BOTNETS

 

¿QUE ES UNA BOTNET?

 

 

Una botnet es un grupo de equipos conectados por un  malware y controlados por el creador de la botnet, que se conoce como pastor de robots o propietario de robots. Los pastores de robots o equipos zombi infectan los equipos para crear botnets, que controlan en conjunto para lanzar ciberataques a gran escala, enviar spam y llevar a cabo operaciones de phishing.

El vocablo botnet procede de «robot network», que significa red de robots, y los equipos que componen una botnet se llaman  bots, robots o equipos zombi. Algunas botnets están formadas por cientos o hasta miles de equipos, lo cual las convierte en una de las amenazas actuales más peligrosas.  

¿Cómo funcionan las botnets? 

 Todos los dispositivos de una botnet están unidos a través de Internet al pastor de robots, quien controla todos los equipos y los utiliza para cometer una gran variedad de ciberdelitos. Casi cualquier dispositivo con conexión a Internet puede formar parte de una red de este tipo, desde ordenadores y routers hasta  dispositivos inteligentes  conectados al Internet de las cosas (IOT) , como televisores y termostatos. Sin ir más lejos, la botnet Mirai de 2016 afectó, principalmente, a dispositivos IoT.

¿Cómo hacen los atacantes para controlar las botnets?

 

El malware en un dispositivo infectado permanece en hibernación hasta que el hacker le envía comandos. El autor de un DDoS se suele conocer como el “bootmaster”, y el servidor central desde el cual el atacante controla todos los dispositivos y les envía mensajes se llama el centro de comando y control o “C y C”. El malware se comunica con el “C y C” mediante diversos protocolos que suelen estar permitidos por los cortafuegos, de modo de que los mensajes no se bloqueen. Por ejemplo, no es raro que el malware de botnet se comunique usando el protocolo HTTP, porque la transmisión por HTTP es común en redes caseras o profesionales y no es bloqueado por cortafuegos empresariales.

Como las botnets son tan eficaces, los escritores de malware monetizan sus esfuerzos ofreciendo DDoS-como-servicio (En inglés, “DDoS-as-a-service” o DDaaS). Diversos dispositivos infectados con malware de botnet se conectan a la misma central de C y C, y los autores del malware ofrecen planes de suscripción en los que otras personas pueden iniciar sesión en el servidor de C y C para enviar sus propios comandos.

Los creadores del malware suelen codificar alternativas en las aplicaciones de C y C. Si una C y C se desactiva, otra ubicación de C y C se incluye como opción válida. Al crear redundancias en el malware, un atacante puede evitar el perder todos los dispositivos infectados después de que el servicio de hosting cancele su cuenta.

En otras estrategias, un atacante utiliza un modelo peer-to-peer (P2P) en el que todos los dispositivos infectados actúan como un C y C. Si tan solo uno de los ordenadores en el P2P falla, todos los demás dispositivos se pueden usar para enviar comandos a los demás. Las botnets P2P son mucho más difíciles de desactivar, así que suelen ser el método preferido de comunicación entre dispositivos infectados.