Hace tan solo unos días un ataque DDoS socavó los cimientos de Internet y consiguió dejar inactivos servicios de la talla de Twitter, PayPal, Play Station Network y otros gigantes de la tecnología. Una incursión que se dirigió a la empresa Dyn, proveedora de DNS y que nos llevó a recordar en qué consisten esta clase de amenazas con el fin de conocer a fondo las claves del problema.
En concreto, en los ataques de denegación de servicio se inundan de tráfico los servidores de una plataforma como la que nos ocupa; algo que pueden llevar a cabo varias personas pero que también es posible realizar a través de botnets, justo lo que ocurrió el viernes. Y es precisamente en estas en las que nos vamos a centrar hoy, porque, ¿qué son? ¿Para qué pueden usarse? Resolvemos estas y otras cuestiones relacionadas a continuación.
Qué son y cómo se propagan
Así, el ataque habría sido ocasionado por una hecha con dispositivos del mundo del Internet of Things, un tipo de botnet de la que algunos expertos del sector como el hacker Chema Alonso ya habrían alertado hace unos meses. Pero vayamos paso a paso con nuestra explicación.
De manera un tanto genérica, el término botnet nace de la unión de bot (robot) y net (network o red) y se se usa para referirnos a una red de bots, un conjunto de programas que se ejecutan de forma automática y que permiten controlar los ordenadores y servidores infectados de forma remota. Una amenaza creciente según la firma de seguridad Symantec que puede llegar a afectar desde a unos pocos usuarios a cientos de miles.
La infección comienza cuando el ciberdelincuente crea un virus y lo propaga a través de la red con el objetivo de infectar el mayor número de equipos. Un contagio que se produce, generalmente, al visitar determinados sitios web de dudosa fiabilidad.
En todo caso, varía; pues en sistemas con Windows suele producirse a través de cracks y archivos distribuidos que han sido descargados con algún cliente P2P. En entornos Linux y similares, la forma más clásica es expandir una Botnet a través de telnet o SSH mediante un sistema de ensayo-error, tanteando con usuarios y contraseñas comunes.
A partir de entonces, el dispositivo afectado descarga un bot, una suerte de software malicioso que lo agrega a una red de “ordenadores zombies”, que puede ser “gestionada” por una única persona.
Para qué pueden usarse
A este sujeto “gestor” se le conoce como botmaster o pastor, un criminal que, a partir de ese momento, puede controlar nuestra máquina a distancia y realizar todo tipo de acciones, desde robar nuestros datos bancarios y personales, contraseñas y otros credenciales –para darle el uso que más lucrativo le parezca-, hasta enviarnos spam, y otras prácticas delictivas.
Por supuesto no faltan los ataques masivos a páginas web, los ataques de denegación de servicio distribuidos (DDoS), y la minería y robo de Bitcoins. Pero vayamos con cada uno de estos casos de manera más específica:
Envío de: spam, virus, software espía; y fraude
El primero es uno de los más frecuentes; de hecho, es habitual que se venda el servicio a spammers. Pueden incluir el robo de información privada y personal como números de tarjetas de crédito, credenciales bancarias y otra información privada relacionada con el usuario del equipo infectado que haría posible suplantar nuestra identidad, llevar a cabo compras en nuestro nombre, etcétera.
En cuanto al fraude, nos estamos refiriendo al conocido como fraude por clics, un delito digital que ocurre en los sistemas de pago por clic o PPC, en el que los delincuentes usan los bots para aumentar la facturación por publicidad creando un clic automático y, por supuesto, falso, que acaba aportándoles grandes sumas de dinero.
Ataques DDoS
De denegación del servicio, en el que los atacantes suelen extorsionar a los propietarios de los sitios afectados para que les paguen una cantidad de dinero a cambio de devolverles el control de su web. Lo que hacen es dejarlo fuera de servicio saturándolo de consultas.
Por ejemplo, pongamos el caso de que el sitio soporta hasta 10 mil consultas simultáneamente; lo único que necesita el delincuente es decirle a 10.001 de sus equipos que visiten la página al mismo tiempo. Además, resultan muy complicado encontrar un patrón de las máquinas que están acatando debido a su dispersión geográfica.
