¿Qué es una botnet?

¿Para qué se utilizan las botnets?

Las botnets se utilizan en varios tipos de ataques que se benefician de alguna manera del uso de una gran cantidad de dispositivos terminales operados de forma remota. Algunos ejemplos de tipos comunes de ataques de botnets son:

• Denegación de servicio distribuida: en un ataque DDoS, los atacantes envían tráfico desde muchos dispositivos a la vez para saturar las capacidades de procesamiento o ancho de banda de los servidores o la infraestructura de destino y evitar la prestación normal del servicio.
• Phishing y otros fraudes por correo electrónico: las botnets pueden enviar grandes volúmenes de spam o mensajes de phishing desde diferentes cuentas y direcciones IP como parte de intentos de phishing de credenciales, estafas financieras, campañas de malware y más.
• Minería de criptomonedas: al utilizar la potencia de procesamiento colectivo de una botnet junto con malware de criptominería, un atacante puede minar moneda digital sin el conocimiento o consentimiento de los propietarios del dispositivo (también conocido como cryptojacking).
• Ataques de fuerza bruta: las botnets pueden realizar rápidamente intentos de inicio de sesión sucesivos para acceder a las cuentas en línea de las víctimas, o usar credenciales expuestas en filtraciones para intentar rápidamente ataques de relleno de credenciales en múltiples sitios web a la vez.
• Ofuscación basada en proxy: los atacantes pueden convertir los dispositivos de botnets en proxies de reenvío para redirigir el tráfico malicioso, ocultando su identidad y ubicación. Incluso pueden vender acceso a proxy a otros atacantes a través de la dark web.
• Troyanos, keylogging y rastreo de paquetes: el malware de botnet se puede usar para supervisar y registrar datos que el bot envía y recibe, así como para capturar información que los usuarios introducen en sus dispositivos, como credenciales de inicio de sesión.

¿Cómo funcionan las botnets?

Las botnets comienzan con malware de botnet, distribuido como otros tipos de malware a través de métodos como correos electrónicos de phishing o explotación de vulnerabilidades, que convierte los dispositivos infectados en "bots". Estos bots luego se comunican con un servidor central controlado por piratas informáticos llamado servidor de comando y control (C2 o C&C), que el hacker utiliza para dar instrucciones a los bots.

Además de dar instrucciones a los bots para que realicen varios ataques, el servidor C2 puede emitir actualizaciones al software malicioso para mejorar o alterar las funciones y capacidades de la botnet, haciéndolo más difícil de detectar y defender. Además, una única botnet puede estar formada por cientos o incluso miles de dispositivos ampliamente distribuidos, cuyos propietarios pueden no saber nunca que sus dispositivos forman parte de una botnet.

¿Cómo evaden la detección las botnets?

El malware de botnets está diseñado para pasar desapercibido operando de forma encubierta en segundo plano con técnicas avanzadas como el uso de código polimórfico, algoritmos de generación de dominios (DGA) y cifrado. Estos métodos permiten al malware cambiar su apariencia y alterar u ocultar sus vías de comunicación, lo que dificulta que las medidas de ciberseguridad convencionales, como los antivirus basados en firmas o el hardware de seguridad de red tradicional, detecten, intercepten o analicen el tráfico malicioso vinculado a las operaciones de botnets.

¿Cómo se controlan las botnets?

Los operadores de botnets (a veces llamados pastores de bots) pueden controlar dispositivos bot de dos maneras principales:

• Control centralizado, donde el servidor C2 envía instrucciones a cada bot, que no se comunican directamente entre sí.
• Control descentralizado o entre pares, donde el servidor C2 envía instrucciones a un solo bot, que a su vez se comunica con los otros bots.

Las redes de bots centralizadas son más fáciles de configurar que las redes de bots P2P, pero también son más fáciles de desactivar, ya que los cazadores pueden simplemente localizar y desactivar el servidor central. Por el contrario, las botnets P2P tienen una sobrecarga considerablemente mayor, pero son más difíciles de desactivar, ya que es mucho más difícil localizar el servidor C2 entre todos los dispositivos que se intercomunican.

¿Qué tipos de dispositivos pueden verse afectados?

