Una botnet, derivada de la combinación de "bot" (abreviatura de "robot") y "red", es esencialmente una red de dispositivos comprometidos con malware bajo el control de los ciberdelincuentes. Las computadoras infectadas, conocidas como "bots" o "computadoras zombis", son manipuladas de forma remota por el creador de la botnet, también llamado "pastor de bots".

Además, entre las funcionalidades maliciosas de la botnet, destaca la capacidad de infectar otros dispositivos, ampliando su presencia en la red. Esta característica permite que la botnet se propague más ampliamente, comprometiendo una variedad más amplia de sistemas y dispositivos conectados.

Al infiltrarse en nuevos equipos, la botnet fortalece su control sobre una red más amplia, lo que aumenta su capacidad para llevar a cabo ataques coordinados y dañinos. Esta estrategia de expansión es preocupante ya que hace que la mitigación de amenazas sea más compleja, requiriendo medidas preventivas integrales para proteger la integridad de toda la infraestructura digital.

¿Para qué sirve una botnet?

La particularidad de este tipo de código malicioso es que permite a un atacante ejecutar instrucciones realizando acciones en muchos dispositivos simultáneamente.

La arquitectura de una botnet consta de dos elementos principales: el panel de control, donde se coordinan las acciones, y la conexión con el centro de control del ciberdelincuente. A diferencia de un troyano, una botnet no solo tiene un panel de control, sino que también realiza actividades maliciosas como robar archivos, descargas no autorizadas, ejecutar procesos no deseados en los dispositivos afectados y capturar datos del teclado a través de keyloggers.

Tipos de dispositivos que pueden convertirse en una botnet

Las botnets no hacen distinciones cuando se trata de dispositivos de reclutamiento. Cualquier dispositivo conectado a Internet puede convertirse en un "bot" e incorporarse a una botnet. A continuación, exploramos algunos de los tipos de dispositivos a los que suelen apuntar los ciberdelincuentes para conformar estas redes maliciosas.

Computadoras y portátiles

Los dispositivos tradicionales, como los ordenadores personales y los portátiles, son los principales objetivos de los ciberdelincuentes. Ofrecen una gran potencia de procesamiento y, a menudo, se explotan para llevar a cabo actividades maliciosas como ataques de denegación de servicio (DDoS) o minería de criptomonedas.

Routers

Los routers son elementos clave en las redes domésticas y empresariales. Cuando se ven comprometidos, se pueden utilizar para dirigir el tráfico de red, lo que facilita la redirección o los ataques de interceptación de datos.

Dispositivos de Internet de las cosas (IoT)

Los televisores, termostatos, cámaras de seguridad y otros dispositivos IoT suelen ser vulnerables debido a una seguridad inadecuada. Los ciberdelincuentes aprovechan estas debilidades para incrustar estos dispositivos en botnets. Un ejemplo notorio fue el ataque de la botnet Mirai en 2016, que comprometió principalmente dispositivos IoT.

Teléfonos inteligentes y tabletas

Los dispositivos móviles, como los teléfonos inteligentes y las tabletas, no están exentos del punto de mira de las botnets. Su constante conectividad a Internet los convierte en objetivos atractivos para una variedad de actividades maliciosas, desde robar información personal hasta participar en ataques coordinados.

El Internet de las cosas (IoT) ha ampliado enormemente la superficie de ciberataque, proporcionando a los ciberdelincuentes una variedad de dispositivos para explotar. Muchos fabricantes de dispositivos IoT priorizan la comodidad sobre la seguridad, lo que da lugar a vulnerabilidades significativas y los ciberdelincuentes explotan estas vulnerabilidades para infectar dispositivos IoT e integrarlos en botnets.

¿Qué puede hacer un ciberdelincuente con la red informática zombie?

Un ciberdelincuente, al manipular una red de ordenadores zombis, tiene a su disposición una amplia gama de estrategias para perpetrar actividades maliciosas.

Ataques de denegación de servicio (DdoS)

El ciberdelincuente puede emplear la botnet para llevar a cabo ataques DoS, abrumando los servidores objetivo con un volumen masivo de accesos simultáneos. Esto tiene el potencial de hacer que los servicios en línea no estén disponibles, interrumpiendo las operaciones normales y causando pérdidas significativas.

Redirección de tráfico

En lugar de simplemente sobrecargar un servidor, el atacante puede redirigir el tráfico a un sitio web duplicado. Esta táctica tiene como objetivo no solo interrumpir los servicios, sino también robar información valiosa de los usuarios que inadvertidamente aterrizan en el sitio web falso.

Minería de Bitcoin

Una botnet ofrece una fuente de considerable potencia de procesamiento. Los ciberdelincuentes pueden explotar esta función para minar bitcoins, obteniendo beneficios sin los costos asociados de electricidad y hardware. Sin embargo, vale la pena señalar que existen variantes de botnets, como Pony Loader, que buscan directamente robar bitcoins.

Envío de correos electrónicos no deseados

La botnet se puede utilizar como una poderosa herramienta para enviar correos electrónicos masivos de spam. Los creadores de botnets a menudo ofrecen estos servicios a los spammers, amplificando la efectividad de las campañas de spam e inundando las bandejas de entrada de las víctimas.

