¿Cómo funciona el servicio de notificación de códigos?
El Servicio AntiBotnet es un mecanismo que te permite conocer si existen amenazas o incidentes de ciberseguridad relacionados con redes de ordenadores comprometidos o botnets, u otras amenazas asociados a tu conexión a Internet.
El Servicio no identifica dispositivos infectados , únicamente indica que algún dispositivo de la red de la empresa puede estar comprometido por una botnet. En caso de que el resultado sea positivo, te proporciona información relacionada con la amenaza, además para ayudarte a identificarlo como por ejemplo, el timestamp o sello de tiempo de la evidencia o el sistema operativo afectado (sello digital certificado con fecha y hora que permite garantizar que la evidencia se ha generado en el instante indicado). También se ofrecen enlaces a herramientas de limpieza para ayudar en la desinfección.
Lo primero que debes saber es ¿Qué es una botnet?
Una botnet es capaz de controlar muchos ordenadores o dispositivos de usuarios de forma remota sin su consentimiento para propagar malware, generar spam y cometer diversidad de delitos y fraudes en Internet.
Si últimamente has notado que tu ordenador va más lento de lo normal, el ventilador hace mucho ruido aún cuando no lo estás utilizando y algunas aplicaciones han dejado de funcionar correctamente, estos síntomas podrían ser debidos a que tu ordenador se ha convertido en un pc “zombi”. Eso significa que hay alguien, aparte de ti, que está controlando tu ordenador sin que seas consciente de ello.
Es posible que tu ordenador se haya infectado con un tipo de virus capaz de controlar tu ordenador de forma remota. Esto quiere decir que alguien, sin estar físicamente delante de tu ordenador, y con los conocimientos técnicos suficientes, puede manejarlo a su antojo. Pero eso no es todo, si tu ordenador es un zombi, estará formando parte de una red zombi de ordenadores, más conocido por el término anglosajón botnet, que no es más que un gran número de ordenadores zombi, infectados con el mismo tipo de virus, que están controlados por una misma persona u organización criminal.
¿Por qué he recibido una notificación de mi operador de servicios de Internet?
Si tu operador de servicios de Internet te ha enviado un código de incidente, significa que algún dispositivo que haya compartido tu conexión a Internet en la fecha indicada, puede estar infectado por un programa malicioso o malware relacionado con una botnet u otras amenazas.
El formato de la notificación recibida es similar a la siguiente:
Desde: Equipo de Seguridad <nemesys@telefonica.es>
Asunto: Notificación de Ciberseguridad en colaboración con INCIBE. [Nemesys#**READCTED**]
Hola,
Nos ponemos en contacto contigo desde el equipo de ciberseguridad de Telefónica para informarte de que hemos recibido un aviso de seguridad por parte de Centro de Respuesta a Incidentes del Instituto Nacional de Ciberseguridad (INCIBE-CERT). Nos han comunicado que alguno de los equipos conectados a tu red de Internet asociada a la línea 999999999 podría estar infectado por un programa malicioso relacionado con redes de ordenadores zombie (Botnet) u otras amenazas.
Según este aviso, con fecha 2025-04-06T00:34:38.000+0200 y con la dirección IP 81.36.80.X, asociada en ese momento a tu conexión a Internet, algún equipo o dispositivo habría tenido comunicación con la red de ordenadores zombie Amadey, y por lo tanto se pueden estar realizando actividades maliciosas sin tu conocimiento, que podrían afectarte o afectar a terceros.
¿Cómo resolver este incidente?
Nuestra recomendación es desinfectar tus equipos. Para obtener más información sobre esta amenaza y conocer los pasos para la desinfección de tus dispositivos, puedes realizar lo siguiente:
- Accede a la sección sobre el Servicio Antibotnet de la web del Instituto Nacional de Ciberseguridad (INCIBE): https://www.incibe.es/servicio-antibotnet
- Introduce el siguiente código en la casilla que figura “Consulta tu código”: 34R8DSEP
Información sobre la iniciativa AntiBotnet
La iniciativa AntiBotnet es un proyecto de colaboración público-privada puesto en marcha en 2014 por los principales prestadores de servicios de la sociedad de la información, la Secretaría de Estado para el Avance Digital e INCIBE.
Su finalidad es proporcionar la información y herramientas necesarias para la desinfección de dispositivos afectados por incidentes de ciberseguridad relacionados con redes de ordenadores zombie (Botnet) y otras amenazas, contribuyendo así a un Internet más confiable y seguro para todos.
Te recordamos que aquí tienes toda la información referente al Servicio Antibotnet.
Para obtener ayuda adicional o resolver dudas relativas a este servicio puedes contactar de forma gratuita y confidencial con el servicio Tu Ayuda en Ciberseguridad de INCIBE, a través del teléfono 017, de Whatsapp en el 900 116 117, de Telegram con @INCIBE017 o en el formulario web.
Contenido del mensaje original recibido de INCIBE
Puerto origen="50188", IP destino="188.40.187.X", URL destino="", IP origen="81.36.80.X", Codigo desinfeccion="34R8DSEP", Malware="Amadey", HTTP referer="", ASN IP origen="3352", Timestamp(GMT +1)="2025-04-06 00:34:38", Puerto destino="80", Protocolo="TCP"
Equipo de Seguridad
¿Qué es y para qué sirve el código de incidente que he recibido?
El código es una codificación de la amenaza o nombre de la botnet y sirve, por lo tanto, para obtener información sobre la misma y pautas o herramientas que te ayudarán en la desinfección.