Prácticamente cualquier dispositivo conectado a Internet puede convertirse en parte de una botnet siempre que un atacante pueda ejecutar malware en él. Estos dispositivos incluyen:

• Ordenadores, teléfonos inteligentes y otros dispositivos móviles que ejecutan todos los sistemas operativos comunes
• Servidores, enrutadores y otro hardware de red que pueden facilitar aún más la propagación de ataques
• Los dispositivos de Internet de las cosas (IoT) y de tecnología operativa (OT), que a menudo carecen de una seguridad potente y, en el caso de los sistemas OT tradicionalmente “aislados”, no fueron diseñados teniendo en mente la hiperconectividad. Al explotar vulnerabilidades en dispositivos IoT, los atacantes pueden construir botnets masivas capaces de lanzar poderosos ataques DDoS.

Ejemplos de ataques de botnets

El uso de botnets sigue siendo popular en ciberataques generalizados debido a lo difícil que puede ser desactivarlos definitivamente. A continuación, presentamos algunas botnets de alto perfil que han estado activas en los últimos años:

1. Mirai utiliza técnicas de fuerza bruta y ejecución remota de código para infectar dispositivos IoT con malware de botnet. Mirai, una de las familias de malware de IoT más prolíficas de los últimos años, lanzó lo que fue el mayor ataque DDoS de la historia en 2016.
2. Gafgyt y sus variantes infectan sistemas Linux para lanzar ataques DDoS, habiendo infectado millones de dispositivos IoT desde 2014. Las botnets afiliadas a Gafgyt han sido responsables de ataques DDoS de hasta 400 Gbps de intensidad.
3. BotenaGo utiliza algunas de las mismas técnicas que Mirai, incluida la autenticación de fuerza bruta, para infectar enrutadores y dispositivos IoT. Escrito en lenguaje de código abierto Go y disponible en GitHub, cualquier posible atacante puede modificarlo o publicarlo.
4. Mozi, descubierto en 2019, explota principalmente dispositivos IoT con credenciales de inicio de sesión débiles o predeterminadas, y los infecta con malware de botnet. Mozi fue responsable de más de 5 % de malware de IoT en la primera mitad de 2023.
5. VPNFilter se dirige a enrutadores y dispositivos de almacenamiento, especializándose en dispositivos ICS/SCADA. Supuestamente es una creación del grupo de ciberespionaje ruso Fancy Bear y puede extraer datos, bloquear dispositivos y persistir tras reiniciar el enrutador.

Cómo proteger su organización contra botnets

Con su enorme alcance global, sus tácticas de evasión avanzadas y sus comunicaciones cifradas, los ataques de botnets siguen siendo una amenaza omnipresente y accesible, especialmente a medida que proliferan las variantes de código abierto y la masa de objetivos vulnerables continúa creciendo. Para mantener seguros los dispositivos de su organización, su seguridad debe poder detectar y mitigar constantemente la actividad de botnets.

Zscaler Internet Access™ (ZIA™) es una solución de perímetro de servicio de seguridad (SSE) nativa de la nube. Se ofrece como plataforma SaaS escalable a través de la mayor nube de seguridad del mundo y reemplaza a las soluciones de seguridad de red heredadas para detener los ataques avanzados y evitar la pérdida de datos con un enfoque integral de zero trust. ZIA le permite detectar la actividad de botnets y C2 y detenerlas eficazmente con:

• Sistema de prevención de intrusiones (IPS): obtenga protección completa contra botnets, amenazas avanzadas y amenazas de día cero junto con información contextual sobre usuarios, aplicaciones y amenazas.
• Protección avanzada contra amenazas (ATP): aproveche la protección integrada contra botnets, tráfico de comando y control, intercambio P2P arriesgado, contenido activo malicioso, scripts entre sitios, sitios fraudulentos, etc.

Zscaler Zero Trust SD-WAN negocia de forma segura el tráfico de sus dispositivos IoT desde sucursales a aplicaciones privadas e Internet a través de Zscaler Zero Trust Exchange™, que restringe el movimiento lateral de malware basado en IoT y controla la comunicación con servidores C2.

La visibilidad de dispositivos IoT de Zscaler proporciona una visión integral de todos los dispositivos, servidores y dispositivos de usuario no administrados de IoT en toda su organización.