Blog

Qué es una botnet y cómo evitar formar parte de ella

Qué es una botnet y cómo evitar formar parte de ella

Una botnet es una colección de dispositivos conectados a Internet infectados por un tipo común de malware y controlados de forma remota. Estos dispositivos pueden ser tanto ordenadores personales como routers, reproductores DVR, electrodomésticos inteligentes, cámaras de vigilancia, etc.

El control se realiza mediante un centro de comando y control, u otros protocolos de comunicación como IRC, P2P y HTTP.

Para construir una botnet potente y efectiva, los botmasters necesitan reunir bajo su control tantos dispositivos (bots) como sea posible.

Cuanto mayor sea la red de bots, mayor será el impacto potencial que pueda causar en un objetivo.

En este caso, el tamaño importa.

El objetivo del cibercriminal suele ser obtener un beneficio económico, propagar malware, paralizar un servidor de internet, mediante un ataque de denegación de servicio distribuido (DDoS) entre otras acciones maliciosas.

Cómo se infecta un dispositivo

Un dispositivo solo se puede conectar involuntariamente a una red de bots si un atacante consigue tener acceso a él.

Primero para plantar el bot y posteriormente para controlarlo de forma remota mediante comandos.

Los ordenadores de escritorio han sido tradicionalmente el tipo de dispositivos más afectados.

Sin embargo, la interconexión de otro tipo de dispositivos a través de una red (bien sea privada o a través de Internet) dónde todos ellos pueden ser visibles e interactuar, ha propiciado que también puedan ser infectados para formar parte de una red de bots.

Respecto al tipo de dispositivos, como hemos mencionado anteriormente, podría tratarse de cualquier objeto con una conexión a la red: desde sensores y dispositivos mecánicos hasta elementos cotidianos como un frigorífico, una Smart TV y hasta incluso una cámara doméstica de vigilancia.

En definitiva, cualquier cosa que cuente con una conexión a internet.

Los atacantes pueden plantar programas de bot en un dispositivo de muchas maneras.

Un método común es usar un kit de exploits alojado en un sitio web para sondear el dispositivo de cada visitante en busca de una vulnerabilidad explotable.

Si encuentra una, el kit descarga e instala silenciosamente el bot.

Otras formas de infección, incluyen por ejemplo distribuir el bot como un archivo adjunto a un correo electrónico, como parte de un programa descargado de una página de warez o insertado en una versión pirata de Windows.

Algunos dispositivos como routers, electrodomésticos inteligentes, asistentes personales como Alexa o Google Assistant, suelen contar con configuraciones por defecto poco seguras y contraseñas débiles.

Estas malas configuraciones pueden ser explotadas por los ciberdelincuentes para obtener acceso al dispositivo y convertirlo en parte de una botnet.

Cuidado con las VPN gratuitas

Puede ser difícil de creer, pero algunas VPN gratuitas han violado la confianza de sus usuarios al hacer que sus dispositivos formen parte de una botnet.

Estos servicios tienen que pagar por una infraestructura, y si no ganan dinero con las suscripciones de sus clientes, deben hacerlo de otras maneras.

VPN gratuitas

Una de ellas es la venta del ancho de banda, y las IP de las máquinas de sus usuarios, a organizaciones que ejecutan botnets.

El ejemplo más conocido es Hola. Un servicio VPN gratuito extremadamente popular que en sus mejores tiempos llego a tener casi 50 millones de usuarios en todo el mundo.

En 2015, se descubrió que Hola había estado vendiendo el ancho de banda de sus usuarios para cubrir los costes de su servicio gratuito, y de paso ganarse una pasta.

Los usuarios de Hola habían estado alistando a sus dispositivos sin saberlo a varias botnets, que se estaban utilizando para  diversos propósitos, todos ellos bastante turbios.

Encontrar una VPN para mantenerte realmente protegido, y que no te den gato por liebre, habiendo cientos de ellas en el mercado tanto de pago como gratuitas, requiere dedicarle un poco de tiempo.

Al mando de los bots

Una vez que se instala el programa de bot, generalmente intentará ponerse en contacto con un sitio web o servidor remoto donde pueda recibir instrucciones.

Este sitio o servidor se conoce como servidor de comando y control o C&C.

Estos servidores C&C son el punto débil de la botnet: sin ellos, los bots son simplemente drones inútiles.

Los ciberdelincuentes han estado desarrollando formas cada vez más sofisticadas para evitar que nadie tome el control del servidor central, ya que estaría en condiciones de cerrar toda la botnet.

Para intentar dificultar la tarea de los expertos en seguridad informática, comenzaron a incluir servidores proxy en su arquitectura, para evitar que los bots individuales contacten directamente con el servidor de C&C, y lo hagan a través de máquinas intermedias.

Arquitectura de una botnet

El atacante que controla la botnet a través de su servidor C&C se denomina botmaster o pastor de bots.

Puede ser la persona responsable de establecer y mantener la propia botnet, o simplemente un individuo que ha alquilado el control de la horda de zombis por un tiempo.

