Fondo con código binario y el texto "BOTNET Qué es y señales red maliciosa", ilustrando el concepto de botnet y sus indicadores.
Aprende a reconocer las señales de una botnet y protege tu sistema.
Redes Avanzadas
·13 Minutos de lectura

Botnet: Qué es y Señales de una Red Maliciosa

Inicio
Redes Avanzadas

La herramienta principal de los estafadores digitales son los bots y las botnets. Son ejércitos enteros de dispositivos infectados que permiten a los ciberdelincuentes ampliar sus ataques y causar daños a todos: grandes corporaciones y empresas locales, propietarios de sitios web y anunciantes, gobiernos enteros y usuarios comunes.

Detectarlos no es tan fácil. Los programas maliciosos automatizados causan estragos en la esfera digital, permitiendo a los estafadores ganar millones y causar daños por miles de millones.

Por ejemplo, la botnet 3ve constaba de 1,7 millones de computadoras infectadas, HummingBad de 10 millones de dispositivos Android en todo el mundo, y Tekya de al menos 56 aplicaciones y más de 1 millón de instalaciones.


¿Qué es un botnet y cómo funciona?

Un botnet es una red de computadoras infectadas con software malicioso (malware) controlada por un atacante (bot-herder). Estas computadoras infectadas, llamadas «máquinas zombi» o «bots«, realizan las órdenes del bot-herder sin que sus propietarios lo sepan. Pueden ser parte de redes enormes, con cientos de miles o incluso millones de dispositivos. El atacante controla el botnet con un software especial que le permite enviar comandos a todas las máquinas infectadas al mismo tiempo. Esto convierte a los botnets en una herramienta poderosa para realizar diversos ciberdelitos.

La palabra "BOTNET" en rojo sobre un fondo de código binario, ilustrando el concepto de una red de ordenadores comprometidos.
Descubre qué es una botnet y cómo funciona esta peligrosa red de ordenadores controlados remotamente.

El proceso de infección suele comenzar con correos electrónicos de phishing, enlaces maliciosos, exploits de vulnerabilidades en el software o archivos infectados. El malware penetra en el sistema, instala una puerta trasera (canal de comunicación oculto) y registra la computadora infectada en el botnet. Después de esto, el bot-herder puede usar las máquinas infectadas para diversos fines, como:

  • Difusión de spam: Un botnet puede enviar millones de correos electrónicos no deseados por segundo, sobrecargando los servidores de correo y difundiendo enlaces maliciosos.
  • Ataques DDoS: Los ataques distribuidos de denegación de servicio (DDoS) utilizan un botnet para sobrecargar el servidor objetivo con solicitudes, haciéndolo inaccesible para los usuarios legítimos.
  • Robo de datos: Las máquinas zombi se pueden utilizar para robar información confidencial, como contraseñas, números de tarjetas de crédito y datos personales.
  • Clics fraudulentos: Un botnet puede generar clics falsos en anuncios, engañando a los anunciantes y obteniendo ganancias ilegales.
  • Cryptojacking: Uso de la potencia informática de las máquinas infectadas para minar criptomonedas sin el conocimiento de sus propietarios.

El malware necesario para infectar un dispositivo y conectarlo a una red bot puede llegar a él de diferentes maneras:

  • A través de la descarga por parte del usuario de archivos infectados, como Microsoft Word.
  • Descarga de aplicaciones (incluso de Google Play).
  • Sitios web, etc.

Una vez que el malware llega al dispositivo, activa la descompresión de sus archivos y espera las instrucciones del operador de la botnet.

Dato curioso: una vez, los expertos de Akamai Security Research descubrieron una nueva botnet, KmsdBot. Se usaba para el criptominado y ataques DDoS contra empresas de juegos y fabricantes de automóviles de lujo. En un experimento, crearon un entorno controlado con una modificación de la botnet y lograron desactivarla.

