¿Qué es una botnet?: cómo funciona y cómo puedo proteger mis dispositivos

El número de ciberataques que ocurre cada año ha aumentado considerablemente con el paso del tiempo, ya que se hacen cada vez más difíciles de prevenir y contrarrestar. Y es posible que tus dispositivos estén formando parte de un ataque sin que seas consciente de ello.

Las botnets son consideradas una de las mayores amenazas cibernéticas en la actualidad. A continuación te explicaremos qué son, cómo funcionan y cómo puedes proteger tus dispositivos.

¿Qué es una botnet?

La palabra «botnet» es una abreviación de «robot network», que se traduce a «red de robots». Se trata de un conjunto de dispositivos IoT (Internet de las cosas) o dispositivos de cómputo (servidores, computadoras, etc.) que fueron infectados por algún tipo de malware que permite que un cibercriminal los controle a su preferencia de forma remota.

Una botnet puede componerse de cientos o hasta millones de equipos infectados, que son llamados bots o equipos zombi, y al atacante que los controla se le suele llamar «pastor de bots».

¿Cómo se propaga una botnet?

La creación de una red de bots requiere varios procesos. En primera instancia, un ciberdelincuente crea un malware (usualmente, un troyano) que distribuye a través de Internet al mayor número posible de víctimas, escondiéndolo como un archivo PDF o un software gratuito que es descargado por el usuario inadvertidamente o que se ofrece en sitios de phishing. Cualquier dispositivo IoT conectado a una red wi-fi puede ser vulnerable.

Una vez descargado, el malware se aprovecha de vulnerabilidades informáticas para hacerse con el control del equipo infectado. Esto le permite al atacante tener control de la red de ordenadores infectados para llevar a cabo sus propósitos a gran escala.

¿Para qué son utilizadas las botnets?

Las botnets pueden ser utilizadas para llevar a cabo distintos tipos de ciberataques, así como otras tareas que no se consideran directamente como ataques cibernéticos. Algunas de ellas son las siguientes:

Enviar spam y realizar ataques de phishing masivamente

Las primeras botnets se utilizaron principalmente para enviar spam de forma masiva, haciendo que mensajes maliciosos se distribuyeran rápidamente. Así mismo, pueden utilizarse para llevar a cabo estafas a gran escala mediante phishing.

Llevar a cabo ataques de denegación de servicio distribuido

Un ataque DDoS consiste en inundar un sitio web o servidor con tantas solicitudes que colapse o se haga extremadamente lento.

Buscar vulnerabilidades adicionales

Los cibercriminales usualmente escanean todos los dispositivos posibles para unirlos a su red de bots. Si se consigue algún dispositivo desactualizado o desprotegido, el malware puede aprovecharse de esta vulnerabilidad para agregar un dispositivo nuevo a la botnet.

Instalar malware adicional

Agregar un dispositivo a la red zombi puede ser la primera parte de un ciberataque más elaborado. Tener acceso a una amplia red de dispositivos IoT puede darle a los ciberdelincuentes la capacidad de infectarlos con otros tipos de malware, como ransomware y adware, entre otros.

Minería de criptomonedas

Recientemente, las botnets se han utilizado para minar criptomonedas como el bitcoin, con la consecuencia de que el dispositivo utilizado para esta tarea se hace extremadamente lento, consume mucha más electricidad y en general se desgasta con mayor rapidez.

Monitorizar la actividad de la víctima

Algunas botnets están infectadas con malware capaz de monitorizar las actividades de la víctima en Internet (como un keylogger) y recopilar datos como contraseñas, información personal, información de tarjetas de crédito y cuentas bancarias, entre otros.

¿Cómo funcionan los botnets?

Las redes de dispositivos infectados pueden ser controladas de dos maneras, principalmente: de manera centralizada, bajo el modelo de cliente-servidor; o de manera descentralizada, como en un modelo de pares.

Modelo cliente-servidor

El modelo cliente-servidor era propio de las primeras botnets que existieron. En este modelo todos los dispositivos de la red zombi reciben órdenes de una única dirección, que usualmente coincidía con un servidor o sitio web conocido como el servidor de comando y control (CC). Por ello, si se logra encontrar encontrar e inactivar el servidor CC, la botnet entera es desactivada.

Modelo peer-to-peer

El modelo de pares o peer-to-peer (P2P) soluciona la vulnerabilidad de las botnets centralizadas, pues en este todos los dispositivos de la red se comunican entre sí, eliminando la necesidad de un servidor CC. Por ello, al inactivar un único dispositivo, la red puede seguir funcionando, haciendo a las botnets P2P más difíciles de desmantelar.

Sin embargo, en ambos modelos de control el propietario del malware es el único capaz de dirigir la red. Para ello, utiliza códigos especiales que evitan que un hacker externo pueda controlar la red.

Ejemplos de botnets

En los últimos años han ocurrido múltiples ataques mediados por una red zombi lo suficientemente grandes para hacerse de conocimiento público. Algunos de los más famosos son:

Gameover ZeuS

Gameover ZeuS fue una botnet P2P utilizada para llevar a cabo ataques de ransomware con los que robaron datos bancarios de millones de personas hasta que fue desmantelada en el 2014.

Mirai 

Esta botnet generó múltiples ataques DDoS contra empresas de ciberseguridad utilizando más de 100.000 dispositivos en el 2016. Logró generar tráfico de hasta 1 Terabyte (TB) por segundo, haciendo que colapsaran múltiples servicios online.

