¿Qué son y cómo funcionan las botnets?

Dicen que los planes simples tienen más probabilidades de tener éxito, y este adagio definitivamente se traslada al mundo de la ciberseguridad.

Este viejo dicho también se aplica al mundo de los atacantes: es más probable que las estrategias de ataque simples tengan éxito.

Las botnets son la manera de los atacantes de poner en práctica este dicho, y este artículo te proporcionará una visión general de alto nivel de estos instrumentos de simplicidad.

Exploraremos qué son las botnets, las dos estructuras principales de botnets, los diferentes ataques que suelen lanzar las botnets y cómo protegerte contra ellas.

Si no estás seguro de cómo se aplica la simplicidad a las botnets, este artículo te ayudará a comprender cómo se relaciona todo.

Simplicidad, ¿eh?

Desde la perspectiva del atacante, absolutamente. Considera esto: durante una campaña de ataque, varios sistemas pueden tener malware instalado en ellos.

Estos sistemas pueden extenderse por todo el mundo, en diferentes países y definitivamente en diferentes redes.

Un enfoque sencillo para administrar todos estos sistemas comprometidos es iniciar sesión manualmente en cada uno de estos sistemas durante el ataque.

Esto termina convirtiéndose en un desorden gigantesco en el que el ataque solo progresa hasta donde avanza el atacante.

Ninguna campaña de ataque, por obvias razones logísticas, funciona así. Más bien, los atacantes usan lo que se llama una botnet, donde solo unos pocos clics en el extremo del atacante hacen que todos los sistemas comprometidos trabajen juntos.

En pocas palabras, las botnets convierten un desastre inmanejable en un plan simple y eficiente.

¿Qué es una botnet?

Botnet es un nombre extraño porque es un acrónimo o combinación de dos palabras diferentes.

La primera parte del nombre proviene de “robot” porque los sistemas comprometidos que tienen instalado el malware del atacante son como robots o esclavos zombis que cumplen las órdenes del atacante.

La segunda parte del nombre proviene de “net”, porque los sistemas comprometidos están vinculados entre sí en virtud (o falta de ella) del atacante.

Estructuras de botnet

Hay dos estructuras principales de botnet: cliente-servidor y punto a punto (peer-to-peer).

Modelo cliente-servidor

Este modelo es probablemente el que más se piensa al imaginar una estructura de botnet, por lo que es un excelente punto de partida.

En el modelo cliente-servidor, se crea una red básica con clientes o bots, donde hay un servidor central que controla la transmisión de información desde los bots individuales.

Este servidor se denomina servidor de comando y control o C2. También se le puede denominar botmaster.

El servidor C2 mantiene el control sobre los bots con un software especial, que es otra pieza de malware y otro tema aparte.

Este modelo de estructura de botnet viene con sus desventajas, lo que puede convertirlo en una opción poco atractiva para algunos.

Las estructuras de botnet cliente-servidor dependen completamente del servidor C2, hasta el punto de que, si el servidor se cae, también lo hace la botnet.

Este modelo también es fácil de localizar, lo que hace que el servidor C2 corra aún más riesgo de ser eliminado.

Peer-to-peer

Como se esperaba del comportamiento anterior del malware, el campo de las botnets ha evolucionado para abordar los principales inconvenientes del modelo cliente-servidor.

Peer-to-peer es el segundo modelo principal de botnet que ha eliminado por completo el servidor C2.

Los bots en una botnet peer-to-peer actúan como cliente y servidor, por lo que si un bot se cae, la botnet no caerá (o incluso si ser viera interrumpida por cualquier medida significativa).

Esto hace que el modelo peer-to-peer sea una estructura botnet más fuerte y versátil.

Ataques típicos de botnet

De acuerdo, entonces los atacantes pueden formar redes de zombies. Esta estructura organizada y conectada hace que realizar ciertos ataques sea mucho más fácil y administrable.

A continuación, se muestra una lista de los ataques comunes de las botnets:

Ataque de denegación servicio distribuido (DDoS)

Este tipo de ataque ocurre cuando un atacante sobrecarga los recursos computacionales o causa un consumo masivo del ancho de banda de la víctima.

Los tipos más comunes son los ataques de inundación UDP y TCP SYN. Las botnets tienen una posición única para los ataques DDoS debido a la cantidad potencialmente alta de bots y su capacidad para operar al unísono.

Keylogging

Esta técnica de ataque ayuda al servidor C2 a obtener información confidencial sobre sus objetivos.

Esta capacidad se puede configurar para que solo comience a grabar pulsaciones de teclas después de palabras interesantes que pueden indicar información confidencial como Visa, PayPal, etc.

Propagación de botnet

A veces, las botnets lanzan ataques que no causan ninguna pérdida de información confidencial para la víctima, sino que intentan propagarse o incluso iniciar otras botnets.

Esto se denomina propagación de botnet y normalmente implica correos electrónicos con archivos adjuntos infectados, que convencen al destinatario de descargar software que propaga la botnet.

Monitoreo de tráfico y spam

Cuando un sistema se infecta, el ataque contra el zombi no se detiene cuando se instala el bot.

Los bots se pueden usar para rastrear el sistema zombie en busca de información confidencial, incluidos nombres de usuario y contraseñas.

Los bots también tienen la capacidad interesante de determinar si las botnets de la competencia están instaladas en tu máquina zombie y secuestrarlas.

Medidas contra las botnets

Las botnets no son tan exóticas como las amenazas de malware, y las medidas preventivas contra ellas son relativamente sencillas.

A continuación, hay una lista de medidas proactivas que pueden evitar que tu sistema se una al ejército proverbial de los muertos vivientes.

  • Capacitación en ciberseguridad: nada supera el poder preventivo de una buena capacitación en ciberseguridad, lo que la convierte en la principal medida anti botnet
  • Mantente alejado de los sitios que son puntos propicios de infección: esto es entendible. Todos navegamos en lugares extraños en la web. Solo asegúrate de que los que vas visitar no estén llenos de malware
  • Mantén tu sistema actualizado: si tu sistema operativo no lo hace automáticamente en este momento, configúralo para que lo haga si es posible
  • Utiliza una solución sólida antimalware
  • Monitorea los procesos del sistema que muestran picos de datos asociados con procesos desconocidos

Conclusión

Las botnets son redes de sistemas cliente infectados con malware, o bots, ya sea controlados por un servidor C2 o por bots que pueden funcionar como cliente y como servidor.

Hacen que los ataques sean más fáciles de administrar, especialmente cuando estos ataques dependen de transmisiones o picos de tráfico de información masiva (DDoS).

Afortunadamente, las medidas de seguridad informática estándar harán que tu sistema sea mucho menos probable que forme parte de una botnet.