Tipos de botnets

Las botnets difieren en composición, funcionalidad y propósito: algunas atacan sitios web, otras hacen clics fraudulentos en anuncios, y otras envían spam en las redes sociales. Las redes bot son de los siguientes tipos:

  • DDoS: Diseñadas para ataques a sitios web del tipo denegación de servicio distribuida. Cada bot que recibe una orden debe visitar un sitio web específico. Imagina que la red consta de un millón de dispositivos infectados, y el bot que reside en cada dispositivo crea un verdadero tsunami de tráfico digital para el recurso. Un ataque DDoS provoca fallos en el funcionamiento de los sistemas y los hace inaccesibles para los usuarios comunes. Los ciberdelincuentes suelen utilizar estas botnets para chantajear a empresas comerciales o con fines políticos.
  • Click-bots: Diseñados para hacer clics fraudulentos en anuncios digitales. Con ellos, los estafadores generan clics falsos en anuncios para aumentar los pagos a su favor (si los clics se realizan en un sitio web que ellos monetizan) o para agotar los presupuestos publicitarios por encargo de la competencia. Estos ataques distorsionan artificialmente las métricas de tráfico y agotan los recursos publicitarios.
  • Scrapers: Estos bots están diseñados para robar datos de usuarios y otro contenido de sitios web. Pueden piratear el sistema y robar, por ejemplo, inicios de sesión y contraseñas o información sobre tarjetas bancarias. Anteriormente, escribimos sobre cómo los scrapers realizan espionaje comercial en los sitios web de las tiendas online.
  • Bots especuladores: Un tema de actualidad en las temporadas de Black Friday, las rebajas navideñas y el lanzamiento de productos y colecciones premium. Las botnets de este tipo se utilizan para comprar al instante productos limitados, como consolas o zapatillas, lo que permite a los operadores de bots revenderlos posteriormente a un precio más alto. No solo las tiendas online están en riesgo, sino también los agregadores de entradas (teatros, aerolíneas, etc.). Por ejemplo, hace poco, los bots especuladores causaron importantes problemas en la venta de entradas para los conciertos de Taylor Swift.
  • Spammers: Los bots de spam se utilizan para ataques de phishing. Envían correos electrónicos con aplicaciones maliciosas y enlaces a sitios web fraudulentos. El objetivo final es engañar al usuario para que instale malware o revele sus datos confidenciales. Con estas botnets, los ciberdelincuentes pueden enviar millones de correos electrónicos por minuto, lo que las convierte en una poderosa herramienta para los ciberdelincuentes.

Cada red bot es, en esencia, única y afecta de manera diferente a las empresas y a los usuarios comunes.

Ejemplos de las botnets más conocidas que hacían clics fraudulentos en anuncios

Los click-bots han estado presentes en la historia de la publicidad digital (contextual, dirigida, CTV, audio y más) desde sus inicios y continúan molestando a los profesionales del marketing y a las empresas hasta el día de hoy.

  • Clickbot A: En 2006, infectó 100.000 computadoras y logró causar daños por 50.000 dólares. Sus bots hacían clics ocultos en anuncios en redes de búsqueda sindicadas, atacando los resultados de búsqueda en sitios web monetizados a través de Google Ads.
  • Stantinko: Una botnet muy astuta que era un componente malicioso de las extensiones de Chrome. Inyectaba publicidad de terceros en el navegador del usuario y también podía instalar software publicitario, acceder a sitios web con CMS WordPress y Joomla y realizar búsquedas en Google. Estaba compuesta por 500.000 dispositivos infectados.
  • Methbot y 3ve: Algunas de las botnets más grandes. Con ellas, los ciberdelincuentes ganaban más de 3 millones de dólares al día (en su punto máximo de actividad) con el fraude publicitario de CTV. Se estima que solo 3ve causó daños a los anunciantes por 29 millones de dólares.

Esta es solo una pequeña parte de las botnets que existen o existieron en el mundo digital. Algunas murieron por sí solas, otras fueron desactivadas por asociaciones y empresas de ciberseguridad, así como por organizaciones gubernamentales. Otras fueron modificadas y continúan funcionando hasta el día de hoy, sin mencionar que regularmente aparecen nuevas redes maliciosas.

Los daños demuestran que es necesario estar preparado para los ataques de estos «bots involuntarios». Es prácticamente imposible protegerse de ellos por sí solo, pero se pueden tomar medidas preventivas para proteger sus recursos y capitales.