Minería y robo de Bitcoins
Con la aparición de esta criptomoneda, se ideó un nuevo empleo para las botnets: usarlas para generar bitcoins. Un ejemplo de esta utilidad la ejemplifica ZeroAccess, un troyano que infectaba los PCs haciendo que estos formaran parte de una red de bots, unos ordenadores que los delincuentes aprovechaban para realizar las distintas operaciones para generar esta moneda, sin gastar electricidad ni hardware.
El robo de bitcoins es una variante de la anterior “técnica”, que se ejemplifica con Pony Loader 2.0, que también llegó a afectar a otras monedas digitales como Litecoins y Primecoins. Con esta red se obtuvieron, por cierto, información de hasta 2 millones de equipos.
Cómo saber si estoy infectado
Si bien suelen pasar desapercibidos –lo habitual es que permanezcan ocultos hasta que se les indique que lleven a cabo una “tarea”- y según informa Symantec, un bot puede provocar que nuestro equipo se ralentice (sobre todo para aquellos usuarios que tienen un limitado bando de ancha-, muestre mensajes misteriosos e, incluso, ocasionar fallos concretos.
Unos indicativos ante los que deberemos estar atentos. Evidentemente, también podemos descubrir si estamos infectados de la mano de diferentes herramientas y productos antimalware específicos que nos informen de la cuestión.
Cómo evitarlo
Por desgracia y según los expertos, evitarlo no solo se encuentra en nuestra mano sino que depende en gran medida de cuestiones relacionadas con los sistemas operativos, software con problemas de seguridad, etcétera. En todo caso, desconfía de páginas webs y enlaces sospechosos, usa un software de seguridad apropiado y actualízalo con regularidad.
Al respecto, la Oficina de Seguridad del Internauta (OSI) ofrece un servicio Antibotnets que nos permite conocer si desde nuestra conexión se ha captado alguna brecha de seguridad relacionada con botnets. Una plataforma que, al mismo tiempo, nos brinda ayuda de la mano de diferentes herramientas y servicios con los que podremos proceder a nuestra desinfección. Otra opción es descargar su plugin específico, que nos va informando de manera continuada al respecto.
En todo caso, no es la única, el Instituto Nacional de Ciberseguridad (INCIBE) también cuenta con una herramienta propia y gratuita desde hace varios años que muestra una alerta de manera automática, en el caso de que alguna de las IPs de una empresa, por ejemplo, forme parte de una botnet.
En cuanto a antivirus específicos, el mercado nos ofrece una amplia variedad de opciones. Entre ellas, destacamos Virus Removal Tool de Kaspersky y el Avira EU Cleaner, capaces de detectar y detener este tipo de amenazas. RuBotted, desarrollado por Trend Micro, también merece ser mencionado, pues permite monitorizar la infección. No se quedan atrás el sistema de Constant Guard y el Norton Power Eraser.
Emplear un navegador “de última generación”, evitar hacer clic en archivos adjuntos -a menos que puedas verificar su origen y este sea de confianza-, configurar los parámetros de seguridad de tu equipo y limitar los derechos de usuario cuando estés conectado son otros de los consejos que puedes poner en marcha. Estar al tanto sobre las últimas noticias e información del sector también te ayudará.
Por otra parte, cabe comentar que habitualmente las botnets usan un servidor de Comando y Control (a veces se le llama C&C o C2) para conectar todos los equipos infectados. Con muchas de ellas basta con cerrar este panel para derribarlas.
Sin embargo, también existen botnets que usan redes P2P para comunicarse, de manera que no hay un servidor de este tipo y la eliminación se vuelve más complicada. También puede ocurrir que la botnet use diversos servidores de Comando y Control localizados en distintos países y jurisdicciones, de manera que resulta difícil darlos de baja al mismo tiempo.
We use cookies on our website to give you the most relevant experience by remembering your preferences and repeat visits. By clicking “Accept All”, you consent to the use of ALL the cookies. However, you may visit "Cookie Settings" to provide a controlled consent.
