¿Qué es una botnet?

¿Para qué se utilizan las botnets?

Las botnets se utilizan en varios tipos de ataques que se benefician de alguna manera del uso de un gran número de dispositivos de punto final operados de manera remota. Algunos ejemplos de tipos comunes de ataques de botnets son:

• Denegación de servicio distribuida: en un ataque DDoS, los atacantes envían tráfico desde muchos dispositivos a la vez para saturar las capacidades de procesamiento o ancho de banda de los servidores o la infraestructura de destino y evitar la prestación normal del servicio.
• Phishing y otros fraudes por correo electrónico: las botnets pueden enviar grandes volúmenes de spam o mensajes de phishing desde diferentes cuentas y direcciones IP como parte de intentos de phishing de credenciales, estafas financieras, campañas de malware y más.
• Minería de criptomonedas: al utilizar el poder de procesamiento colectivo de una botnet junto con malware de criptominería, un atacante puede minar moneda digital sin el conocimiento o consentimiento de los propietarios del dispositivo (también conocido como cryptojacking).
• Ataques de fuerza bruta: las botnets pueden realizar rápidamente intentos de inicio de sesión sucesivos para acceder a las cuentas en línea de las víctimas, o usar credenciales expuestas en fugas para intentar rápidamente ataques de relleno de credenciales en múltiples sitios web a la vez.
• Ofuscación basada en proxy: los atacantes pueden convertir los dispositivos de botnets en proxies de reenvío para redirigir el tráfico malicioso, ocultando su identidad y ubicación. Incluso pueden vender acceso a proxy a otros atacantes a través de la dark web.
• Troyanos, keylogging y rastreo de paquetes: el malware de botnet se puede usar para supervisar y registrar datos que el bot envía y recibe, así como para capturar información que los usuarios ingresan en sus dispositivos, como credenciales de inicio de sesión.

¿Cómo funcionan las botnets?

Las botnets comienzan con malware botnet, distribuido como otros tipos de malware a través de métodos como correos electrónicos de phishing o exploits de vulnerabilidades, que convierte los dispositivos infectados en "bots". A continuación, estos bots se comunican con un servidor central controlado por el hacker, denominado servidor de mando y control (C2 o C&C), que el hacker utiliza para dar instrucciones a los bots.

Además de dar instrucciones a los bots para que realicen diversos ataques, el servidor C2 puede emitir actualizaciones del software malicioso para mejorar o alterar las funciones y capacidades de la red de bots, lo que dificulta su detección y defensa. Además, una sola red de bots puede estar formada por cientos o incluso muchos miles de dispositivos ampliamente distribuidos, cuyos propietarios pueden no saber nunca que sus dispositivos forman parte de una botnet.

¿Cómo evaden la detección las botnets?

El malware de botnet está diseñado para pasar desapercibido operando de manera encubierta en segundo plano con técnicas avanzadas como el uso de código polimórfico, algoritmos de generación de dominios (DGA) y cifrado. Estos métodos permiten al malware cambiar su apariencia y alterar u ocultar sus vías de comunicación, lo que dificulta que las medidas de ciberseguridad convencionales, como los antivirus basados en firmas o el hardware de seguridad de red tradicional, detecten, intercepten o analicen el tráfico malicioso vinculado a las operaciones de las botnets.

¿Cómo se controlan las botnets?

Los operadores de botnets (a veces llamados pastores de bots) pueden controlar los dispositivos bot de dos maneras principales:

• Control centralizado, donde el servidor C2 envía instrucciones a cada bot, que no se comunican directamente entre sí.
• Control descentralizado o entre pares, en el que el servidor C2 envía instrucciones a un solo bot, que a su vez se comunica con los demás bots.

Las botnets centralizadas son más fáciles de crear que las redes de bots P2P, pero también son más fáciles de desactivar, ya que los cazadores pueden simplemente localizar y desactivar el servidor central. Por el contrario, las botnets P2P tienen una sobrecarga considerablemente mayor, pero son más difíciles de cerrar, ya que es mucho más difícil localizar el servidor C2 entre todos los dispositivos intercomunicados.

¿Qué tipos de dispositivos pueden verse afectados?

