Qué es una botnet y cómo saber si tu empresa forma parte de ella
Cada cierto tiempo podemos ver en medios especializados, incluso a veces en noticias de última hora, como la página web de una gran compañía internacional ha sufrido un ataque que la ha dejado inoperativa durante horas. Este tipo de ataques en muchos casos se realizan a través de lo que se conoce como una red botnet. Estas redes de dispositivos infectados no solo se utilizan para impedir el correcto funcionamiento de los servicios web, sino que pueden realizar otras muchas acciones maliciosas dirigidas tanto a grandes organizaciones, como a pequeñas empresas.
Pero, ¿qué es una botnet?
Una botnet está formada por un conjunto, generalmente elevado, de dispositivos conectados a Internet que han sido infectados con malware y que reciben órdenes de forma remota por parte de los ciberdelincuentes.
Los dispositivos infectados que forman parte de una botnet también se conocen como bots o zombis. Cualquier equipo que tenga conexión a Internet como ordenadores, servidores, routers, dispositivos IoT, etc., puede infectarse y llegar a formar parte de una botnet.
Las diferentes tareas que realizan los equipos infectados son dirigidas generalmente desde un servidor central también conocido como C&C (por sus siglas en inglés Command & Control). Existe otra variedad denominada botnets P2P que carecen de ese único servidor C&C debido a la descentralización que proporcionan las redes P2P.
¿Cómo se infectan los dispositivos?
Los dispositivos se pueden infectar a través de distintos métodos, según el tipo de dispositivo que pretenden infectar. Los métodos de infección (también denominados vectores de ataque) más utilizados son:
- Troyanos. Este método suele afectar a dispositivos de usuario como ordenadores, smartphones o tablets. El ciberdelincuente, utilizando técnicas de ingeniería social consigue que la víctima descargue y ejecute un archivo malicioso infectado con malware. El troyano puede esconderse en diferentes sitios, como documentos adjuntos en correos electrónicos, ficheros enviados en servicios de mensajería instantánea o redes sociales, sitios web comprometidos, webs de descarga no oficiales, etc.
- Vulnerabilidades no parcheadas. Este vector de ataque puede afectar a cualquier dispositivo, ya que todos ellos pueden contar con vulnerabilidades no parcheadas que pueden llegar a ser explotadas por los ciberdelincuentes.
- Configuraciones inseguras. Algunos dispositivos como routers y sobre todo, los que forman parte del IoT suelen contar con configuraciones por defecto poco seguras, así como, con contraseñas débiles. Estas configuraciones débiles son usadas por los ciberdelincuentes para obtener acceso al dispositivo y convertirlo en parte de la botnet.
¿Cuál es el objetivo de una botnet?
Este tipo de red generalmente tiene como último fin el beneficio económico de los ciberdelincuentes que la han creado. Para lograrlo pueden utilizar la botnet de diferentes maneras:
- Ataques de denegación de servicio distribuido o DDoS. En este tipo de ataques, el objetivo de los ciberdelincuentes es impedir el correcto funcionamiento de un servicio, como puede ser la página web de una organización con el consiguiente daño de su imagen y reputación. Para conseguirlo ordenan a un gran número de dispositivos zombis que accedan a la vez al mismo servicio, haciendo que este se sature llegando incluso a bloquearse e impidiendo que los usuarios puedan utilizarlo. El funcionamiento es similar al de una autopista, cuando el tráfico es el habitual, los vehículos pueden desplazarse con normalidad, pero cuando el trafico aumenta excesivamente se producen retenciones, llegando incluso a tener que detener el vehículo.
- Envío de spam. Los ciberdelincuentes utilizan los equipos infectados para enviar correos electrónicos fraudulentos de forma masiva, que en muchos casos incluyen estafas como enlaces a páginas web de tipo phishing o malware.
- Fraudes publicitarios. Normalmente, los servicios de anuncios en Internet pagan a los administradores de las webs donde figuran en función de varios factores, entre los que se incluye la visualización del anuncio y el hacer clic en el mismo. Los ciberdelincuentes ordenan a los bots que visiten sus propios sitios web y hagan clic en los anuncios para generar beneficios económicos de manera fraudulenta.
- Venta y alquiler de la botnet. Las botnet en algunos casos son alquiladas por usuarios que desean realizar algún tipo de actividad delictiva, como perpetrar ataques de denegación de servicio. También pueden ser vendidas en porciones para que los nuevos administradores hagan con ella a través de los dispositivos infectados, cualquier tipo de actividad fraudulenta.
- Minado de criptomonedas. Las criptomonedas se han convertido en un activo de gran valor, los ciberdelincuentes pueden utilizar la capacidad de cómputo conjunta de la botnet para minar criptomonedas sin que los recursos utilizados para ello sean suyos, aumentando de esta forma los beneficios.
- Robo de información. La información personal como pueden ser las credenciales de acceso o datos bancarios, es valiosa en sí misma, por ello los ciberdelincuentes intentan conseguirla mediante campañas de phishing lanzadas desde botnets para posteriormente venderla al mejor postor.
¿Cómo saber si mi empresa forma parte de una botnet?
Para comprobar si en tu red hay algún zombi puedes utilizar el Servicio Antibotnet. Se trata de una utilidad gratuita que permite comprobar si algún dispositivo de la empresa se encuentra relacionado con una botnet.
Esta utilidad verifica si la dirección IP pública de la empresa está asociada a una red botnet. En caso de ser así, mostrará información de utilidad para identificar el dispositivo infectado. Además, facilita diferentes herramientas que servirán para su desinfección.
Las botnets, junto con las actividades ilegales que realizan, suponen un gran riesgo para cualquier empresa. En caso de pertenecer a una de ellas estarían en peligro la integridad y confidencialidad de la información que se maneja, los recursos y la imagen del negocio. Todas las empresas, independientemente de su tamaño, deben estar libres de esta amenaza y en caso de haber sido infectados, ser conscientes de la situación y saber cómo mitigarlo. No tengas zombies en tu empresa: ¡utiliza el Servicio Antibotnet!