Qué son las botnets y por qué son un peligro creciente (Introducción para novatos)

Microsoft ha construido su propio kernel de Linux personalizado para integrarlo en Windows 10, algo inimaginable hace unos años
8 mayo, 2019
Ransomware, el ingenio sigue avanzando.
25 agosto, 2019
Microsoft ha construido su propio kernel de Linux personalizado para integrarlo en Windows 10, algo inimaginable hace unos años
8 mayo, 2019
Ransomware, el ingenio sigue avanzando.
25 agosto, 2019

Hace tan solo unos días un ataque DDoS socavó los cimientos de Internet y consiguió dejar inactivos servicios de la talla de Twitter, PayPal, Play Station Network y otros gigantes de la tecnología. Una incursión que se dirigió a la empresa Dyn, proveedora de DNS y que nos llevó a recordar en qué consisten esta clase de amenazas con el fin de conocer a fondo las claves del problema.

En concreto, en los ataques de denegación de servicio se inundan de tráfico los servidores de una plataforma como la que nos ocupa; algo que pueden llevar a cabo varias personas pero que también es posible realizar a través de botnets, justo lo que ocurrió el viernes. Y es precisamente en estas en las que nos vamos a centrar hoy, porque, ¿qué son? ¿Para qué pueden usarse? Resolvemos estas y otras cuestiones relacionadas a continuación.

Qué son y cómo se propagan

Así, el ataque habría sido ocasionado por una hecha con dispositivos del mundo del Internet of Things, un tipo de botnet de la que algunos expertos del sector como el hacker Chema Alonso ya habrían alertado hace unos meses. Pero vayamos paso a paso con nuestra explicación.

De manera un tanto genérica, el término botnet nace de la unión de bot (robot) y net (network o red) y se se usa para referirnos a una red de bots, un conjunto de programas que se ejecutan de forma automática y que permiten controlar los ordenadores y servidores infectados de forma remota. Una amenaza creciente según la firma de seguridad Symantec que puede llegar a afectar desde a unos pocos usuarios a cientos de miles.

La infección comienza cuando el ciberdelincuente crea un virus y lo propaga a través de la red con el objetivo de infectar el mayor número de equipos. Un contagio que se produce, generalmente, al visitar determinados sitios web de dudosa fiabilidad.

En todo caso, varía; pues en sistemas con Windows suele producirse a través de cracks y archivos distribuidos que han sido descargados con algún cliente P2P. En entornos Linux y similares, la forma más clásica es expandir una Botnet a través de telnet o SSH mediante un sistema de ensayo-error, tanteando con usuarios y contraseñas comunes.

A partir de entonces, el dispositivo afectado descarga un bot, una suerte de software malicioso que lo agrega a una red de “ordenadores zombies”, que puede ser “gestionada” por una única persona.

Para qué pueden usarse

A este sujeto “gestor” se le conoce como botmaster o pastor, un criminal que, a partir de ese momento, puede controlar nuestra máquina a distancia y realizar todo tipo de acciones, desde robar nuestros datos bancarios y personales, contraseñas y otros credenciales –para darle el uso que más lucrativo le parezca-, hasta enviarnos spam, y otras prácticas delictivas.

Por supuesto no faltan los ataques masivos a páginas web, los ataques de denegación de servicio distribuidos (DDoS), y la minería y robo de Bitcoins. Pero vayamos con cada uno de estos casos de manera más específica:

Envío de: spam, virus, software espía; y fraude

El primero es uno de los más frecuentes; de hecho, es habitual que se venda el servicio a spammers. Pueden incluir el robo de información privada y personal como números de tarjetas de crédito, credenciales bancarias y otra información privada relacionada con el usuario del equipo infectado que haría posible suplantar nuestra identidad, llevar a cabo compras en nuestro nombre, etcétera.

En cuanto al fraude, nos estamos refiriendo al conocido como fraude por clics, un delito digital que ocurre en los sistemas de pago por clic o PPC, en el que los delincuentes usan los bots para aumentar la facturación por publicidad creando un clic automático y, por supuesto, falso, que acaba aportándoles grandes sumas de dinero.

Ataques DDoS

 

 

De denegación del servicio, en el que los atacantes suelen extorsionar a los propietarios de los sitios afectados para que les paguen una cantidad de dinero a cambio de devolverles el control de su web. Lo que hacen es dejarlo fuera de servicio saturándolo de consultas.