¿Cómo sabe mi operador de servicios de Internet que puedo estar infectado?
INCIBE-CERT operado por INCIBE notifica a los operadores de servicios de Internet de los incidentes de seguridad relacionados con redes botnet u otras amenazas que afectan a sus redes. Esta notificación se realiza con el objetivo de mejorar la seguridad de la red y bajo un marco de colaboración público-privada, impulsado por las directrices marcadas en la Medida 5 del Plan de Confianza en el Ámbito Digital y en cumplimiento con el espíritu de lo dispuesto en la Disposición adicional novena de la Ley 34/2002, de 11 de julio de 2014. Gracias a esta colaboración, el operador de servicios de Internet puede llegar a identificar al usuario titular de la conexión afectada e informarle del incidente y de las acciones que deben llevar a cabo.
¿Qué es la dirección IP pública y por qué se utiliza para saber si estoy afectado?
Simplificando al ámbito doméstico más común, la dirección IP pública es la dirección que identifica a los dispositivos de nuestra red cuando navegamos por Internet y que normalmente está asociada al router que proporciona la conexión. Esta dirección es asignada por nuestro operador de servicios de Internet y puede ser fija (siempre tenemos la misma) o dinámica, es decir, puede cambiar a lo largo del tiempo, siendo esto algo transparente para el usuario final. Decimos que es pública porque al navegar por Internet este dato es conocido o proporcionado a aquellos sitios o servicios que utilicemos, visitemos o por los que naveguemos. Según esto, si algún ordenador o dispositivo de tu red está infectado por una botnet, el equipo servidor desde el que se esté controlando dicha red maliciosa en este momento asociará tu ordenador con dicha dirección IP.
¿Cómo sabe INCIBE que mi dirección IP pública está relacionada con estas redes de ordenadores controlados?
Las entidades públicas y privadas que trabajamos por la seguridad en Internet tratamos de detectar, siempre en el marco de la legalidad vigente, estas redes maliciosas para así mitigar sus efectos, luchar contra ellas y ayudar a desinfectar los equipos de los usuarios finales afectados. Para ello, tratamos de detectar los servidores que controlan a los miles de ordenadores infectados. Gracias a este trabajo y en colaboración con las Fuerzas y Cuerpos de Seguridad y entidades a nivel internacional, se puede tomar control de estos servidores para desarticular la botnet o parte de ella. Con este control, los equipos de seguridad podemos identificar las direcciones IP públicas que actúan como bots o zombis, es decir, las direcciones IP de los dispositivos infectados que se están conectando, sin saberlo, a estos servidores maliciosos. Con esta información podemos llegar a prestar servicios como este.
¿Qué operadores de servicios de Internet participan en la iniciativa?
Actualmente se está llevando a cabo con la colaboración de Telefónica.
¿Cuál es el alcance del servicio?
En el caso del servicio mediante notificación por parte del operador, se verán beneficiados del mismo los usuarios que pertenezcan a los operadores de servicios de Internet colaboradores con esta iniciativa.
¿Cómo puedo saber cuál es el dispositivo afectado o infectado?
Nuestro servicio no identifica dispositivos de usuario infectados. Si has recibido un código de incidente, el dispositivo afectado será alguno de los que estuvieron conectados a Internet en tu red en la fecha en la que tu operador de servicios de Internet te ha indicado que se detectó el incidente. Te ofreceremos información relacionada con la amenaza para ayudarte a identificarlo (como puede ser el sistema operativo al que afecta) y herramientas de limpieza que podrán ayudarte en la desinfección.
¿Existen falsos positivos o negativos?
No. Aunque las direcciones IP públicas que se asignan a las conexiones a Internet pueden cambiar, el operador de servicios de Internet siempre puede identificar la IP pública que tiene asociada cada usuario/cliente a su conexión a Internet en un momento determinado del tiempo. Por eso, en este caso, no existen los falsos positivos.
¿Por qué he recibido varias notificaciones de mi operador de servicios de Internet distintas o la misma varias veces?
Puede ser que asociado a tu conexión se hayan identificado incidentes de botnets distintas u otras amenazas. Puede tratarse del mismo equipo o equipos diferentes dentro de tu red. Si los incidentes se siguen detectando, podrás recibir la misma notificación cada semana.
¿Por qué si me he desinfectado he vuelto a recibir otra notificación?
Puede que no hayas identificado y/o desinfectado el dispositivo afectado correctamente. También puede ser que lo hayas desinfectado correctamente, pero que la segunda notificación que recibas corresponda al incidente detectado en el intervalo entre la primera notificación y el momento de la desinfección, ya que la notificación no se envía en tiempo real.
El Servicio mantiene los registros de infecciones durante 3 horas. Esto significa que, aunque se hayan seguido los pasos recomendados para la desinfección, el servicio podrá tardar un rato en indicar que ya no hay incidentes relacionados con la conexión o dirección IP.
En cualquier caso, si has desinfectado todos tus dispositivos mediante los pasos que te hemos indicado, y has vuelto a recibir una notificación por parte de tu operador de servicios de Internet, con fecha de detección posterior a la de desinfección, puedes ponerte en contacto con nosotros llamando a 017 o escribiéndonos a través del resto de canales disponibles:
Este Servicio no sustituye en ningún caso a los sistemas antivirus o antimalware.
El esquema de funcionamiento del servicio es el siguiente:
