Dentro del mundo de la computación estamos acostumbrados a escuchar términos como gusanos o virus, pero para la mayoría de las personas el escuchar la palabra botnet, no tiene mucho significado. Este artículo tiene como objetivo dar al lector un panorama de esta amenaza en la red.
Una botnet es un conjunto de computadoras o dispositivos conectados a una red, que están a disposición de un equipo central al cual se le suele llamar “Command & Control” o “C&C”. Estos equipos son controlados por una persona maliciosa cuyo objetivo es atacar redes de computadoras o servidores.
A los equipos que se encuentran a disposición del C&C se les conoce como equipos zombi, el tamaño de una botnet se determina por el número de máquinas zombi que esta llegue a tener. Se han encontrado botnets de cientos de miles de equipos.
Las botnets han empezado a jugar un papel muy importante, específicamente en el área de la seguridad en cómputo. El motivo es que este tipo de redes se ha utilizado para fines maliciosos teniendo un impacto negativo en muchas de las actividades normales de un entorno de red.
¿Para qué se usan las botnets?
Debido a la suma de recursos computacionales reunidos en una botnet, resulta muy conveniente realizar actividades en las cuales se necesite de una “organización” o distribución de los recursos para tener logros masivos. Esto se traduce en actividades como las siguientes:
- Envío de correo basura (spam).
- Ataques de negación de servicio distribuido (DDoS)
- Distribución de malware
- Creación de redes P2P
- Robo de información
- Fraudes cibernéticos
¿Cómo funcionan las botnets?
Básicamente siguen los siguientes pasos:
- El equipo es infectado de alguna manera, comúnmente por medio de una infección de malware en páginas web, correo spam, archivos maliciosos, etc.
- El equipo principal o C&C toma el control de la máquina por medio de bots.
- Siguiendo las órdenes del C&C, los equipos pueden ejecutar de manera coordinada cualquiera de las acciones antes mencionadas.
Los bots, como la mayoría del malware, desde el inicio de la infección tratan de aprovecharse de las vulnerabilidades en los programas de software de los equipos víctima. Sin embargo, una vez que han tomado el control del equipo generalmente utilizan el protocolo de comunicación IRC (Internet Relay Chat) para poder emitir las órdenes a los zombis
El IRC generalmente trabaja en los puertos 6666, 6667, 6668 y 7000 del protocolo TCP (Transmission Control Protocol), pero pueden ser configurados para comunicarse por cualquier otro puerto.
Los bots pueden estar ejecutando cualquier sistema operativo, pero como en muchos casos, los sistemas con equipos Windows comúnmente son los más afectados debido a su gran presencia mundial.
Estadisticas
En los últimos años se han identificado miles de botnets, donde cientos de ellas han causado impactos significativos. A pesar de que puede haber botnets con solo cientos de equipos zombis, se han identificado botnets de casi 2 millones de equipos.
En la Tabla1 se muestra una lista de las botnets más significativas que se han detectado durante 2009 y que fue publicada por la empresa de seguridad internacional Message Labs.
Nombre | Periodo de actividades | Cantidad de bots | Actividades realizadas |
---|---|---|---|
Rustock | Agosto - Septiembre | 1.3 – 2 millones | Aproximadamente 18% del spam mundial. |
Cutwail | Todo el año | 1 – 1.5 millones | Aproximadamente 17% del spam mundial y propagación de malware. |
Bagle | Finales 2009 | 600,000 – 800,000 | Aproximadamente 16% del spam mundial. |
Bobax (aka Kraken) | Finales 2009 | 80,000 – 120,000 | Aproximadamente 13% del spam mundial. |
Grum | Junio - Septiembre | 600,000 – 800,000 | En su actividad máxima, llegó a enviar aproximadamente el 20% del spam mundial. |
Maazben | Marzo – finales 2009 | 200,000 – 300,00 | Aproximadamente el 2% del spam mundial. |
Festi | Agosto 2009 | 100,000 – 200,00 | Envío de spam |
Mega-D | Todo el año | 300,000 - 500,000 | Spam, propagación de malware, actividades de phishing |
Xarvester | 500,000 – 800,000 | Aproximadamente 1% del spam mundial. | |
Gheg | Principio del año | 150,000 – 200,000 | Aproximadamente 0.5% del spam mundial. |
Donbot | Principal actividad en el primer cuarto del año. Terminó con aprox. 150,000 equipos al final del año. | 800,000 – 1.2 millones | Envío de spam |
Tabla 1. Botnets más significativos durante el 2009
Como se puede observar en esta tabla, el número de equipos zombie en una botnet es elevado. La actividad predominante es el envío de correo spam porque representa un gran negocio para quienes los ejecutan.
¿Cómo protegerse de las botnets?
Para estar mejor protegidos contra los bots que podrían infectar a nuestro equipo y hacer que forme parte de una botnet, debemos seguir las mismas recomendaciones que generalmente se siguen para cualquier otro tipo de malware. Entre las principales actividades se encuentran:
- Tener instalado un software de seguridad, preferentemente con características de soluciones completas (spam, phishing, antivirus, firewall, etc.)
- Estar al pendiente de las últimas actualizaciones del software que ejecute nuestra computadora.
- Aumentar las configuraciones de seguridad en nuestros programas como son los navegadores web o cualquiera que realice una conexión a Internet.
- Limitar la información que compartimos en la red y los privilegios de la misma al compartirla.
- Evitar abrir o visualizar archivos adjuntos de remitentes desconocidos.
- Seguir buenas prácticas de seguridad en general.
Como conclusión podemos decir que el problema de las botnets es un problema en crecimiento, en parte debido a las grandes posibilidades en términos maliciosos que abre el tener miles de equipos a la disposición de una computadora principal, y por otro lado debido al exitoso aprovechamiento de vulnerabilidades en los programas de software que siguen haciendo de ellas el medio perfecto para actuar de manera masiva.
Referencias:
- http://www.honeynet.org/papers/bots
- http://www.net-security.org/secworld.php?id=8599
- http://www.symantec.com/es/mx/norton/theme.jsp?themeid=botnet
- http://www.consumer.es/web/es/tecnologia/internet/2009/07/20/186416.php