Cómo protegerse de los ataques de botnets

  1. Mejora la seguridad de tu sitio web o dispositivo: Protege tu empresa fortaleciendo los protocolos de seguridad de la infraestructura de red y el software. Por ejemplo, instala un certificado SSL. Asegúrate de tener instalados un antivirus y un firewall fiables. Actualiza regularmente todo el software y los sistemas operativos para protegerte de las vulnerabilidades. Si una aplicación solicita una actualización, atiende la solicitud: con las nuevas actualizaciones, los desarrolladores cierran las vulnerabilidades encontradas por los ciberdelincuentes y mejoran la protección.
  2. Habilita la autenticación de dos factores: Usa la 2FA (autenticación de dos factores) para proporcionar un nivel adicional de protección. En este caso, además de introducir el nombre de usuario y la contraseña, el usuario recibirá un código de un solo uso en su dispositivo (por ejemplo, teléfono) para confirmar la autorización, que deberá introducir para iniciar sesión en el sistema. Esto dificulta a los ciberdelincuentes el acceso a las cuentas o dispositivos del usuario.
  3. Evita archivos adjuntos y enlaces sospechosos: El malware para la propagación de botnets suele enviarse como archivos adjuntos a correos electrónicos o como enlaces a sitios web fraudulentos y maliciosos. Si recibes un correo electrónico de un usuario desconocido solicitando que descargues un archivo adjunto, «te han hecho un pago del Estado», «tu cuenta de servicios gubernamentales ha sido pirateada y debes confirmar tus datos urgentemente», no hagas clic en los enlaces ni descargues nada.
  4. Capacita a los empleados sobre ciberseguridad: Capacita a los empleados para que reconozcan correos electrónicos de phishing, archivos adjuntos sospechosos y enlaces inseguros. Los cursos regulares de ciberseguridad y los recordatorios ayudan a consolidar los conocimientos y promueven el cumplimiento de la higiene digital al buscar información y trabajar con datos en Internet.
  5. Analiza el tráfico: Las botnets pueden generar grandes volúmenes de tráfico web. Utiliza herramientas de análisis (Google Analytics) para identificar picos sospechosos y repentinos de visitas al sitio web. Supervisa regularmente el tráfico publicitario para detectar un número anormalmente alto de clics.
  6. Actualiza regularmente el sistema operativo: Dado que las botnets suelen utilizar vulnerabilidades de los sistemas operativos para piratear dispositivos, actualiza regularmente los sistemas para mejorar el nivel de protección.

Siguiendo estas recomendaciones, no podrás protegerte completamente de los ataques bot, pero podrás reducir al menos los riesgos.

Señales de una botnet: buscando malware en el dispositivo, el sitio web y la publicidad

No es tan fácil detectar la actividad de una botnet en la red, ya que los ciberdelincuentes actualizan regularmente sus técnicas y métodos de ataque. Intentan hacer todo lo posible para evitar ser detectados. A continuación, te mostramos una serie de señales de actividad bot en sitios web, clics fraudulentos en anuncios e infección de dispositivos.

Ver también

Si el dispositivo forma parte de una botnet

  • El ordenador, el teléfono, el televisor (CTV), el router, etc., funcionan más lentamente. Las botnets consumen recursos del sistema, lo que puede provocar un considerable retraso en el dispositivo.
  • La batería se agota rápidamente. Los bots necesitan energía, especialmente para realizar ataques a gran escala. Debido a esto, la batería puede agotarse rápidamente. Por ejemplo, así era la botnet DrainerBot. Se descargaba junto con aplicaciones populares de Google Play, las ejecutaba en segundo plano, descargaba hasta 10 GB de vídeos publicitarios, «consumía» tráfico y «agotaba» la batería del dispositivo móvil.
  • Aparecen programas, procesos o aplicaciones sospechosos en el dispositivo. Presta atención a qué programas se ejecutan en segundo plano y no solo. Puede que haya algunos que no hayas instalado tú mismo.
  • Gran volumen de uso de datos en segundo plano. Las aplicaciones pueden transferir datos en segundo plano. Si observas que una de ellas transfiere demasiados datos (y esto es necesario para la interacción de la botnet con los servidores de comando), comprueba si pertenece a estafadores.
  • Comportamiento extraño del sistema. Presta atención a los apagados inesperados del dispositivo, los mensajes de error o los cambios en el navegador. Esto puede indicar que hay un malware en tu dispositivo y que lo está utilizando como unidad de alguna botnet.
  • Ventanas emergentes y mensajes de spam. Si de repente empiezan a aparecer en el dispositivo banners publicitarios extraños, ventanas emergentes o spam, probablemente sea hora de «limpiar» el dispositivo e instalar un antivirus fiable.

Si los bots atacan el sitio web

  • Hora de actividad inusual de los usuarios. Los bots suelen atacar los sitios web en periodos de baja afluencia, por la noche o a primera hora de la mañana (debido a la diferencia horaria, por ejemplo, si los bots se encuentran en Asia o América).
  • Baja velocidad de la red. La alta actividad de una botnet puede provocar una sobrecarga de los recursos de red y un retraso en la conexión. Los mismos ataques DDoS pueden «inutilizar» el sitio web.
  • IP extrañas. Las visitas masivas desde direcciones IP sospechosas pueden indicar un ataque de botnet.
  • El acceso no autorizado al sistema o a los datos puede indicar que se ha visto comprometido.

