolos IRC (acrónimo de Internet Relay Chat) o HTTP, y los dispositivos infectados también envían información sobre su estado actual y datos técnicos como el número de paquetes de red enviados.

Clases de Botnets según su funcionamiento

  1. Botnets IRC: utilizan canales de IRC para comunicarse con el servidor C&C y recibir comandos.
  2. Botnets HTTP: hacen uso del protocolo HTTP para comunicarse con el servidor y recibir instrucciones. Estas redes de bots son más difíciles de detectar que las de IRC, aparentando ser tráfico legítimo.
  3. Botnet P2P (peer-to-peer): utilizan una estructura de red descentralizada sin un servidor central. Los dispositivos infectados se comunican entre sí para cumplir con su objetivos. Estas botnets siempre pasan desapercibidos y requieren de un análisis exhaustivo.

Utilidades de una Botnet

Los botnets pueden ser utilizados para una variedad de propósitos malintencionados, incluyendo ataques de denegación de servicio (DDoS), spamming, minería de criptomonedas y robo de información.

Ataques DDoS

En los ataques DDOS los bots pertenecientes a la botnet son utilizados para saturar los servidores de un servicio en línea con tráfico, causando que el servicio se interrumpa y deje temporalmente de funcionar; normalmente con fines de venganza o activismo político.

Un ejemplo notable sería el ataque al blog de ciberseguridad Krebs On Security, llevado a cabo por una botnet llamada Mirai formada por más de 24.000 dispositivos IoT y con un tráfico generado de más de 600 gigabytes por segundo.

Spamming

Las botnets pueden usarse para enviar correos eléctronicos y otra clase de mensajes no deseados. El utilizar una gran cantidad de bots causa que servicios antispam o antivirus como clamav-daemon o spamassasin se saturen y no ejerzan correctamente su función, poniendo en peligro al objetivo del ataque.

Minería de criptomonedas

Algunas botnets se han diseñado de manera que puedan utilizar la fuerza de procesamiento de los dispositivos infectados para minar criptomonedas. Aumentando significativamente el consumo de energía y reduciendo la vida útil del dispositivo, a la vez de beneficiar económicamente al atacante.

Robo de información

Las botnets también pueden ser usadas para robar información confidencial, esto se logra mediante la instalación de software de espionaje como keyloggers; permitiendo a los atacantes a toda clase de datos personales, e incluso infectar dispositivos adicionales para que también formen parte de la botnet.

¿Cómo se convierten los dispositivos en parte de una botnet?

Hay múltiples maneras en las que los dispositivos pueden estar infectados con malware y formar parte de una botnet. Una forma común es mediante el phishing, donde se engaña al destinatario para que haga clic en un enlace malicioso o ejecute un archivo infectado.

También se puede conseguir mediante la explotación de vulnerabilidades en sistemas y aplicaciones, una vez encuentran la manera de incorporar el malware en el dispositivo este pasa a convertirse en parte de la botnet.

Ejemplos de botnets

Algunos ejemplos notables de botnets incluyen:

  • Mirai: mencionada anteriormente en el ejemplo de ataques DDOS, esta botnet fue utilizada en 2016 para atacar el proveedor DNS adquirido por Oracle DynDNS; provocando la interrupción de servicios como Netflix, Twitter y Reddit. Fue investigado -y resuelto- por investigadores de ciberseguridad, y su creador fue condenado a 6 meses de arresto domiciliario junto con una multa de casi 9 millones de dólares.
  • GameOver Zeus: de tipo P2P, esta botnet se utilizó para obtener datos bancarios de la víctimas mediante phising y también distribuir el ransomware cryptolocker. Dejó de estar operativa en el año 2014.
  • Kelihos: usado para enviar spam, obtener información confidencial y realizar ataques de denegación de servicio. Fue desmantelada a finales de 2011 por Microsoft y el creador fue condenado a 33 meses de prisión.

Como puedes ver, estos botnets han tenido un impacto significativo en la comunidad en línea y han sido objeto de esfuerzos para desmantelarlos y perseguir a sus creadores.

Prevención de botnets

Existen medidas que pueden tomarse para prevenir la infección de dispositivos y evitar que se conviertan en parte de un botnet. Algunas de ellas son:

  • Utiliza un software antivirus actualizado, esto detendrá el malware que causaría que nuestro equipo pasase a formar parte de la botnet.
  • Nunca abrir los enlaces ni ejecutar los archivos procedentes de remitentes desconocidos, para evitar ser víctima de un ataque de phishing.
  • Asegurarse de que el software que vayamos a instalar en el dispositivo siempre provenga de fuentes legítimas.

Conclusión

En resumen, una botnet es una red de dispositivos infectados con malware que pueden ser controlados de forma remota. Se pueden utilizar, entre otros motivos, para llevar a cabo ataques de denegación de servicio (DDoS), enviar spam y robar información. Para evitar ser víctima de esto, es importante utilizar un buen software antivirus en nuestros dispositivos y seguir unas medidas de seguridad adecuadas.