Miércoles 03 de Julio de 2024

BOTNET: el ejército zombi del ciberespacio

Este término proviene de la combinación de "bot" (robot) y "network" (red).

Compartir en Redes

👉🏻 ¿En qué consiste?
Una red de dispositivos conectados a Internet, infectados con malware y controlados remotamente por atacantes para realizar actividades maliciosas.
 

🧟‍♂️ Los controladores de esta “red zombi” (botmasters):

  • Controlan los dispositivos infectados enviando comandos de forma remota, sin conocimiento de sus usuarios.
  • Utilizan técnicas para mantenerse anónimos y ocultar la botnet.
  • Expanden la red agregando nuevos dispositivos infectados.

 
⚙️ Funcionamiento de una botnet

  1. Creación: el botmaster desarrolla y distribuye el malware.
  2. Infección: al instalar el malware, los dispositivos de las víctimas se infectan, convirtiéndose en “bots” dentro de la red.
  3. Control: esos bots son controlados remotamente a través de modelos centralizados (cliente-servidor) o descentralizados (P2P).
  4. Ampliación: el botmaster utiliza los equipos comprometidos para propagar el malware y expandir la botnet.
  5. Activación: la botnet se utiliza para realizar ataques o actividades maliciosas.

 
⚠️ ¿Para qué puede usarse?

  • Ataques DDoS: sobrecargar servidores para interrumpir sus servicios.
  • Spam: enviar correos electrónicos no deseados de forma masiva.
  • Criptominería: usar recursos del dispositivo infectado para minar criptomonedas sin el conocimiento del usuario.
  • Fraude publicitario: generar clics falsos en anuncios para obtener ingresos fraudulentos.
  • Robo de datos: obtener información sensible, como contraseñas y datos financieros.
  • Distribución de malware: utilizar la red para propagar software malicioso de forma rápida y masiva.

 ❗ Una botnet también puede venderse o alquilarse.
 

👀 Modelos más comunes

  • Centralizada: usa un servidor central al que todos los bots se conectan. Si el servidor se desactiva, la botnet deja de funcionar.
  • Descentralizada: la comunicación se da entre todos los dispositivos, sin un servidor central. Es más difícil de desmantelar.

 
📱💻 ¿Qué dispositivos pueden formar parte de una botnet?

  • Celulares y tablets
  • Computadoras de escritorio y portátiles
  • Routers
  • Dispositivos IoT (televisores, cámaras de seguridad, relojes, electrodomésticos, etc.)
     

🚨 ¿Cómo detectar una una infección por botnet?
Esto puede ser complicado, ya que operan en segundo plano y sin alertar al usuario. Sin embargo, existen varios indicadores que ayudar a identificar si un dispositivo está comprometido:

  • Rendimiento lento del sistema
  • Actividad de red inusual o tráfico elevado
  • Mensajes de error inesperados
  • Alertas del antivirus o firewall
  • Consumo elevado de recursos (CPU y memoria) sin razón aparente
  • Aparición de archivos desconocidos o cambios en la configuración del sistema
  • Presencia de procesos desconocidos en el administrador de tareas
  • Dificultad para instalar nuevos programas de seguridad

 
🧐 Ejemplificamos algunas botnets que impactaron significativamente en la ciberseguridad global:
🦠 Zeus: descubierto en 2007, se centró en robar información financiera y credenciales bancarias mediante keylogging y phishing. Aunque fue parcialmente desmantelado, algunas variantes siguen siendo una amenaza.
🦠 Conficker: desde 2008, infectó hasta 15 millones de dispositivos Windows mediante vulnerabilidades de red y USB. Aunque en gran medida fue controlado, sigue siendo una amenaza en redes no actualizadas.
🦠 Mirai: surgió en 2016 y se enfocó en ataques DDoS masivos dirigidos a dispositivos IoT. Algunas variantes continúan activas en la actualidad.
 

🛡 ¿Cómo podemos prevenir este tipo de ataques?

  • Mantener actualizados el antivirus y el sistema operativo
  • Usar contraseñas fuertes y activar el MFA
  • Adoptar buenas prácticas de ciberseguridad: evitar abrir correos sospechosos, no descargar archivos de fuentes desconocidas y tener precaución al instalar aplicaciones o software

     

📌 𝗦𝗜 𝗧𝗘𝗡𝗘𝗦 𝗔𝗟𝗚𝗨𝗡𝗔 𝗗𝗨𝗗𝗔 𝗢 𝗖𝗢𝗡𝗦𝗨𝗟𝗧𝗔:       
Escribinos a 📩 ciberseguridad@ba-csirt.gob.ar o por privado 💬 en nuestras redes.