Desde los inicios de la era tecnológica y el Internet, se han venido incrementando de forma muy acelerada el ritmo de ataques cibernéticos a través de diversos medios, y más recientemente a través de botnet o virus conformados por redes de dispositivos electrónicos infectados por algún malware o cadena de codigos de programacion maliciosa.

¿Qué es una botnet?

Según el portal digital de la empresa de ciberseguridad FORTINET, define el concepto de botnet como relativamente nuevo, ya que desde el 2016 se ha vuelto más conocido debido a algunos incidentes de seguridad bastante costosos en ciertas empresas. 

Entonces una botnet es una red conformada por un grupo de computadoras que están conectadas o comunicadas entre sí (ya sea de forma local o a través de internet), controladas por una o más personas a distancia, para realizar una tarea específica

Las botnets en sí, no representan una amenaza para una empresa o negocio, ya que dependen de la tarea asignada o para la cual fueron creadas. 

Algunas empresas tienen botnet para responder correos automáticos según preguntas específicas, otras para hacer seguimiento a los puntos en los juegos en línea, etc.

Pero, si la intención no es buena, una botnet  se puede utilizar indebidamente para controlar su computadora y otros dispositivos que comparta en el IoT (Internet de las Cosas) y también usarla para llevar a cabo ataques desde detener sus operaciones por colapso de información en el ancho de banda, hasta tomar control de sus equipos y ejecutar  acciones de vulnerabilidad en el negocio.

Característica de una botnet

Esencialmente una botnet debe tener como principal característica:

• Conexión a internet. De esta forma puede estar en comunicación con el C&C (comando y Control de la red botnet) para la ejecución de la tarea asignada.
• Bloque de códigos de ejecución. Son los comandos o instrucciones que han sido grabados en ese dispositivo para que se ejecute la acción-tarea.
• Periodos de tiempo. Indica el inicio y el final de la ejecución de una rutina de instrucciones. Una botnet puede estar inactiva por mucho tiempo y ejecutarse en un momento específico según un parámetro de su código o una orden enviada por el C&C.

Tipos de Botnet

Previo a definir los tipos de ataques o virus malintencionados que se transmiten a través de una botnet, vamos a detallar los tipos de botnet creados a la fecha para poder entender más sobre su uso y prevención, donde la configuración de la botnet usualmente se basa en un modelo cliente/servidor o de igual a igual.

Modelo cliente/servidor: Es un tipo de botnet que establece una red  de un solo servidor hacia los clientes. Este servidor tomará la forma como se envía la información entre los clientes conectados, estableciendo un comando y control en equipos del cliente. Es fácil de ubicar este botnet, ya que, posee un solo punto de control.

Topología de red en estrella: Se implementa una configuración radial desde el concentrador principal de una red informática. Cada host está conectado a un concentrador en el centro de la red. El hub cumple la función de enviar mensajes a equipos conectados  dentro de la formación en estrella. Toda la información que se procesa va canalizada por el concentrador central antes de ser distribuida a su destino.

Topología de multiservidores: Es la unión de varias redes de estrellas donde hay varios servidores que poseen los botnet, los cuales son enviados a cada cliente específico para que ejecute tareas asignadas.

Topología de red jerárquica: Es un modelo de red, donde el servidor está ubicado en la parte más alta de la pirámide de esa red, y de allí envía las tareas a los equipos usando los bots en cada computadora.

Peer to peer: En este caso, los botnets en la topología peer to peer (P2P), indica que cada equipo puede funcionar como cliente o servidor a la vez, donde se coordinan y actualizan para intercambiar información..

Los Botnet maliciosos más conocidos

Para el portal digital Welivesecurity de la empresa de antivirus ESET, define a los botnet maliciosos como un ejército de muertos vivientes haciendo destrozos en Internet, formado por computadoras zombis.

Aunque la anterior comparación suene algo fuera de lo lógico, un botnet malicioso es así, como un zombi; puede estar muerto o inactivo por mucho tiempo y luego aparecer sin previo aviso dentro de nuestra red tomando control del equipo.

En Internet existen múltiples botnets maliciosas conocidas como lo son Storm, Conficker, Zeus, Flashback o Windigo, las cuales infectan a millones de equipos en el mundo, y que  temporalmente están neutralizadas en la red, pero cuya potencial aparición dependerá de la vulnerabilidad de los equipos que hacen vida en el IoT. 

Por lo tanto, en este artículo nos centraremos a analizar dos de los más letales botnets de la última década:

Bonet Mirai

Como lo expresa la casa de software antivirus Panda Security, en su portal digital, Botnet Mirai representa un caso muy evidente de los más grandes ataques sufridos en denegación de servicios (DDoS, en sus siglas en inglés) que se conocen hasta la fecha y que ocasionó pérdidas millonarias y complicaciones a empresas como Twitter, Netflix, Spotify o PayPal. 

Tal vez te interese leer: Ataques DDoS: conozca la amenaza y posibles soluciones

El botnet ingresó a dispositivos que estaban conectados a internet (IoT), y se mantuvo inactivo por un tiempo. El 21 de Octubre del 2016 fue activado para atacar al proveedor de servicios de DNS, generando graves problemas de comunicación por muchas horas. 

Muchos expertos pensaron que el ataque de Botnet Mirai se centraba solo en los dispositivos de IoT, pero posterior al evento notaron que los delincuentes habían abierto una brecha de seguridad con Mirai en los dispositivos con Linux instalado, lo que establece un fallo crítico en las aplicaciones de software libre y que de por sí, botnet Mirai es una cadena de código de software libre que permite ser copiada y editada por otros y aumentar el riesgo de proliferación en diversos equipos.

Tal vez te interese leer: Ciberamenaza en dispositivos IoT

Lo peligroso de este botnet Mirai es que se descubrió que puede centrar su ataque a los dispositivos BIG-IP, son comúnmente usado en redes del gobierno como de proveedores de servicios de Internet (ISPs), y de igual forma por bancos alrededor del mundo, siendo considerado un producto usado por al menos 48 compañías que integran la lista Fortune 50.

Botnet Gh0st Rat

Esta botnet pertenece a la categoría de los troyanos, y tiene la capacidad de acceder de forma remota al dispositivo infectado  y tomar control mismo, ejecutando comandos o clics en acciones o funciones del equipo. 

También permite capturar las inserciones desde el teclado para apoderarse de las contraseñas del equipo remoto.

En sí, el Gh0st es un software de control remoto, que utilizado por ciberpiratas dentro de un comando de una botnet, lo han convergido en una variante RAT de los troyanos.

El portal digital PC RISK, menciona que, la botnet Gh0st posee ciertas características que la distinguen de otros virus troyanos porque tiene la habilidad de añadir claves de registro para establecer su persistencia en el equipo y así sea más difícil eliminarlo, también puede ejecutar desde el shell del equipo un archivo batch de comandos y evadir la detección de antivirus usando TCP encriptadas.

Tal vez te interese leer: Las 5 prioridades del los departamentos de TI en el 2021

Características de un dispositivo infectado con un botnet

La firma Fortinet, desde su portal digital Threat intelligence insider menciona la campaña hecha por lo ciberpiratas y controladores de la botnet Mirai y de la botnet Gh0st, impulsando a crear más ataques en las zonas de vulnerabilidad de los dispositivos con IoT de consumo; ésto motivado al descuido de los usuarios en la seguridad de sus equipos conectados a la red 

Por eso Fortinet, en el boletín del Cuarto trimestre del 2020, menciona algunas características o  síntomas posibles  de un equipo vulnerado por un botnet:

• Imposibilidad para reiniciar el equipo en modo seguro.
• Imposibilidad para abrir el editor de registro de Windows.
• Imposibilidad para abrir el administrador de tareas de Windows.
• Entradas de registro modificadas o eliminadas.
• Incremento significativo del uso de recursos en disco duro.
• Incremento inexplicable del tráfico en la red.
• Intentos de conexión a direcciones IP maliciosas conocidas.
• Aparecen nuevos archivos o directorios con nombres extraños.

¿Cómo se contagia un equipo con un botnet?

Es muy fácil saber, si usted es un usuario que busca por internet y presiona clic sobre opciones o ventanas sin medir el riesgo o abre archivos de procedencia extraña. 

Hay amenazas fácilmente reconocibles en la red, y una de sus principales fuentes son los correos electrónicos de phishing.

En América Latina se ha incrementado el uso de phishing con archivos HTML adjuntos que incluyen todas las variantes de señuelos, basados en la web y que intentan cambiar la dirección del navegador web a un sitio que podría ser el vector inicial de una intrusión.

Tal vez te interese leer: 10 razones por las que las organizaciones necesitan correos seguros

Otra opción de contagio es la falta de interés por cambiar usuarios y contraseñas que algunos dispositivos IoT traen por defecto (ejemplo de router, y switches), lo que da una bienvenida a cualquier ciberdelincuente para ingresar a ese equipo, colocarle la clave que desee y bloquearle a usted sus accesos de seguridad o robarle información.

¿Cómo prevenir el ataque de una botnet?

La mejor recomendación para protegerse de las botnet sería inicialmente tomar conciencia del uso de los dispositivos conectados a internet, pero La Universidad Nacional Autónoma de México, en su revista digital de seguridad, menciona algunas recomendaciones que pueden considerarse generales para cualquier prevención de ataques de malware. Entre las principales acciones se recomienda:

• Instalar un software antivirus, cuyas características brinden protección amplia  (spam, phishing, antivirus, firewall, etc.). En este puede buscar asesoría profesional de cuál sería la solución más ideal entre los EPP y EDR existentes y que mejor se adapten a su negocio.
• Prestar atención a las actualizaciones recientes de programas que ejecuta la computadora.
• Mejorar las configuraciones de seguridad de los programas y dispositivos conectados al IoT, como son los navegadores web o cualquiera que realice una conexión a Internet, router, switches, etc.
• Evitar compartir información innecesaria en la red.
• No abrir archivos o enlaces de procedencia desconocida. 

Para concluir podemos mencionar que, como cualquier virus que ataca a un ser humano y cada vez puede aparecer una mutación del mismo más agresiva y resistente a medicamentos; en el caso de Internet seria igual, por lo cual debe estar atento ante cambios de sus equipos, comunicaciones, operaciones o volumen de tráfico de información en la red, ya que debido al fallo de vulnerabilidades en los programas de software y algunos dispositivos, se siguen haciendo de ellas, el medio perfecto para actuar de manera masiva ante un ataque con botnets.

Por estas razones mantener las redes empresariales protegidas en todos los vectores de ataque es de suma importancia para proteger el activo más valioso de toda organización: la información. Si deseas conocer más sobre nuestras soluciones en ciberseguridad da clic en el siguiente botón:

Ver soluciones en ciberseguridad