GitHub

En 2018 una botnet generó un ataque DDoS con picos máximos de tráfico de 1.35 TB por segundo contra GitHub, la mayor plataforma de desarrollo de software de Internet, logrando dejarla fuera de servicio por unos minutos.

Mēris

La botnet Mēris realizó al menos dos grandes ataques en el 2021. Uno de ellos dirigido a Yandex, un proveedor de servicios de Internet, el cual ocasionó un cese en los servicios de Twitter; y a Cloudflare, un proveedor de infraestructuras web.

Signos de que tu dispositivo es parte de una botnet

Usualmente, los bots de una red llevan a cabo sus tareas en segundo plano, por lo que no son fáciles de detectar. Sin embargo, existen algunos signos sugestivos de que un dispositivo ha sido infectado:

No es posible actualizar el sistema operativo

Ya que muchas botnets se aprovechan de vulnerabilidades en el sistema operativo de los ordenadores para infectarlos, algunos tipos de malware están diseñados para impedir que este se actualice. De esa forma, el malware puede continuar llevando a cabo sus tareas.

Procesos lentos

Cuando un dispositivo está ejecutando múltiples tareas en simultáneo, se ve afectada su capacidad de procesamiento y disminuye la velocidad con la que puede llevar a cabo otras tareas. Por eso los dispositivos que forman parte de una botnet llevan a cabo sus funciones más lentamente.

Así mismo, si la tarea que lleva a cabo la red zombi es enviar cientos de correos electrónicos como spam, por ejemplo, consume ancho de banda y hace que la conexión a Internet sea más lenta o inestable.

Hay procesos sospechosos en el administrador de tareas

El administrador de tareas permite que visualices todos los procesos que están ejecutándose activamente en un dispositivo. Si este muestra un proceso sospechoso o que no se reconoce, es posible que se trate de malware. Adicionalmente, es posible que dicho malware impida que se detengan los programas que necesita para realizar sus tareas.

Cambios no deseados en el sistema

Algunos tipos de malware permiten que los cibercriminales hagan modificaciones en los archivos del sistema, por lo que cambios no deseados a este nivel pueden ser una señal de que su dispositivo es parte de una red zombi.

Alerta de un antimalware

Muchas herramientas antimalware son capaces de detectar el software malicioso de las botnets, así como otras amenazas, para luego notificar al usuario de su existencia.

No es posible instalar un nuevo antimalware

En ocasiones, al ser parte de una red de ordenadores infectados, el malware impide que se descargue o ejecute algún software antivirus o antimalware para evitar ser detectado.

5 consejos para proteger tus dispositivos de las botnets

A pesar de que los ciberdelincuentes han perfeccionado sus técnicas para pasar desapercibidos, es posible detectar intentos de ataque, detenerlos y prevenirlos. A continuación te dejamos cinco consejos para proteger tus dispositivos de las botnets:

Mantén tus sistemas actualizados

Actualizar el software (sistema operativo, programas y aplicaciones) de tus dispositivos periódicamente permite cubrir brechas de seguridad que en las versiones obsoletas podrían ser aprovechadas por los ciberdelincuentes para infectarlos.

Evita archivos y sitios web sospechosos

Descargar archivos adjuntos de correos desconocidos o recibidos de manera inesperada puede traer consigo algún tipo de malware. De la misma manera, si un email de este tipo contiene un enlace, puede llevar a un sitio web de phishing o descargar inadvertidamente software malicioso, por lo que se debe evitar acceder a ellos, o salir de ellos al notar cualquier característica sospechosa.

Otro consejo útil es evitar los servicios de descarga P2P, como los que se utilizan para descargar torrents. Lo ideal es obtener los archivos y programas de fuentes legítimas siempre que sea posible.

Utiliza firewalls y antimalware

El uso de un firewall, especialmente si se configura para aportar la mayor protección posible, ayuda a evitar que algunos tipos de malware infecten los dispositivos. De igual manera, el software antimalware es capaz de detectar el malware y eliminarlo antes de que cause problemas.

Crea contraseñas seguras

Existe malware capaz de descifrar contraseñas y hacerse con datos personales a partir de ellas. Por eso, es de suma importancia crear contraseñas seguras, o utilizar gestores de contraseñas que ayuden a crearlas y protegerlas. Por otro lado, si se configura la autenticación de dos factores, aunque el malware logre descifrar las contraseñas, será necesario un segundo paso para verificar la identidad del usuario y el hacker no podrá acceder a la información que busca.

Invierte en servicios de ciberseguridad

Una correcta gestión de la ciberseguridad de las redes y dispositivos, especialmente en el caso de pymes y startups, puede ser la diferencia entre mantener un servicio constante y de calidad, o perder el control de las plataformas necesarias para llevar a cabo sus actividades laborales.

Ya que mantener una ciberseguridad robusta puede ser un reto, lo ideal es contratar un CISO y asesorarse con expertos en la materia para evitar ser víctima de ciberataques y hacerse capaces de responder a ellos de forma eficiente.

En Delta Protect simplificamos la ciberseguridad y el cumplimiento de tu empresa. Si quieres conocer otras opciones para evitar formar parte de una botnet y mejorar tu ciberseguridad en general, agenda una demo de Apolo con nuestros expertos.