¿Qué es una botnet?

Una botnet o red zombi es un grupo de ordenadores o dispositivos que están bajo el control de un atacante, y que se usan para perpetrar actividades malintencionadas contra una víctima. El término botnet es una combinación de las palabras robot y network (red) para representar la naturaleza de un ciberataque realizado mediante una botnet. Han sido responsables de algunos de los apagones de internet más conocidos, desactivando efectivamente a grandes organizaciones e infraestructuras de redes mediante ataques de denegación de servicio distribuido (o DDoS, del inglés “Distributed Denial-of-Service”).

Para controlar múltiples dispositivos, los atacantes deben primero engañar a los usuarios para que instalen el malware. Diversos autores distribuyen software de malware de manera gratuita a los atacantes potenciales, así que los atacantes que planean causar daños e interrupciones no tienen que crear sus propios programas desde cero. Por ejemplo, el Mirai botnet se enfoca en sistemas Linux para IoT (internet de las cosas, del inglés “Internet of Things”), como routers, cámaras IP y productos caseros de automatización. Este malware botnet les da a los atacantes remotos la capacidad de controlar sistemas IoT que ejecutan Linux para inundar con tráfico a su objetivo. Causó interrupciones o apagones generalizados, creando un tráfico de hasta un 1 Tbit/segundo en internet, atacando a diversas empresas, incluyendo KrebsonSecurity, el host o sitio de alojamiento web francés OVH y también a Dynm, que es un proveedor central de servicios de nombre de dominio (NDS) fundamental para las comunicaciones estándar por internet. El Mirai botnet se consideró el primero de su clase, pero los autores originales terminaron por ser aprehendidos. Pero, si bien a los autores del Mirai los atraparon, el malware tiene muchas otras variantes disponibles para los hackers, como el Okiru, el Satori, el Masuta y el PureMasuta.

A un usuario se le puede engañar para que instale malware botnet en su dispositivo local, o también se puede instalar desde fuera explotando las vulnerabilidades. Con el malware de IoT, los atacantes escanean miles de dispositivos para hallar objetivos obsoletos o sin parches. Los dispositivos que no cuentan con mecanismos de parches automáticos tienen una alta probabilidad de estar ejecutando servicios de firmware vulnerables, cosa que deja a los dispositivos descubiertos ante posibles ataques y los convierte en objetivos perfectos para redes zombis.

Una vez que la cantidad suficiente de dispositivos vulnerables se infectan con este malware, el hacker puede decidir esperar hasta una hora específica para indicarles que inunden de tráfico a un objetivo. La red de equipos infectados se conoce como una red zombi o zombinet, porque permanece en hibernación hasta que un atacante envía un comando central a los dispositivos secuestrados. El malware está programado para pasar desapercibido en el dispositivo hasta que recibe órdenes.

La botnet suele funcionar en conjunto con un panel central de comando y control, desde el que los atacantes pueden ver el número de dispositivos infectados y darles a todos la orden de enviar tráfico de denegación de servicio (DDoS) simultáneamente al servidor objetivo. Cuando el dispositivo no puede comunicarse con el servidor central de comando y control, ya no puede usarse en un ataque.

Como un atacante tiene el control de un dispositivo remoto, las botnets se usan para una variedad de ataques. Algunos ataques se lanzan para agregar más dispositivos a la red zombi, pero otros se usan para hacer un ataque DDoS específico para interrumpir los servicios en línea de un objetivo. Las botnets son especialmente peligrosas en internet, porque pueden desactivar servicios claves de protocolos y populares aplicaciones web con (potencialmente) millones de usuarios.

Algunas opciones comunes de ataques de botnet son:

• Leer y escribir datos del sistema: de hecho, un atacante puede solicitarles a los dispositivos que envíen archivos a un servidor central para revisarlos en busca de datos delicados. Los archivos de sistema delicados podrían contener credenciales pregrabadas para una infraestructura, dándoles así a los atacantes oportunidades adicionales que aprovechar en contra de una organización.
• Monitorizar la actividad del usuario: las botnet suelen incluir otros tipos de malware que se pueden usar para ataques adicionales no relacionados. Por ejemplo, suele ocurrir que el malware de las botnet incluya un keylogger (literalmente “registrador de tecleo”). Los keylogger registran y graban las pulsaciones de teclas del teclado del usuario y le envían la información robada a un servidor controlado por el atacante, dándole acceso a cuentas en línea, como una página web de un banco.
• Escanear la red local en busca de vulnerabilidades adicionales: un atacante que quiera lanzar un DDoS escaneará tantos dispositivos como pueda para identificar vulnerabilidades. Algunos dispositivos están protegidos por cortafuegos, así que los dispositivos afectados escanean los recursos de red locales una vez que se instalan en un dispositivo específico. Si cualquier dispositivo local tiene firmware obsoleto, el malware puede explotar esta vulnerabilidad y agregar al dispositivo vulnerable a la red zombi.
• Lanzar un DDoS: los DDoS son un tipo común de ataque que se lanza después de establecer una botnet. El atacante necesita varios miles de equipos para lanzar un DDoS eficaz. Algunos proveedores, como Cloudflare, pueden ser empleados para detener ataques de DDoS, pero un atacante con decenas de miles de bots zombi en el mundo entero podría igualmente causar una degradación grave en el rendimiento.
• Enviar spam por correo electrónico: con acceso a cuentas de correo electrónico en dispositivos locales, el atacante puede ordenarle a una red zombi que les envíe correos electrónicos a destinatarios específicos. El correo electrónico podría contener malware para diseminarlo a equipos adicionales, o el atacante podría usarlo en una campaña de phishing.