Señales de clics fraudulentos en anuncios realizados por botnets

  • Alto CTR. Alta tasa de clics con bajo coste por clic, especialmente sin conversión posterior.
  • Alta tasa de rebote. Los bots más sencillos de las botnets pueden estar programados solo para hacer clic en los anuncios. Por lo tanto, después de hacer clic, lo abandonan inmediatamente, aumentando la tasa de rebote.
  • Baja tasa de conversión. El tráfico bot, por regla general, no se convierte en ventas o clientes potenciales. Hay bots cuya función es enviar solicitudes falsas, pero son malware de otro tipo.
  • Repentino aumento del tráfico. Los aumentos inusuales en el número de visitas pueden indicar la intervención de una botnet.
  • Visitas repetidas desde la misma dirección IP. Por ejemplo, si tu anuncio sigue apareciendo en un sitio web fraudulento o, sin saberlo, vuelves a atraer bots a través del retargeting.
  • User-agent desconocidos. Ves que los usuarios con dispositivos, navegadores, etc., desconocidos hacen clic en el anuncio.
  • Gasto rápido del presupuesto. Los bots pueden hacer clic en los anuncios, agotando tu presupuesto publicitario en cuestión de minutos.
Representación gráfica de una botnet, mostrando una red de nodos interconectados, con un nodo central en rojo que destaca la amenaza.
Las botnets representan una seria amenaza para la seguridad informática. Descubre cómo protegerte.

Cómo proteger tu router y los dispositivos de tu red doméstica

El punto débil del equipo de red es el firmware, según los expertos. Con frecuencia, los atacantes encuentran en la red dispositivos con versiones antiguas de firmware y explotan sus vulnerabilidades conocidas.

Un expertó observó que los dispositivos MikroTik no se actualizan automáticamente, y como resultado, muchos de ellos tienen instaladas versiones vulnerables del software. Los propios usuarios o los administradores de las redes corporativas deben vigilar las actualizaciones, pero, al parecer, no todos lo hacen, lamentó.

Los usuarios deben asegurarse de que en el equipo de red estén instaladas las últimas versiones del firmware. Todos los demás métodos de protección son ineficaces.

Sin embargo, no confíes en los sistemas de actualización automática: recomendamos descargar manualmente las nuevas versiones del firmware e instalarlas desde unidades flash.

Otra posible entrada para el hacker puede ser el servicio de descubrimiento (NDP), normalmente activado en muchos dispositivos por defecto para simplificar la configuración.

En febrero de 2020, Cisco corrigió cinco vulnerabilidades de este tipo: el protocolo de descubrimiento CDP permitía a los atacantes acceder remotamente a teléfonos IP y routers, pero solo desde la red local.

Qué recomiendan los expertos para protegerse de los botnets

  • Realizar comprobaciones periódicas de la red de la empresa con sistemas de análisis de tráfico. Incluso el equipo más caro y fiable, sin administración ni control, no puede garantizar la protección de los datos.
  • Instalar contraseñas seguras en el router y los dispositivos IoT y cambiarlas de vez en cuando.
  • Desactivar los servicios de descubrimiento, que se crean para simplificar la configuración de los routers: transmiten información a internet sobre la versión del sistema operativo y otros datos. En muchos dispositivos (por ejemplo, MikroTik, Cisco) estos servicios están activos por defecto.
  • Activar el firewall integrado en el router y asegurarse de que se excluya el acceso libre al dispositivo desde internet.
  • Actualizar el firmware del dispositivo de red a la última versión, y si el fabricante ya no lanza actualizaciones, comprar uno nuevo.
  • No utilizar archivos de configuración descargados de internet, ni la configuración de dispositivos antiguos si son compatibles con los nuevos.
Imagen abstracta de un circuito electrónico con el texto "VOIP: Qué es y cómo funciona" superpuesto, representando la tecnología de VoIP
Anterior
VoIP: Qué es y Cómo Funciona, Ventajas y Configuración para Principiantes
Imagen de código en una pantalla de computadora mostrando múltiples instancias de la dirección IP 127.0.0.1 superpuesta con el texto "DIRECCIÓN IP LOOPBACK: UTILIDAD Y FUNCIÓN".
Siguiente
Dirección IP loopback: Utilidad y Funcionamiento