Prácticamente, cualquier dispositivo conectado a Internet puede convertirse en parte de una botnet siempre que un atacante pueda ejecutar malware en él. Estos dispositivos incluyen:

• Computadoras, teléfonos inteligentes y otros dispositivos móviles que ejecutan todos los sistemas operativos comunes
• Servidores, enrutadores y otro hardware de red que pueden facilitar aún más la propagación de ataques
• Los dispositivos del Internet de las cosas (IoT) y de tecnología operativa (OT), que a menudo carecen de una seguridad sólida y, en el caso de los sistemas OT tradicionalmente “aislados” (air-gapped), no fueron diseñados pensando en la hiperconectividad. Aprovechando las vulnerabilidades de los dispositivos IoT, los atacantes pueden montar botnets masivas capaces de lanzar potentes ataques DDoS.

Ejemplos de ataques de botnets

El uso de botnets sigue siendo popular en los ciberataques generalizados debido a lo difícil que puede resultar acabar definitivamente con ellos. A continuación, presentamos un vistazo a algunas botnets de alto perfil que han estado activas en los últimos años:

1. Mirai utiliza técnicas de fuerza bruta y ejecución remota de código para infectar dispositivos IoT con malware de botnet. Mirai, una de las familias de malware IoT más prolíficas desde hace años, protagonizó en 2016 lo que fue el mayor ataque DDoS de la historia.
2. Gafgyt y sus variantes infectan sistemas Linux para lanzar ataques DDoS, habiendo infectado millones de dispositivos IoT desde 2014. Las botnets afiliadas a Gafgyt han sido responsables de ataques DDoS de hasta 400 Gbps de intensidad.
3. BotenaGo utiliza algunas de las mismas técnicas que Mirai, incluida la autenticación de fuerza bruta, para infectar routers y dispositivos IoT. Escrito en el lenguaje Go de código abierto y disponible en GitHub, cualquier posible atacante puede modificarlo o lanzarlo.
4. Mozi, descubierto en 2019, explota principalmente dispositivos IoT con credenciales de inicio de sesión débiles o predeterminadas y los infecta con malware de botnet. Mozi fue responsable de más de 5 % de malware de IoT en la primera mitad de 2023.
5. VPNFilter apunta a routers y dispositivos de almacenamiento, especializándose en atacar dispositivos ICS/SCADA. Supuestamente creado por el grupo de ciberespionaje ruso Fancy Bear, puede exfiltrar datos, bloquear dispositivos y persistir durante los reinicios del router.

Cómo proteger su organización contra las botnets

Con su enorme alcance global, sus tácticas de evasión avanzadas y sus comunicaciones cifradas, los ataques de botnets siguen siendo una amenaza omnipresente y accesible, especialmente a medida que proliferan las variantes de código abierto y la masa de objetivos vulnerables continúa creciendo. Para mantener a salvo los dispositivos de su organización, su seguridad debe ser capaz de detectar y mitigar sistemáticamente la actividad de las botnets.

Zscaler Internet Access™ (ZIA™) es una solución de perímetro de servicio de seguridad (SSE) nativa de la nube. Esta plataforma SaaS escalable, que se ofrece a través de la mayor nube de seguridad del mundo, sustituye a las soluciones de seguridad de red heredadas y evita los ataques avanzados y la pérdida de datos con un enfoque Zero Trust integral. ZIA le permite detectar la actividad de botnets y C2 y detener eficazmente los botnets con:

• Sistema de prevención de intrusiones (IPS): obtenga una protección completa contra botnets, amenazas avanzadas y amenazas de día cero junto con información contextual sobre usuarios, aplicaciones y amenazas.
• Advanced Threat Protection (ATP): Aproveche la protección integrada contra botnets, tráfico de comando y control, uso compartido P2P de riesgo, contenido activo malicioso, scripts entre sitios, sitios fraudulentos y mucho más.

Zscaler Zero Trust SD-WAN intermedia de manera segura el tráfico de sus dispositivos IoT desde sucursales a aplicaciones privadas e Internet a través de Zscaler Zero Trust Exchange™, que restringe el movimiento lateral de malware basado en IoT y controla la comunicación con servidores C2.

Zscaler IoT Device Visibility proporciona una visión completa de todos los dispositivos IoT, servidores y dispositivos de usuario no gestionados en toda su organización sin necesidad de agentes de punto final.