REVISTA .SEGURIDAD | 1 251 478, 1 251 477 | REVISTA BIMESTRAL

Botnets

Dentro del mundo de la computación estamos acostumbrados a escuchar términos como gusanos o virus, pero para la mayoría de las personas el escuchar la palabra botnet, no tiene mucho significado. Este artículo tiene como objetivo dar al lector un panorama de esta amenaza en la red.

Una botnet es un conjunto de computadoras o dispositivos conectados a una red, que están a disposición de un equipo central al cual se le suele llamar “Command & Control” o “C&C”. Estos equipos son controlados por una persona maliciosa cuyo objetivo es atacar redes de computadoras o servidores.

A los equipos que se encuentran a disposición del C&C se les conoce como equipos zombi, el tamaño de una botnet se determina por el número de máquinas zombi que esta llegue a tener. Se han encontrado botnets de cientos de miles de equipos.

Las botnets han empezado a jugar un papel muy importante, específicamente en el área de la seguridad en cómputo. El motivo es que este tipo de redes se ha utilizado para fines maliciosos teniendo un impacto negativo en muchas de las actividades normales de un entorno de red.

¿Para qué se usan las botnets?

Debido a la suma de recursos computacionales reunidos en una botnet, resulta muy conveniente realizar actividades en las cuales se necesite de una “organización” o distribución de los recursos para tener logros masivos. Esto se traduce en actividades como las siguientes:

  • Envío de correo basura (spam).
  • Ataques de negación de servicio distribuido (DDoS) 
  • Distribución de malware 
  • Creación de redes P2P 
  • Robo de información
  • Fraudes cibernéticos

¿Cómo funcionan las botnets?

Básicamente siguen los siguientes pasos:

  1. El equipo es infectado de alguna manera, comúnmente por medio de una infección de malware en páginas web, correo spam, archivos maliciosos, etc. 
  2. El equipo principal o C&C toma el control de la máquina por medio de bots.
  3. Siguiendo las órdenes del C&C, los equipos pueden ejecutar de manera coordinada cualquiera de las acciones antes mencionadas.

Los bots, como la mayoría del malware, desde el inicio de la infección tratan de aprovecharse de las vulnerabilidades en los programas de software de los equipos víctima. Sin embargo, una vez que han tomado el control del equipo generalmente utilizan el protocolo de comunicación IRC (Internet Relay Chat) para poder emitir las órdenes a los zombis

El IRC generalmente trabaja en los puertos 6666, 6667, 6668 y 7000 del protocolo TCP (Transmission Control Protocol), pero pueden ser configurados para comunicarse por cualquier otro puerto.

Los bots pueden estar ejecutando cualquier sistema operativo, pero como en muchos casos, los sistemas con equipos Windows comúnmente son los más afectados debido a su gran presencia mundial.

Estadisticas

En los últimos años se han identificado miles de botnets, donde cientos de ellas han causado impactos significativos. A pesar de que puede haber botnets con solo cientos de equipos zombis, se han identificado botnets de casi 2 millones de equipos.

En la Tabla1 se muestra una lista de las botnets más significativas que se han detectado durante 2009 y que fue publicada por la empresa de seguridad internacional Message Labs.

Nombre Periodo de actividades Cantidad de bots Actividades realizadas
Rustock Agosto - Septiembre 1.3 – 2 millones Aproximadamente 18% del spam mundial.
Cutwail Todo el año 1 – 1.5 millones Aproximadamente 17% del spam mundial y propagación de malware.
Bagle Finales 2009 600,000 – 800,000 Aproximadamente 16% del spam mundial.
Bobax (aka Kraken) Finales 2009 80,000 – 120,000 Aproximadamente 13% del spam mundial.
Grum Junio - Septiembre 600,000 – 800,000 En su actividad máxima, llegó a enviar aproximadamente el 20% del spam mundial.
Maazben Marzo – finales 2009 200,000 – 300,00 Aproximadamente el 2% del spam mundial.
Festi Agosto 2009 100,000 – 200,00 Envío de spam
Mega-D Todo el año 300,000 - 500,000 Spam, propagación de malware, actividades de phishing
Xarvester   500,000 – 800,000 Aproximadamente 1% del spam mundial.
Gheg Principio del año 150,000 – 200,000 Aproximadamente 0.5% del spam mundial.
Donbot Principal actividad en el primer cuarto del año. Terminó con aprox. 150,000 equipos al final del año. 800,000 – 1.2 millones Envío de spam

Tabla 1. Botnets más significativos durante el 2009

Como se puede observar en esta tabla, el número de equipos zombie en una botnet es elevado. La actividad predominante es el envío de correo spam porque representa un gran negocio para quienes los ejecutan.

¿Cómo protegerse de las botnets?

Para estar mejor protegidos contra los bots que podrían infectar a nuestro equipo y hacer que forme parte de una botnet, debemos seguir las mismas recomendaciones que generalmente se siguen para cualquier otro tipo de malware. Entre las principales actividades se encuentran:

  • Tener instalado un software de seguridad, preferentemente con características de soluciones completas (spam, phishing, antivirus, firewall, etc.)
  • Estar al pendiente de las últimas actualizaciones del software que ejecute nuestra computadora.
  • Aumentar las configuraciones de seguridad en nuestros programas como son los navegadores web o cualquiera que realice una conexión a Internet.
  • Limitar la información que compartimos en la red y los privilegios de la misma al compartirla. 
  • Evitar abrir o visualizar archivos adjuntos de remitentes desconocidos. 
  • Seguir buenas prácticas de seguridad en general.

Como conclusión podemos decir que el problema de las botnets es un problema en crecimiento, en parte debido a las grandes posibilidades en términos maliciosos que abre el tener miles de equipos a la disposición de una computadora principal, y por otro lado debido al exitoso aprovechamiento de vulnerabilidades en los programas de software que siguen haciendo de ellas el medio perfecto para actuar de manera masiva.

Referencias:

 

UNAM

[ CONTACTO ]

Se prohíbe la reproducción total o parcial
de los artículos sin la autorización por escrito de los autores

 

Hecho en México, Universidad Nacional Autónoma de México (UNAM) © Todos los derechos reservados 2017.