Servicio Antibotnet de INTECO (Comprueba si una ip forma parte de una botnet)

El Servicio AntiBotnet de la Oficina de Seguridad del Internauta de es un mecanismo que te permite conocer si existen amenazas o incidentes de ciberseguridad relacionados con redes de ordenadores comprometidos o botnets, asociados a tu conexión a Internet. Para ello se chequea tu dirección IP pública española contra nuestra base de datos del servicio AntiBotnet.

El servicio AntiBotnet nace como resultado de un proyecto de colaboración público privado puesto en marcha por los principales Prestadores de Servicios de la Sociedad de la Información, la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información (SETSI) y el Instituto Nacional de Tecnologías de la Comunicación (INTECO). Su finalidad es proporcionar la información y herramientas necesarias para la desinfección de dispositivos afectados por incidentes de ciberseguridad relacionados con redes de ordenadores zombie o botnets, contribuyendo así a un Internet más confiable y seguro para todos.

Esquema de funcionamiento

Cómo funciona el Servicio AntiBotnet

El Servicio AntiBotnet permite a un usuario hacer un chequeo de su dirección IP pública contra la base de datos de INTECO, en la cual están registrados eventos relacionados con botnets para el rango de direcciones IP españolas.

La información de nuestra base de datos proviene de diversos feeds, tanto de fuentes internas como de otros CSIRTs y compañías privadas con las que colaboramos, los cuales son gestionados con un SIEM.
Nuestro equipo de investigación analiza dichos eventos (detectados a través de sinkholes, sondas e IDS), clasificando el tipo de botnet asociado a dichos eventos y asignando una criticidad a cada uno de ellos. Esto, además de alimentar el Servicio AntiBotnet, nos permite generar inteligencia y estadísticas acerca de la incidencia de botnets en nuestro país.

Al utilizar el servicio, se chequea la dirección IP pública del usuario contra la lista de direcciones IP de la base de datos, y en caso de detectar un positivo, se informa al usuario de qué amenaza o amenazas se han registrado para dicha dirección IP en las últimas horas (de forma que se minimizan los falsos positivos para las direcciones IP dinámicas), así como una recomendación de cómo actuar ante ellas, o bien proporcionando cleaners, o algún método especifico de desinfección.

Lo primero que debes saber es ¿Qué es una botnet? ¿Qué es una botnet o una red zombi de ordenadores?

¿Últimamente has notado que tu ordenador va más lento de lo normal, el ventilador hace mucho ruido aún cuando no lo estás utilizando y algunas aplicaciones han dejado de funcionar correctamente? Estos síntomas podrían ser debidos a que tu ordenador se ha convertido en un pc “zombi”. ¿Eso qué significa? Que hay alguien, aparte de ti, que está controlando tu ordenador sin que seas consciente de ello.

Pero, ¿cómo tu ordenador se ha convertido en un zombi? Se ha infectado con un tipo de virus capaz de controlar tu ordenador de forma remota. Esto quiere decir que alguien, sin estar físicamente delante de tu ordenador, y con los conocimientos técnicos suficientes, puede manejarlo a su antojo. Pero eso no es todo, si tu ordenador es un zombi, estará formando parte de una red zombi de ordenadores, más conocido por el término anglosajón botnet, que no es más que un gran número de ordenadores zombi, infectados con el mismo tipo de virus, que están controlados por una misma persona u organización criminal.

• Qué es una botnet o una red zombi de ordenadores
• Mis primeros pasos para convertirme en un internauta seguro
• Antivirus siempre activados y actualizados
• Cómo actualizar el navegador
• Activando las actualizaciones automáticas en Windows 7 y Windows 8
• Desinfecta tu ordenador

La amenaza de las botnet

Las botnet son una de las amenazas informáticas con más auge y más peligrosidad a día de hoy, por varias razones:

• Rentabilidad: Comparadas con otros tipos de malware, resultan mucho más rentables para un criminal, ya que les permite vender una gran variedad de servicios ilícitos a demanda, como pueden ser ataques DDoS, servicios de spam, relays para actividades ilegales (utilizandolos como proxies, como si de una red TOR se tratase), y un largo etcétera.
• Gran capacidad: Una botnet de gran tamaño ofrece a sus «bot herders» un poder de ataque electrónico sustancioso, hasta el punto que podríamos considerarlo un arma.
• Acceso a datos confidenciales: Permite robar información sensible de una gran cantidad de usuarios infectados, especialmente información bancaria o contraseñas, las cuales pueden utilizar para sí mismos o vender a terceros.
• Pivotaje: Pueden ser utilizadas como plataformas desde donde seguir infectando a otros equipos, o realizar intrusiones, lo cual las hace muy versátiles.
• Difíciles de rastrear: Un proceso de rastreo poco cuidadoso alerta a sus operadores, dándoles la oportunidad de cambiar el comportamiento de su red en muy poco tiempo y desarrollar contramedidas para las técnicas utilizadas en su detección.