botnet

Una botnet es un conjunto de dispositivos conectados a la web, incluidos servidores, PC, dispositivos móviles y dispositivos IoT, que están infectados y controlados por un malware compartido.

Un sistema suele convertirse en parte de una botnet sin que el usuario siquiera lo note. Estos dispositivos secuestrados pueden ser utilizados para realizar ataques de denegación de servicio distribuidos, robar datos, enviar spam o incluso acceder remotamente a la red local de un dispositivo.

La arquitectura de las redes de bots ha evolucionado a lo largo del tiempo, adaptándose a los sistemas de seguridad más recientes para evitar la detección o la interrupción. Tradicionalmente, los programas de bots se desarrollan como clientes que se comunican a través de servidores existentes. Sin embargo, muchas botnets recientes dependen de las redes peer-to-peer existentes para comunicarse. Estos programas de bots P2P tienen las mismas capacidades que las botnets operadas dentro del modelo cliente-servidor, pero se comunican directamente entre sí, evitando la necesidad de un servidor central.

Cómo funcionan las botnets

Las botnets se utilizan para distribuir spam por correo electrónico, llevar a cabo ataques de Fraud de clics e iniciar ataques DDoS.​​​​​​​ El malware de botnet escaneará repetidamente Internet en busca de sistemas o dispositivos IoT expuestos, en lugar de atacar a personas o empresas, con el fin de infectar la mayor cantidad posible de dispositivos. La potencia informática y los recursos de una botnet de gran tamaño se utilizan para automatizar tareas mientras permanecen ocultos al propietario del dispositivo. La botnet se mantiene oculta mediante varias tácticas. Un método destacado es aprovecharse del navegador de un dispositivo. Al utilizar una pequeña parte de los recursos del dispositivo, el aumento del tráfico es demasiado pequeño para que el usuario lo note.

Debido a que se utiliza una cantidad tan pequeña de potencia de cálculo de cada dispositivo secuestrado, las botnets requieren numerosos dispositivos (a veces millones) para producir el efecto deseado en un objetivo previsto.

Arquitectura de botnet

Las infecciones de botnets se propagan regularmente por malware de algún tipo. Este malware escaneará los sistemas o dispositivos en busca de puntos de vulnerabilidad comunes, como un sistema operativo desactualizado o un firewall abierto, con el objetivo de comprometer el mayor número posible de sistemas.

Una vez que la red botnet alcanza el tamaño deseado, los atacantes controlan los bots utilizando uno de los dos métodos siguientes:

• Enfoque estándar cliente/servidor: un servidor de comando y control envía direcciones automatizadas a todos los sistemas infectados de la botnet. Existen varias maneras de enrutar esta comunicación: a través de un canal de IRC, mediante HTML básico o utilizando una VPN. La detección puede ser complicada porque los bots pueden ser programados para permanecer inactivos y así evitar sospechas. Escucharán las órdenes y luego se «despertarán» para lanzar cualquier actividad maliciosa.
• Enfoque peer-to-peer: un enfoque más moderno, utilizado para evitar sospechas por parte de las fuerzas del orden o los sistemas de seguridad de la red, en el que los bots peer-to-peer solucionan el problema de los dominios y servidores C&C que son atacados mediante la comunicación a través de una red descentralizada. Todos los bots se conectan directamente entre sí, evitando la necesidad de un sistema de comunicación central.

Ataques notables de botnet

• Zeus: una de las principales formas de malware que existen hoy en día. Zeus está diseñado en torno a un programa de caballo de Troya que infecta sistemas vulnerables al hacerse pasar por un software inofensivo.
• Srizbi: en un momento dado, fue la botnet de spam más grande del mundo. Srizbi es comúnmente conocido como el «botnet de spam de Ron Paul» y, en un momento dado, fue responsable de casi 60 000 millones de mensajes al día. Durante su apogeo, representó poco menos de la mitad de todo el spam de correo electrónico en cualquier momento dado.
• Gameover Zeus: esta botnet utilizaba un enfoque de red peer-to-peer, lo que dificultaba que las fuerzas del orden y los proveedores de seguridad la localizaran y desactivaran. Los bots infectados usaban un algoritmo de generación de dominios para comunicarse entre ellos.
• Methbot: se ha ejecutado en aproximadamente 800 a 1.200 servidores dedicados en centros de datos ubicados tanto en EE. UU. como en los Países Bajos. Los servidores infectados generan clics y movimientos del ratón falsos y falsifican los inicios de sesión en cuentas de redes sociales para parecer usuarios legítimos.
• Mirai: diseñado para escanear Internet en busca de dispositivos no seguros. Una vez que identifica un dispositivo abierto, el malware intenta acceder con una serie de contraseñas comunes. Si los inicios de sesión no funcionan, Mirai utiliza técnicas de fuerza bruta para adivinar la contraseña.

La capacidad de los usuarios para evitar los ataques de botnet se ha visto obstaculizada recientemente por el aumento del malware diseñado para atacar routers y dispositivos IoT. Estos sistemas frecuentemente tienen contraseñas débiles, si es que las tienen, lo que lleva a un acceso fácil. Muchos dispositivos IoT ni siquiera permiten a los usuarios cambiar directamente su configuración de seguridad, lo que hace que cualquier intento de disuadir a los atacantes sea extremadamente difícil. Cuando los fabricantes no pueden actualizar remotamente el firmware de un dispositivo para corregir las vulnerabilidades de seguridad conocidas, la única opción que tienen es emitir una recuperación de fábrica.

En el pasado, los ataques de botnet se interrumpían centrándose en la fuente de comando y control. Los organismos encargados de hacer cumplir la ley y los proveedores de seguridad rastreaban las comunicaciones de los bots hasta donde se alojaran los servidores C&C y luego obligaban al proveedor de servicios a cerrarlos. A medida que las redes de botnet avanzan, también lo hacen los métodos para detectarlas. Esto incluye identificar y eliminar las infecciones de malware de botnet en los dispositivos de origen, identificar y replicar los métodos de comunicación peer-to-peer, y, en casos de Fraud publicitario, interrumpir los esquemas de monetización individuales en lugar de la infraestructura criminal subyacente.