El operador de la botnet utiliza un programa cliente para enviar instrucciones a los dispositivos infectados. Los comandos se pueden emitir a una sola máquina o a todos los dispositivos a la vez.

Que pueden hacer los atacantes

Las botnets pueden afectar a los usuarios tanto directa como indirectamente.

El impacto más directo es que una máquina infectada ya no está bajo el control de su propietario legítimo.

La mayoría de las personas hoy en día almacenamos contenido altamente sensible en nuestros dispositivos personales; dicha información se vuelve vulnerable una vez que el dispositivo está infectado.

Si el dispositivo pertenece a una empresa u organización gubernamental, perder el control del mismo puede poner en riesgo infraestructuras críticas como hospitales o suministros esenciales.

Más indirectamente (aunque también nos afecta, ya que técnicamente, somos responsables de todo lo que se hace desde nuestra dirección IP) sus controladores pueden usar botnets para llevar a cabo acciones dañinas contra terceros, como por ejemplo:

  • Lanzar ataques de denegación de servicio distribuido (DDoS) contra un servidor.
  • Distribuir correos electrónicos con malware para reclutar otros dispositivos y ampliar la botnet.
  • Minería de criptomonedas.
  • Fraude de pago por clic.
  • Envío de spam

 Los dueños de la botnet, también pueden hacer negocio alquilándola a terceros como un servicio.

Los precios varían según el tipo de servicio, la confiabilidad y la duración del ataque. Por ejemplo, una hora de DDoS está disponible por unos 38 dólares. También se alquilan por meses, y hasta incluso ofrecen soporte técnico.

Esto permite que otros delincuentes realicen actividades ilícitas sin grandes conocimientos y con un mínimo esfuerzo.

Protegerse de las botnets

Los síntomas de que un dispositivo forma parte de una botnet, son bastante más evidentes que los que presenta un ordenador infectado por otro tipo de malware.

  • El equipo funciona lento (la botnet utiliza recursos de tu ordenador para sus propios fines)
  • Se comporta de forma extraña o muestra mensajes de error.
  • La conexión a internet se ralentiza de manera notable.
  • Si el ventilador funciona mientras no estás haciendo nada (descartando un fallo de hardware) puede significar que estás siendo controlado de forma remota.

Echarle un vistazo al Administrador de tareas Windows también puede darnos algunas pistas, si aparecen de repente procesos nuevos, extraños o desconocidos.

Process Hacker es una herramienta de código abierto que puede ayudarnos a obtener más información sobre los procesos que se ejecutan en nuestro sistema operativo.

Sirve, entre otras cosas, para identificar procesos maliciosos e informarnos sobre lo que están tratando de hacer.

Como proteger tu equipo e impedir que sea reclutado para formar parte de un ejército de zombis

  • Ten cuidado con lo que descargas de internet. El malware puede venir insertado en programas pirateados, los cracks de software y las versiones modificadas y no genuinas de Windows, que pululan por los foros de internet.
  • No navegues por páginas web de dudosa reputación.
  • Las páginas que visitas, habitualmente, podrían haber sido infectadas con algún script malicioso sin el conocimiento de su propietario, y estar distribuyendo malware.
  • No hagas clic en enlaces ni abras archivos adjuntos enviados desde direcciones de correo electrónico que no conozcas, y sospecha incluso de las conocidas.
  • Mantén siempre actualizado tu software, e instala todos los parches de seguridad del sistema operativo.
  • Como primera línea de defensa, protégete con un programa de seguridad que ayudará a que tu equipo no resulte infectado por malware.

En el uso diario del equipo, utiliza una cuenta sin derechos de administrador y solo trabaja con la cuenta de administrador en circunstancias excepcionales.

Esto reducirá el riesgo de que el malware penetre en capas más profundas del sistema y sea capaz de realizar cambios y ejecutar archivos con privilegios de administrador.

El tan sobrevalorado sentido común, sirve de bien poco si nuestra página web favorita ha sido comprometida por un pirata informático, o a un desarrollador de software de prestigio contrastado, se le ha olvidado parchear una vulnerabilidad de un programa que tienes instalado.

Tú no has hecho nada, has tomado todas las precauciones posibles, pero acabarás infectado.

El servicio AntiBotnet de la Oficina de Seguridad del Internauta, pone a tu disposición mecanismos para poder identificar si desde tu conexión a Internet (siempre que lo uses dentro de España) se ha detectado algún incidente de seguridad relacionado con botnets u otras amenazas, ofreciéndote información y enlaces a herramientas que te pueden ayudar en la desinfección de tus dispositivos.

Temas:

Avisos de seguridad

Air VPN - The air to breathe the real Internet

Otros artículos

En qué consiste la minería maliciosa de criptomonedas
amenaza persistente avanzada
¿Sigue siendo MFA un método seguro para evitar el robo de cuentas?
Por qué nunca deberías utilizar múltiples programas antivirus en tu dispositivo
¿Windows Defender  es lo suficientemente bueno para protegernos del malware?
Qué es UPnP y por qué no es demasiado seguro
Bulk Crap Uninstaller