 

Por ejemplo, pongamos el caso de que el sitio soporta hasta 10 mil consultas simultáneamente; lo único que necesita el delincuente es decirle a 10.001 de sus equipos que visiten la página al mismo tiempo. Además, resultan muy complicado encontrar un patrón de las máquinas que están acatando debido a su dispersión geográfica.

Minería y robo de Bitcoins

 

Con la aparición de esta criptomoneda, se ideó un nuevo empleo para las botnets: usarlas para generar bitcoins. Un ejemplo de esta utilidad la ejemplifica ZeroAccess, un troyano que infectaba los PCs haciendo que estos formaran parte de una red de bots, unos ordenadores que los delincuentes aprovechaban para realizar las distintas operaciones para generar esta moneda, sin gastar electricidad ni hardware.

El robo de bitcoins es una variante de la anterior “técnica”, que se ejemplifica con Pony Loader 2.0, que también llegó a afectar a otras monedas digitales como Litecoins y Primecoins. Con esta red se obtuvieron, por cierto, información de hasta 2 millones de equipos.

Cómo saber si estoy infectado

Si bien suelen pasar desapercibidos –lo habitual es que permanezcan ocultos hasta que se les indique que lleven a cabo una “tarea”- y según informa Symantec, un bot puede provocar que nuestro equipo se ralentice (sobre todo para aquellos usuarios que tienen un limitado bando de ancha-, muestre mensajes misteriosos e, incluso, ocasionar fallos concretos.

Unos indicativos ante los que deberemos estar atentos. Evidentemente, también podemos descubrir si estamos infectados de la mano de diferentes herramientas y productos antimalware específicos que nos informen de la cuestión.

Cómo evitarlo

Por desgracia y según los expertos, evitarlo no solo se encuentra en nuestra mano sino que depende en gran medida de cuestiones relacionadas con los sistemas operativos, software con problemas de seguridad, etcétera. En todo caso, desconfía de páginas webs y enlaces sospechosos, usa un software de seguridad apropiado y actualízalo con regularidad.

Al respecto, la Oficina de Seguridad del Internauta (OSI) ofrece un servicio Antibotnets que nos permite conocer si desde nuestra conexión se ha captado alguna brecha de seguridad relacionada con botnets. Una plataforma que, al mismo tiempo, nos brinda ayuda de la mano de diferentes herramientas y servicios con los que podremos proceder a nuestra desinfección. Otra opción es descargar su plugin específico, que nos va informando de manera continuada al respecto.

En todo caso, no es la única, el Instituto Nacional de Ciberseguridad (INCIBE) también cuenta con una herramienta propia y gratuita desde hace varios años que muestra una alerta de manera automática, en el caso de que alguna de las IPs de una empresa, por ejemplo, forme parte de una botnet.

En cuanto a antivirus específicos, el mercado nos ofrece una amplia variedad de opciones. Entre ellas, destacamos Virus Removal Tool de Kaspersky y el Avira EU Cleaner, capaces de detectar y detener este tipo de amenazas. RuBotted, desarrollado por Trend Micro, también merece ser mencionado, pues permite monitorizar la infección. No se quedan atrás el sistema de Constant Guard y el Norton Power Eraser.

Emplear un navegador “de última generación”, evitar hacer clic en archivos adjuntos -a menos que puedas verificar su origen y este sea de confianza-, configurar los parámetros de seguridad de tu equipo y limitar los derechos de usuario cuando estés conectado son otros de los consejos que puedes poner en marcha. Estar al tanto sobre las últimas noticias e información del sector también te ayudará.

Por otra parte, cabe comentar que habitualmente las botnets usan un servidor de Comando y Control (a veces se le llama C&C o C2) para conectar todos los equipos infectados. Con muchas de ellas basta con cerrar este panel para derribarlas.

Sin embargo, también existen botnets que usan redes P2P para comunicarse, de manera que no hay un servidor de este tipo y la eliminación se vuelve más complicada. También puede ocurrir que la botnet use diversos servidores de Comando y Control localizados en distintos países y jurisdicciones, de manera que resulta difícil darlos de baja al mismo tiempo.

 

Dejá una respuesta