- 2 Abril, 2021
- in Ciberseguridad
- 1504
Contenido
Desde los inicios de la era tecnológica y el Internet, se han venido incrementando de forma muy acelerada el ritmo de ataques cibernéticos a través de diversos medios, y más recientemente a través de botnet o virus conformados por redes de dispositivos electrónicos infectados por algún malware o cadena de codigos de programacion maliciosa.
Contenido
Según el portal digital de la empresa de ciberseguridad FORTINET, define el concepto de botnet como relativamente nuevo, ya que desde el 2016 se ha vuelto más conocido debido a algunos incidentes de seguridad bastante costosos en ciertas empresas.
Entonces una botnet es una red conformada por un grupo de computadoras que están conectadas o comunicadas entre sí (ya sea de forma local o a través de internet), controladas por una o más personas a distancia, para realizar una tarea específica
Las botnets en sí, no representan una amenaza para una empresa o negocio, ya que dependen de la tarea asignada o para la cual fueron creadas.
Algunas empresas tienen botnet para responder correos automáticos según preguntas específicas, otras para hacer seguimiento a los puntos en los juegos en línea, etc.
Pero, si la intención no es buena, una botnet se puede utilizar indebidamente para controlar su computadora y otros dispositivos que comparta en el IoT (Internet de las Cosas) y también usarla para llevar a cabo ataques desde detener sus operaciones por colapso de información en el ancho de banda, hasta tomar control de sus equipos y ejecutar acciones de vulnerabilidad en el negocio.
Esencialmente una botnet debe tener como principal característica:
Previo a definir los tipos de ataques o virus malintencionados que se transmiten a través de una botnet, vamos a detallar los tipos de botnet creados a la fecha para poder entender más sobre su uso y prevención, donde la configuración de la botnet usualmente se basa en un modelo cliente/servidor o de igual a igual.
Modelo cliente/servidor: Es un tipo de botnet que establece una red de un solo servidor hacia los clientes. Este servidor tomará la forma como se envía la información entre los clientes conectados, estableciendo un comando y control en equipos del cliente. Es fácil de ubicar este botnet, ya que, posee un solo punto de control.
Topología de red en estrella: Se implementa una configuración radial desde el concentrador principal de una red informática. Cada host está conectado a un concentrador en el centro de la red. El hub cumple la función de enviar mensajes a equipos conectados dentro de la formación en estrella. Toda la información que se procesa va canalizada por el concentrador central antes de ser distribuida a su destino.
Topología de multiservidores: Es la unión de varias redes de estrellas donde hay varios servidores que poseen los botnet, los cuales son enviados a cada cliente específico para que ejecute tareas asignadas.
Topología de red jerárquica: Es un modelo de red, donde el servidor está ubicado en la parte más alta de la pirámide de esa red, y de allí envía las tareas a los equipos usando los bots en cada computadora.
Peer to peer: En este caso, los botnets en la topología peer to peer (P2P), indica que cada equipo puede funcionar como cliente o servidor a la vez, donde se coordinan y actualizan para intercambiar información..
Para el portal digital Welivesecurity de la empresa de antivirus ESET, define a los botnet maliciosos como un ejército de muertos vivientes haciendo destrozos en Internet, formado por computadoras zombis.
Aunque la anterior comparación suene algo fuera de lo lógico, un botnet malicioso es así, como un zombi; puede estar muerto o inactivo por mucho tiempo y luego aparecer sin previo aviso dentro de nuestra red tomando control del equipo.
En Internet existen múltiples botnets maliciosas conocidas como lo son Storm, Conficker, Zeus, Flashback o Windigo, las cuales infectan a millones de equipos en el mundo, y que temporalmente están neutralizadas en la red, pero cuya potencial aparición dependerá de la vulnerabilidad de los equipos que hacen vida en el IoT.
Por lo tanto, en este artículo nos centraremos a analizar dos de los más letales botnets de la última década:
Como lo expresa la casa de software antivirus Panda Security, en su portal digital, Botnet Mirai representa un caso muy evidente de los más grandes ataques sufridos en denegación de servicios (DDoS, en sus siglas en inglés) que se conocen hasta la fecha y que ocasionó pérdidas millonarias y complicaciones a empresas como Twitter, Netflix, Spotify o PayPal.
Tal vez te interese leer: Ataques DDoS: conozca la amenaza y posibles soluciones
El botnet ingresó a dispositivos que estaban conectados a internet (IoT), y se mantuvo inactivo por un tiempo. El 21 de Octubre del 2016 fue activado para atacar al proveedor de servicios de DNS, generando graves problemas de comunicación por muchas horas.
