Una botnet es una colección de dispositivos conectados a Internet infectados por un tipo común de malware y controlados de forma remota. Estos dispositivos pueden ser tanto ordenadores personales como routers, reproductores DVR, electrodomésticos inteligentes, cámaras de vigilancia, etc.
El control se realiza mediante un centro de comando y control, u otros protocolos de comunicación como IRC, P2P y HTTP.
Para construir una botnet potente y efectiva, los botmasters necesitan reunir bajo su control tantos dispositivos (bots) como sea posible.
Cuanto mayor sea la red de bots, mayor será el impacto potencial que pueda causar en un objetivo.
En este caso, el tamaño importa.
Cómo se infecta un dispositivo
Un dispositivo solo se puede conectar involuntariamente a una red de bots si un atacante consigue tener acceso a él.
Primero para plantar el bot y posteriormente para controlarlo de forma remota mediante comandos.
Los ordenadores de escritorio han sido tradicionalmente el tipo de dispositivos más afectados.
Sin embargo, la interconexión de otro tipo de dispositivos a través de una red (bien sea privada o a través de Internet) dónde todos ellos pueden ser visibles e interactuar, ha propiciado que también puedan ser infectados para formar parte de una red de bots.
Respecto al tipo de dispositivos, como hemos mencionado anteriormente, podría tratarse de cualquier aparato con una conexión a la red: desde sensores y dispositivos mecánicos hasta elementos cotidianos como un frigorífico, una Smart TV y hasta incluso una cámara doméstica de vigilancia.
Los atacantes pueden plantar programas de bot en un dispositivo de muchas maneras.
Un método común es usar un kit de exploits alojado en un sitio web para sondear el dispositivo de cada visitante en busca de una vulnerabilidad explotable.
Si encuentra una, el kit descarga e instala silenciosamente el bot.
Otras formas de infección, incluyen por ejemplo distribuir el bot como un archivo adjunto a un correo electrónico, como parte de un programa descargado de una página de warez o insertado en una versión pirata de Windows.
Algunos dispositivos como routers, electrodomésticos inteligentes, asistentes personales como Alexa o Google Assistant, suelen contar con configuraciones por defecto poco seguras y contraseñas débiles.
Estas malas configuraciones pueden ser explotadas por los ciberdelincuentes para obtener acceso al dispositivo y convertirlo en parte de una botnet.
Cuidado con las VPN gratuitas
Puede ser difícil de creer, pero algunas VPN gratuitas han violado la confianza de sus usuarios al hacer que sus dispositivos formen parte de una botnet.
Estos servicios tienen que pagar por una infraestructura, y si no ganan dinero con las suscripciones de sus clientes, deben hacerlo de otras maneras.
Una de ellas es la venta del ancho de banda, y las IP de las máquinas de sus usuarios, a organizaciones que ejecutan botnets.
El ejemplo más conocido es Hola.
Un servicio VPN gratuito extremadamente popular que en sus mejores tiempos llego a tener casi 50 millones de usuarios en todo el mundo.
En 2015, se descubrió que Hola había estado vendiendo el ancho de banda de sus usuarios para cubrir los costes de su servicio gratuito, y de paso ganarse una pasta.
Los usuarios de Hola habían estado alistando a sus dispositivos sin saberlo a varias botnets, que se estaban utilizando para diversos propósitos, todos ellos bastante turbios.
Encontrar una VPN para mantenerte realmente protegido, y que no te den gato por liebre, habiendo cientos de ellas en el mercado tanto de pago como gratuitas, requiere dedicarle un poco de tiempo.
En este sentido, es bueno saber, que actualmente, esta aplicación gratuita, no es realmente una VPN. Se trata de un servicio de proxy (mal protegido) peer-to-peer.
Al mando de los bots
Una vez que se instala el programa de bot, generalmente intentará ponerse en contacto con un sitio web o servidor remoto donde pueda recibir instrucciones.
Estos servidores C&C son el punto débil de la botnet: sin ellos, los bots son simplemente drones inútiles.
Los ciberdelincuentes han estado desarrollando formas cada vez más sofisticadas para evitar que nadie tome el control del servidor central, ya que estaría en condiciones de cerrar toda la botnet.
Para intentar dificultar la tarea de los expertos en seguridad informática, comenzaron a incluir servidores proxy en su arquitectura, para evitar que los bots individuales contacten directamente con el servidor de C&C, y lo hagan a través de máquinas intermedias.
El atacante que controla la botnet, se denomina botmaster o pastor de bots. Puede ser la persona responsable de establecer y mantener la propia botnet.
También un individuo que ha alquilado el control de la horda de zombis por un tiempo.
En el segundo de los casos, los precios varían según el tipo de servicio, la confiabilidad y la duración del ataque.
Esto permite que otros delincuentes realicen actividades ilícitas sin grandes conocimientos y con un mínimo esfuerzo.
Que pueden hacer los atacantes
Las botnets pueden afectar a los usuarios tanto directa como indirectamente.
El impacto más directo es que una máquina infectada ya no está bajo el control de su propietario legítimo.
La mayoría de las personas hoy en día almacenamos contenido altamente sensible en nuestros dispositivos personales; dicha información se vuelve vulnerable una vez que el dispositivo está infectado.
Más indirectamente (aunque también nos afecta, ya que técnicamente, somos responsables de todo lo que se hace desde nuestra dirección IP) sus controladores pueden usar botnets para llevar a cabo acciones dañinas contra terceros, como por ejemplo:
- Lanzar ataques de denegación de servicio distribuido (DDoS) contra un servidor.
- Distribuir correos electrónicos con malware para reclutar otros dispositivos y ampliar la botnet.
- Minería de criptomonedas.
- Fraude de pago por clic.
- Envío de spam
Los síntomas de que un dispositivo forma parte de una botnet, son bastante más evidentes que los que presenta un ordenador infectado por otro tipo de malware.
- El equipo funciona lento (la botnet utiliza recursos de tu ordenador para sus propios fines)
- Se comporta de forma extraña o muestra mensajes de error.
- La conexión a internet se ralentiza de manera notable.
- Si el ventilador funciona mientras no estás haciendo nada (descartando un fallo de hardware) puede significar que estás siendo controlado de forma remota.
Echarle un vistazo al Administrador de tareas Windows también puede darnos algunas pistas, si aparecen de repente procesos nuevos, extraños o desconocidos.
Como proteger tu equipo e impedir que sea reclutado para formar parte de un ejército de zombis
- Ten cuidado con lo que descargas de internet. El malware puede venir insertado en programas pirateados, los cracks de software y las versiones modificadas y no genuinas de Windows, que pululan por los foros de internet.
- No navegues por páginas web de dudosa reputación.
- Las páginas que visitas, habitualmente, podrían haber sido infectadas con algún script malicioso sin el conocimiento de su propietario, y estar distribuyendo malware.
- No hagas clic en enlaces ni abras archivos adjuntos enviados desde direcciones de correo electrónico que no conozcas, y sospecha incluso de las conocidas.
- Mantén siempre actualizado tu software, e instala todos los parches de seguridad del sistema operativo.
- Como primera línea de defensa, protégete con un programa de seguridad que ayudará a que tu equipo no resulte infectado por malware.
El servicio AntiBotnet de la Oficina de Seguridad del Internauta, pone a tu disposición mecanismos para poder identificar si desde tu conexión a Internet (siempre que lo uses dentro de España) se ha detectado algún incidente de seguridad relacionado con botnets u otras amenazas, ofreciéndote información y enlaces a herramientas que te pueden ayudar en la desinfección de tus dispositivos.