Robo de información personal

Además de los ataques antes mencionados, el ciberdelincuente puede explotar la botnet para el robo directo de información personal sensible. Esto puede incluir contraseñas, datos financieros y otros elementos confidenciales, comprometiendo la privacidad y seguridad de las víctimas.

Instalación adicional de malware

La botnet sirve como plataforma para la distribución y ejecución de malware adicional en los dispositivos infectados. Esto permite al atacante expandir sus operaciones maliciosas, comprometiendo aún más la integridad y seguridad de los sistemas afectados.

Campañas de phishing:

El control sobre una botnet le da al ciberdelincuente la capacidad de orquestar campañas de phishing a gran escala. Esto implica engañar a los usuarios para que revelen información confidencial mediante el uso de mensajes fraudulentos que pueden tener graves consecuencias para las víctimas.

Las botnets más populares y activas en la actualidad

Botnet Storm

En enero de 2007, se descubrió la botnet Storm, un malware propagado por un gusano llamado Storm, distribuido a través de correo electrónico que contenía spam. Esta botnet consistía en computadoras zombis controladas de forma remota a través de un caballo de Troya.

El gusano Storm se propagó automáticamente, convirtiendo a las computadoras vulnerables en bots que formaron una vasta red utilizada para ataques DoS y realizaron tareas automatizadas a través de Internet sin el conocimiento del usuario.

La botnet Storm ha alcanzado gran notoriedad, distribuyéndose a través de correos electrónicos no deseados con títulos impactantes sobre tragedias u ofreciendo enlaces de descarga a canciones populares. En septiembre de 2007, había infectado el 8% de las computadoras con Windows en todo el mundo, alcanzando un pico de más de 50 millones de computadoras afectadas.

Mozi

La botnet Mozi, recientemente desmantelada, se ha hecho un nombre en el panorama cibernético por su capacidad para explotar vulnerabilidades en cientos de miles de dispositivos de Internet de las cosas (IoT) anualmente. Operando en una arquitectura de red peer-to-peer (P2P), Mozi se dirigió principalmente a dispositivos IoT, sobre todo a los routers domésticos Netgear DGN, los equipos GPON de DASAN Networks, los routers D-Link y los servidores web Jaws.

El modus operandi de Mozi consistía en la infiltración silenciosa de estos dispositivos, aprovechando los fallos de seguridad y las vulnerabilidades presentes en sus configuraciones. Una vez comprometidos, estos dispositivos se integraron en la botnet, formando una red distribuida que permitió el control remoto por parte de los ciberdelincuentes.

Este enfoque descentralizado, basado en redes P2P, convirtió a Mozi en una amenaza especialmente difícil de rastrear y desactivar.

Mirai

Mirai es una pieza de malware que convierte dispositivos inteligentes con procesadores ARC en bots controlados a distancia, formando una botnet utilizada para llevar a cabo ataques DDoS. Identifica los dispositivos IoT con procesadores ARC que ejecutan una versión simplificada del sistema operativo Linux.

En septiembre de 2016, los creadores de Mirai llevaron a cabo un ataque DDoS contra un reconocido experto en seguridad. Una semana después, publicaron el código fuente, probablemente buscando ocultar el origen del ataque. El código fue adoptado rápidamente por otros ciberdelincuentes, asociándose con el ataque masivo que afectó al proveedor de servicios Dyn en octubre de 2016.

Pandora

Android.Pandora, un malware troyano vinculado al grupo Mirai, una conocida botnet, ha sido identificado por ESET. Descubierto por primera vez en septiembre de 2023 por Dr. Web, este malware se distribuye principalmente a través de aplicaciones de streaming en plataformas como Tele Latino, You Cine y Magis TV.

Disponibles no solo para Android TV Box, estas aplicaciones llegan a una variedad de dispositivos, incluidos Amazon o Xiaomi TV Sticks. La amenaza también se propaga a través de actualizaciones de firmware maliciosas, que pueden ser instaladas por revendedores o usuarios desprevenidos.

Una vez infectados, los dispositivos son controlados por ciberdelincuentes, utilizados para llevar a cabo ataques de denegación de servicio distribuido (DDoS) y abrumar los servidores objetivo con solicitudes, lo que resulta en su desactivación.

Zeus (Zbot)

Zeus, también conocido como troyano bancario y considerado la botnet líder, ha infectado a más de 3,6 millones de PC en los Estados Unidos, lo que representa una amenaza significativa para las instituciones financieras. Compuesto por miles de computadoras infectadas, Zeus se dirige a los bancos para el robo de credenciales.

Después del robo, las credenciales se envían a un servidor remoto, lo que permite a los piratas informáticos acceder a las cuentas bancarias en línea de las víctimas. El ataque se lleva a cabo a través de servicios en línea como redes sociales, cuentas FTP, correos electrónicos y banca en línea, utilizando seudónimos como NTOS, PRG, WNSPOEM y Zbot. Los ejecutables asociados con Zeus tienen nombres como PPnn.exe, ntos.exe, ld12.exe, ld08.exe, pp08.exe y pp06.exe.

Fuentes:
https://www.welivesecurity.com/es/concientizacion/que-es-botnet-control-remoto-ciberdelincuentes/