Muchos expertos pensaron que el ataque de Botnet Mirai se centraba solo en los dispositivos de IoT, pero posterior al evento notaron que los delincuentes habían abierto una brecha de seguridad con Mirai en los dispositivos con Linux instalado, lo que establece un fallo crítico en las aplicaciones de software libre y que de por sí, botnet Mirai es una cadena de código de software libre que permite ser copiada y editada por otros y aumentar el riesgo de proliferación en diversos equipos.
Tal vez te interese leer: Ciberamenaza en dispositivos IoT
Lo peligroso de este botnet Mirai es que se descubrió que puede centrar su ataque a los dispositivos BIG-IP, son comúnmente usado en redes del gobierno como de proveedores de servicios de Internet (ISPs), y de igual forma por bancos alrededor del mundo, siendo considerado un producto usado por al menos 48 compañías que integran la lista Fortune 50.
Esta botnet pertenece a la categoría de los troyanos, y tiene la capacidad de acceder de forma remota al dispositivo infectado y tomar control mismo, ejecutando comandos o clics en acciones o funciones del equipo.
También permite capturar las inserciones desde el teclado para apoderarse de las contraseñas del equipo remoto.
En sí, el Gh0st es un software de control remoto, que utilizado por ciberpiratas dentro de un comando de una botnet, lo han convergido en una variante RAT de los troyanos.
El portal digital PC RISK, menciona que, la botnet Gh0st posee ciertas características que la distinguen de otros virus troyanos porque tiene la habilidad de añadir claves de registro para establecer su persistencia en el equipo y así sea más difícil eliminarlo, también puede ejecutar desde el shell del equipo un archivo batch de comandos y evadir la detección de antivirus usando TCP encriptadas.
Tal vez te interese leer: Las 5 prioridades del los departamentos de TI en el 2021
La firma Fortinet, desde su portal digital Threat intelligence insider menciona la campaña hecha por lo ciberpiratas y controladores de la botnet Mirai y de la botnet Gh0st, impulsando a crear más ataques en las zonas de vulnerabilidad de los dispositivos con IoT de consumo; ésto motivado al descuido de los usuarios en la seguridad de sus equipos conectados a la red
Por eso Fortinet, en el boletín del Cuarto trimestre del 2020, menciona algunas características o síntomas posibles de un equipo vulnerado por un botnet:
Es muy fácil saber, si usted es un usuario que busca por internet y presiona clic sobre opciones o ventanas sin medir el riesgo o abre archivos de procedencia extraña.
Hay amenazas fácilmente reconocibles en la red, y una de sus principales fuentes son los correos electrónicos de phishing.
En América Latina se ha incrementado el uso de phishing con archivos HTML adjuntos que incluyen todas las variantes de señuelos, basados en la web y que intentan cambiar la dirección del navegador web a un sitio que podría ser el vector inicial de una intrusión.
Tal vez te interese leer: 10 razones por las que las organizaciones necesitan correos seguros
Otra opción de contagio es la falta de interés por cambiar usuarios y contraseñas que algunos dispositivos IoT traen por defecto (ejemplo de router, y switches), lo que da una bienvenida a cualquier ciberdelincuente para ingresar a ese equipo, colocarle la clave que desee y bloquearle a usted sus accesos de seguridad o robarle información.
La mejor recomendación para protegerse de las botnet sería inicialmente tomar conciencia del uso de los dispositivos conectados a internet, pero La Universidad Nacional Autónoma de México, en su revista digital de seguridad, menciona algunas recomendaciones que pueden considerarse generales para cualquier prevención de ataques de malware. Entre las principales acciones se recomienda:
Para concluir podemos mencionar que, como cualquier virus que ataca a un ser humano y cada vez puede aparecer una mutación del mismo más agresiva y resistente a medicamentos; en el caso de Internet seria igual, por lo cual debe estar atento ante cambios de sus equipos, comunicaciones, operaciones o volumen de tráfico de información en la red, ya que debido al fallo de vulnerabilidades en los programas de software y algunos dispositivos, se siguen haciendo de ellas, el medio perfecto para actuar de manera masiva ante un ataque con botnets.
Por estas razones mantener las redes empresariales protegidas en todos los vectores de ataque es de suma importancia para proteger el activo más valioso de toda organización: la información. Si deseas conocer más sobre nuestras soluciones en ciberseguridad da clic en el siguiente botón: