Los botnets van en aumento y son difíciles de detectar y mitigar. Te explicamos cómo funcionan y cómo detenerlos.
Los proveedores de servicios de Internet (ISP) y las empresas están bajo la amenaza constante de los ataques distribuidos de denegación de servicio (DDoS), pero pocos son tan dañinos como las redes de bots de ruta directa (abreviatura de «redes de robots»). Son increíblemente eficaces porque, a diferencia de un ataque de malware típico, una red de bots puede tener miles o incluso millones de bots dirigidos a dispositivos conectados a la red, lo que lleva a cortes de sitios web o a una situación de rehenes diseñada para pedir un rescate.
En NETSCOUT hemos visto un dramático aumento de botnets desde 2021. Algunas se han mitigado con éxito gracias a los esfuerzos coordinados de los investigadores de seguridad y las fuerzas de seguridad, mientras que muchas siguen activas hoy en día.
¿Cómo funcionan los botnets?
Los botnets son muy difíciles de detener porque se aprovechan de las vulnerabilidades de la red, no son fáciles de detectar y pueden permanecer activos durante años o incluso alquilarse o venderse a otros delincuentes. Están controladas por servidores de mando y control (C&C) que envían instrucciones a los ordenadores zombi (bots) de su red de bots, por lo que puede haber millones de frentes de ataque.
Una vez establecidos los servidores de C&C, los ciberdelincuentes distribuyen software malicioso -o malware- que convierte ordenadores normales en bots para que realicen tareas automatizadas a través de Internet sin que el usuario legítimo lo sepa. Una vez establecida una red de ordenadores infectados, los delincuentes los dirigen con los servidores de C&C con gran efecto. Los objetivos más populares de las redes de bots son las instituciones financieras, los hospitales, las agencias gubernamentales, las universidades, los contratistas de defensa y los particulares.
Los botnets se utilizan en ataques DDoS, distribución de malware, correos electrónicos de phishing, spambots, servicios proxy y otras actividades delictivas. También pueden utilizarse para recabar información sobre adversarios geopolíticos o para atacar infraestructuras críticas.
Los botnets no pueden esconderse mucho tiempo
Aunque hay varias redes de bots que han conseguido causar daños increíbles, muchas acaban siendo detectadas y desmanteladas. Echemos un vistazo más de cerca a algunas de esas historias de éxito.
Mariposa fue diseñado para robar números de tarjetas de crédito y contraseñas de servicios financieros mediante «malvertising» o anuncios digitales. A través de afiliados criminales en un esquema de «pago por instalación», en 2008 este malware comenzó a propagarse a 12,7 millones de ordenadores de 190 países. Era una de las mayores redes de bots conocidas hasta entonces. Las fuerzas de seguridad consiguieron desbaratar la operación y, más tarde, se consideró responsable a un foro de piratas informáticos de mayor envergadura, con más de 70 detenciones. Tras una investigación de dos años, un esloveno fue declarado culpable de la creación de la botnet y condenado a casi cinco años de cárcel.
En 2010, la red de bots Grum, que llegó a ser la mayor del mundo, enviaba hasta 40.000 millones de correos electrónicos de spam farmacéutico al mes, lo que suponía el 26% del spam de todo el planeta. Las fuerzas de seguridad de los Países Bajos, Panamá, Rusia y Ucrania descubrieron los centros de C&C de Grum, y la red de bots fue desmantelada en 2012.
En 2017, la Oficina Federal de Investigación (FBI) unió fuerzas con el Departamento de Seguridad Nacional de Estados Unidos para investigar el fraude masivo de publicidad en línea perpetrado por la red de Bots 3ve. Esto dio lugar a un importante desmantelamiento un año más tarde que condujo a la detención y acusación de varias personas de Rusia y Kazajistán.
Más recientemente, en 2022, el Departamento de Justicia de EE.UU. logró cerrar una importante red de bots rusa llamada RSocks, que se hacía pasar por un servicio proxy y contaba con millones de dispositivos infectados en todo el mundo, como routers, dispositivos de transmisión de vídeo, Android e incluso mandos de garaje inteligentes. El FBI aún no ha dado detalles sobre quién estaba detrás de este ataque, pero con la ayuda de las autoridades europeas, el sitio web de RSocks fue incautado y ahora muestra un banner del FBI.
¿Cómo puedo proteger mi red?
Hay algunas cosas que puede hacer para mitigar o prevenir los ataques de botnets, como mantener actualizados los sistemas y el software de los dispositivos, realizar análisis periódicos de malware, vigilar de cerca la actividad de la red, utilizar contraseñas complejas, implantar la autenticación multifactor y comprobar si se han producido varios intentos fallidos de inicio de sesión.
También es aconsejable utilizar una cuenta de no administrador siempre que sea posible, tener cuidado al hacer clic en enlaces o abrir archivos adjuntos de correo electrónico, limitar el uso compartido de archivos y rechazar las ventanas emergentes que solicitan la descarga de software. Pero incluso estos esfuerzos pueden resultar ineficaces contra adversarios decididos y su ejército de bots distribuidos por todo el mundo, ya que basta un clic equivocado para descargar malware procedente de un compañero de trabajo, amigo o familiar de confianza que, inocentemente, no es consciente de lo que está propagando.
Artículo original: Successful Global Botnet Takedowns
Autor: Netscout
Adaptación: Ayscom