This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
Cookie
Duración
Descripción
cookielawinfo-checkbox-analytics
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional
11 months
The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy
11 months
The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
Hace tan solo unos días un ataque DDoS socavó los cimientos de Internet y consiguió dejar inactivos servicios de la talla de Twitter, PayPal, Play Station Network y otros gigantes de la tecnología. Una incursión que se dirigió a la empresa Dyn, proveedora de DNS y que nos llevó a recordar en qué consisten esta clase de amenazas con el fin de conocer a fondo las claves del problema.
En concreto, en los ataques de denegación de servicio se inundan de tráfico los servidores de una plataforma como la que nos ocupa; algo que pueden llevar a cabo varias personas pero que también es posible realizar a través de botnets, justo lo que ocurrió el viernes. Y es precisamente en estas en las que nos vamos a centrar hoy, porque, ¿qué son? ¿Para qué pueden usarse? Resolvemos estas y otras cuestiones relacionadas a continuación.
Qué son y cómo se propagan
Así, el ataque habría sido ocasionado por una hecha con dispositivos del mundo del Internet of Things, un tipo de botnet de la que algunos expertos del sector como el hacker Chema Alonso ya habrían alertado hace unos meses. Pero vayamos paso a paso con nuestra explicación.
De manera un tanto genérica, el término botnet nace de la unión de bot (robot) y net (network o red) y se se usa para referirnos a una red de bots, un conjunto de programas que se ejecutan de forma automática y que permiten controlar los ordenadores y servidores infectados de forma remota. Una amenaza creciente según la firma de seguridad Symantec que puede llegar a afectar desde a unos pocos usuarios a cientos de miles.
La infección comienza cuando el ciberdelincuente crea un virus y lo propaga a través de la red con el objetivo de infectar el mayor número de equipos. Un contagio que se produce, generalmente, al visitar determinados sitios web de dudosa fiabilidad.
En todo caso, varía; pues en sistemas con Windows suele producirse a través de cracks y archivos distribuidos que han sido descargados con algún cliente P2P. En entornos Linux y similares, la forma más clásica es expandir una Botnet a través de telnet o SSH mediante un sistema de ensayo-error, tanteando con usuarios y contraseñas comunes.
A partir de entonces, el dispositivo afectado descarga un bot, una suerte de software malicioso que lo agrega a una red de “ordenadores zombies”, que puede ser “gestionada” por una única persona.
Para qué pueden usarse
A este sujeto “gestor” se le conoce como botmaster o pastor, un criminal que, a partir de ese momento, puede controlar nuestra máquina a distancia y realizar todo tipo de acciones, desde robar nuestros datos bancarios y personales, contraseñas y otros credenciales –para darle el uso que más lucrativo le parezca-, hasta enviarnos spam, y otras prácticas delictivas.
Por supuesto no faltan los ataques masivos a páginas web, los ataques de denegación de servicio distribuidos (DDoS), y la minería y robo de Bitcoins. Pero vayamos con cada uno de estos casos de manera más específica:
Envío de: spam, virus, software espía; y fraude
El primero es uno de los más frecuentes; de hecho, es habitual que se venda el servicio a spammers. Pueden incluir el robo de información privada y personal como números de tarjetas de crédito, credenciales bancarias y otra información privada relacionada con el usuario del equipo infectado que haría posible suplantar nuestra identidad, llevar a cabo compras en nuestro nombre, etcétera.
En cuanto al fraude, nos estamos refiriendo al conocido como fraude por clics, un delito digital que ocurre en los sistemas de pago por clic o PPC, en el que los delincuentes usan los bots para aumentar la facturación por publicidad creando un clic automático y, por supuesto, falso, que acaba aportándoles grandes sumas de dinero.
Ataques DDoS
De denegación del servicio, en el que los atacantes suelen extorsionar a los propietarios de los sitios afectados para que les paguen una cantidad de dinero a cambio de devolverles el control de su web. Lo que hacen es dejarlo fuera de servicio saturándolo de consultas.