El malware en un dispositivo infectado permanece en hibernación hasta que el hacker le envía comandos. El autor de un DDoS se suele conocer como el “bootmaster”, y el servidor central desde el cual el atacante controla todos los dispositivos y les envía mensajes se llama el centro de comando y control o “C y C”. El malware se comunica con el “C y C” mediante diversos protocolos que suelen estar permitidos por los cortafuegos, de modo de que los mensajes no se bloqueen. Por ejemplo, no es raro que el malware de botnet se comunique usando el protocolo HTTP, porque la transmisión por HTTP es común en redes caseras o profesionales y no es bloqueado por cortafuegos empresariales.

Como las botnets son tan eficaces, los escritores de malware monetizan sus esfuerzos ofreciendo DDoS-como-servicio (En inglés, “DDoS-as-a-service” o DDaaS). Diversos dispositivos infectados con malware de botnet se conectan a la misma central de C y C, y los autores del malware ofrecen planes de suscripción en los que otras personas pueden iniciar sesión en el servidor de C y C para enviar sus propios comandos.

Los creadores del malware suelen codificar alternativas en las aplicaciones de C y C. Si una C y C se desactiva, otra ubicación de C y C se incluye como opción válida. Al crear redundancias en el malware, un atacante puede evitar el perder todos los dispositivos infectados después de que el servicio de hosting cancele su cuenta.

En otras estrategias, un atacante utiliza un modelo peer-to-peer (P2P) en el que todos los dispositivos infectados actúan como un C y C. Si tan solo uno de los ordenadores en el P2P falla, todos los demás dispositivos se pueden usar para enviar comandos a los demás. Las botnets P2P son mucho más difíciles de desactivar, así que suelen ser el método preferido de comunicación entre dispositivos infectados.

Después de que se envían los comandos a los dispositivos infectados, estos lanzan el ataque o ejecutan acciones basándose en las instrucciones del controlador. Los usuarios incautos con dispositivos infectados podrían experimentar degradaciones inmediatas en el rendimiento de su red mientras navegan por internet desde sus dispositivos. Un ordenador puede funcionar con mucha mayor lentitud si está bajo las órdenes de un C y C, u otros usuarios de la red podrían experimentar cambios súbitos de velocidad en la red. Una vez que el ataque está finalizado, el rendimiento regresa a su nivel habitual y el malware pasa a hibernar nuevamente.

Como las infecciones de botnet suelen implicar firmware obsoleto, los usuarios deben siempre parchear sus dispositivos IoT, incluyendo hardware que se ejecute en la red. Las vulnerabilidades de software obsoleto son comunes en los ciberataques, porque los usuarios suelen dejar a los dispositivos sin parchear durante meses enteros. Los routers, IoT de automatización doméstica, cámaras y otros hardwares que casi siempre se pasan por alto y se consideran seguros, son objetivos comunes para el malware botnet.

Muchos fabricantes de hardware IoT implementan nuevos procedimientos para actualizar firmware automáticamente, pero los dispositivos más antiguos deben ser revisados para garantizar que tengan todas las actualizaciones necesarias en su firmware. Para verificar si hay actualizaciones, se puede acudir al fabricante de dispositivos IoT y buscar actualizaciones según su modelo.

Si siente que su ordenador local podría estar infectado por malware botnet, la mejor manera de detectarlo es escanear el ordenador usando software antimalware instalado. Un buen programa de antimalware detecta al malware antes de que pueda instalarse en su ordenador, pero ciertos malwares de “día cero” se pueden instalar sin detección, porque no se conoce su existencia. Si el software antimalware no se actualiza, no podrá detectar nuevo malware. A medida que los autores de las botnets van cambiando su código y lanzando variantes, otros nuevos malware evitan su detección por parte de las defensas informáticas. Para proteger su ordenador, mantenga siempre actualizado su software antivirus cuando su proveedor implemente nuevos parches.