👉🏻 ¿En qué consiste?
Una red de dispositivos conectados a Internet, infectados con malware y controlados remotamente por atacantes para realizar actividades maliciosas.
🧟♂️ Los controladores de esta “red zombi” (botmasters):
- Controlan los dispositivos infectados enviando comandos de forma remota, sin conocimiento de sus usuarios.
- Utilizan técnicas para mantenerse anónimos y ocultar la botnet.
- Expanden la red agregando nuevos dispositivos infectados.
⚙️ Funcionamiento de una botnet
- Creación: el botmaster desarrolla y distribuye el malware.
- Infección: al instalar el malware, los dispositivos de las víctimas se infectan, convirtiéndose en “bots” dentro de la red.
- Control: esos bots son controlados remotamente a través de modelos centralizados (cliente-servidor) o descentralizados (P2P).
- Ampliación: el botmaster utiliza los equipos comprometidos para propagar el malware y expandir la botnet.
- Activación: la botnet se utiliza para realizar ataques o actividades maliciosas.
⚠️ ¿Para qué puede usarse?
- Ataques DDoS: sobrecargar servidores para interrumpir sus servicios.
- Spam: enviar correos electrónicos no deseados de forma masiva.
- Criptominería: usar recursos del dispositivo infectado para minar criptomonedas sin el conocimiento del usuario.
- Fraude publicitario: generar clics falsos en anuncios para obtener ingresos fraudulentos.
- Robo de datos: obtener información sensible, como contraseñas y datos financieros.
- Distribución de malware: utilizar la red para propagar software malicioso de forma rápida y masiva.
❗ Una botnet también puede venderse o alquilarse.
👀 Modelos más comunes
- Centralizada: usa un servidor central al que todos los bots se conectan. Si el servidor se desactiva, la botnet deja de funcionar.
- Descentralizada: la comunicación se da entre todos los dispositivos, sin un servidor central. Es más difícil de desmantelar.
📱💻 ¿Qué dispositivos pueden formar parte de una botnet?
- Celulares y tablets
- Computadoras de escritorio y portátiles
- Routers
- Dispositivos IoT (televisores, cámaras de seguridad, relojes, electrodomésticos, etc.)
🚨 ¿Cómo detectar una una infección por botnet?
Esto puede ser complicado, ya que operan en segundo plano y sin alertar al usuario. Sin embargo, existen varios indicadores que ayudar a identificar si un dispositivo está comprometido:
- Rendimiento lento del sistema
- Actividad de red inusual o tráfico elevado
- Mensajes de error inesperados
- Alertas del antivirus o firewall
- Consumo elevado de recursos (CPU y memoria) sin razón aparente
- Aparición de archivos desconocidos o cambios en la configuración del sistema
- Presencia de procesos desconocidos en el administrador de tareas
- Dificultad para instalar nuevos programas de seguridad
🧐 Ejemplificamos algunas botnets que impactaron significativamente en la ciberseguridad global:
🦠 Zeus: descubierto en 2007, se centró en robar información financiera y credenciales bancarias mediante keylogging y phishing. Aunque fue parcialmente desmantelado, algunas variantes siguen siendo una amenaza.
🦠 Conficker: desde 2008, infectó hasta 15 millones de dispositivos Windows mediante vulnerabilidades de red y USB. Aunque en gran medida fue controlado, sigue siendo una amenaza en redes no actualizadas.
🦠 Mirai: surgió en 2016 y se enfocó en ataques DDoS masivos dirigidos a dispositivos IoT. Algunas variantes continúan activas en la actualidad.
🛡 ¿Cómo podemos prevenir este tipo de ataques?
- Mantener actualizados el antivirus y el sistema operativo
- Usar contraseñas fuertes y activar el MFA
- Adoptar buenas prácticas de ciberseguridad: evitar abrir correos sospechosos, no descargar archivos de fuentes desconocidas y tener precaución al instalar aplicaciones o software
📌 𝗦𝗜 𝗧𝗘𝗡𝗘𝗦 𝗔𝗟𝗚𝗨𝗡𝗔 𝗗𝗨𝗗𝗔 𝗢 𝗖𝗢𝗡𝗦𝗨𝗟𝗧𝗔:
Escribinos a 📩 ciberseguridad@ba-csirt.gob.ar o por privado 💬 en nuestras redes.