Por ejemplo, pongamos el caso de que el sitio soporta hasta 10 mil consultas simultáneamente; lo único que necesita el delincuente es decirle a 10.001 de sus equipos que visiten la página al mismo tiempo. Además, resultan muy complicado encontrar un patrón de las máquinas que están acatando debido a su dispersión geográfica.
Minería y robo de Bitcoins
Con la aparición de esta criptomoneda, se ideó un nuevo empleo para las botnets: usarlas para generar bitcoins. Un ejemplo de esta utilidad la ejemplifica ZeroAccess, un troyano que infectaba los PCs haciendo que estos formaran parte de una red de bots, unos ordenadores que los delincuentes aprovechaban para realizar las distintas operaciones para generar esta moneda, sin gastar electricidad ni hardware.
El robo de bitcoins es una variante de la anterior “técnica”, que se ejemplifica con Pony Loader 2.0, que también llegó a afectar a otras monedas digitales como Litecoins y Primecoins. Con esta red se obtuvieron, por cierto, información de hasta 2 millones de equipos.
Cómo saber si estoy infectado
Si bien suelen pasar desapercibidos –lo habitual es que permanezcan ocultos hasta que se les indique que lleven a cabo una “tarea”- y según informa Symantec, un bot puede provocar que nuestro equipo se ralentice (sobre todo para aquellos usuarios que tienen un limitado bando de ancha-, muestre mensajes misteriosos e, incluso, ocasionar fallos concretos.
Unos indicativos ante los que deberemos estar atentos. Evidentemente, también podemos descubrir si estamos infectados de la mano de diferentes herramientas y productos antimalware específicos que nos informen de la cuestión.
Cómo evitarlo
Por desgracia y según los expertos, evitarlo no solo se encuentra en nuestra mano sino que depende en gran medida de cuestiones relacionadas con los sistemas operativos, software con problemas de seguridad, etcétera. En todo caso, desconfía de páginas webs y enlaces sospechosos, usa un software de seguridad apropiado y actualízalo con regularidad.
Al respecto, la Oficina de Seguridad del Internauta (OSI) ofrece un servicio Antibotnets que nos permite conocer si desde nuestra conexión se ha captado alguna brecha de seguridad relacionada con botnets. Una plataforma que, al mismo tiempo, nos brinda ayuda de la mano de diferentes herramientas y servicios con los que podremos proceder a nuestra desinfección. Otra opción es descargar su plugin específico, que nos va informando de manera continuada al respecto.
En todo caso, no es la única, el Instituto Nacional de Ciberseguridad (INCIBE) también cuenta con una herramienta propia y gratuita desde hace varios años que muestra una alerta de manera automática, en el caso de que alguna de las IPs de una empresa, por ejemplo, forme parte de una botnet.
En cuanto a antivirus específicos, el mercado nos ofrece una amplia variedad de opciones. Entre ellas, destacamos Virus Removal Tool de Kaspersky y el Avira EU Cleaner, capaces de detectar y detener este tipo de amenazas. RuBotted, desarrollado por Trend Micro, también merece ser mencionado, pues permite monitorizar la infección. No se quedan atrás el sistema de Constant Guard y el Norton Power Eraser.
Emplear un navegador “de última generación”, evitar hacer clic en archivos adjuntos -a menos que puedas verificar su origen y este sea de confianza-, configurar los parámetros de seguridad de tu equipo y limitar los derechos de usuario cuando estés conectado son otros de los consejos que puedes poner en marcha. Estar al tanto sobre las últimas noticias e información del sector también te ayudará.
Por otra parte, cabe comentar que habitualmente las botnets usan un servidor de Comando y Control (a veces se le llama C&C o C2) para conectar todos los equipos infectados. Con muchas de ellas basta con cerrar este panel para derribarlas.
Sin embargo, también existen botnets que usan redes P2P para comunicarse, de manera que no hay un servidor de este tipo y la eliminación se vuelve más complicada. También puede ocurrir que la botnet use diversos servidores de Comando y Control localizados en distintos países y jurisdicciones, de manera que resulta difícil darlos de baja al mismo tiempo.
Compartir esto: