Ejercicio 4.2.

BOTNET

DEFINICIÓN DE BONET
Botnet es el nombre con el que se denomina a cualquier grupo de equipos conectados
a Internet que han sido infectados con malware y que reciben órdenes de forma remota
por el creador de la misma, conocido como botmaster, administrador de bots, pastor o
propietario de robots. Los dispositivos infectados que forman parte de una botnet son
conocidos como bots o zombis.

La palabra botnet es la combinación de los términos robot y network, por lo cual se trata
de un conjunto de dispositivos conectados a Internet infectados y controlados por
un malware.

Una red de ordenadores zombies consta de cuatro componentes:

• Un botmaster que es el hacker que organiza los ataques de botnet.

• Un sistema de mando y control (C&C), que es el equipo que los ciberdelincuentes

utilizan para comunicarse con todos los demás dispositivos infectados. Aunque
no todas las botnets utilizan servidores C&C, algunas son redes de bots con
conexión peer-to-peer.

• El código de bot, que es el caballo de Troya diseñado para ataques de botnet.

También se denominan malware de botnet.

• Los hosts de botnet, bots o dispositivos zombies, que son los dispositivos
infectados con malware de botnet.

1
FORMACIÓN DE UNA BOTNET Y SU FUNCIONAMIENTO
Debemos diferenciar tres fases para la creación de una botnet:

1ª Fase: Infección de las víctimas. Reclutamiento de anfitriones para el ejército de

botnets.

El botmaster debe introducir el malware de la botnet en los equipos de sus víctimas. La

descarga e instalación de la botnet se suele hacer mediante malware o con estrategias
de ingeniería social.

Un requisito previo de un ataque de botnet es asegurarse de tener suficientes hosts

infectados operando en el mismo servidor C&C. Un botmaster suele infectar nuevos
dispositivos mediante los siguientes métodos comunes de inserción de malware:

• Correos electrónicos de suplantación de identidad: el atacante envía a sus

objetivos correos electrónicos de suplantación de identidad haciéndose pasar
por empresas legítimas, reclutadores, equipos de soporte técnico, empleadores,
colegas, etc. Estos correos electrónicos contienen archivos adjuntos maliciosos,
macros o enlaces para redirigir a los usuarios a un sitio web no deseado. Cuando
los usuarios descargan archivos adjuntos infectados o hacen clic en los enlaces
maliciosos en los correos electrónicos, el malware de la botnet puede instalarse
automáticamente en las computadoras de los usuarios.

• Sitios web maliciosos: algunos sitios web ocultan malware en imágenes, videos,
canciones, presentaciones de diapositivas, archivos, software y anuncios. Los
enlaces y botones también pueden estar infectados con malware. Siempre que
los usuarios visitan estos sitios y descargan archivos multimedia infectados o
hacen clic en enlaces corruptos, el troyano botnet infecta sus computadoras o
dispositivos.

• Explotaciones de vulnerabilidad: el botmaster escanea Internet en busca de

dispositivos conectados que tengan vulnerabilidades conocidas. Explotan estas
vulnerabilidades para insertar malware en los dispositivos. Una vez que un
dispositivo se infecta con un troyano botnet, también busca otros dispositivos
vulnerables para infectar y hacer que se unan a la misma red botnet.

• Configuraciones inseguras. Algunos dispositivos como routers y sobre todo, los

que forman parte del IoT suelen contar con configuraciones por defecto poco
seguras, así como, con contraseñas débiles. Estas configuraciones débiles son
usadas para obtener acceso al dispositivo y convertirlo en parte de la botnet.

2ª Fase: Ampliar la botnet y establecimiento de comunicación entre el dispositivo

anfitrión y el bot.

El botmaster puede usar los equipos zombis que componen la botnet para infectar otros
dispositivos. Algunos tipos de malware de botnet pueden propagarse automáticamente
buscando en las redes dispositivos vulnerables que luego infectan.

2
Para establecer la comunicación interna en una botnet, el botmaster utilizará una red
cliente servidor o, utilizando un canal de comunicación más avanzado, una red P2P.

3ª Fase: Activación de la botnet. Uso de software malicioso de botnet para ataques

cibernéticos.

Cuando la nueva botnet adquiere el tamaño suficiente, el botmaster puede usar la

potencia combinada de todos los dispositivos infectados para ejecutar cualquier tipo de
ataque, desde devastadores ataques DDoS, fuerza bruta, robo de datos, difusión de
malware, tráfico falso, hasta actividades de criptominería.

Para explicar su funcionamiento debemos saber que cualquier dispositivo con conexión
a Internet puede formar parte de una red de este tipo, desde ordenadores, servidores,
routers, hasta dispositivos inteligentes conectados al Internet de las Cosas (IoT).

Las diferentes tareas que realizan los equipos infectados son dirigidas generalmente
desde un servidor central mediante un sistema de mando y control también conocido
como C&C (Command & Control). Existe otro tipo de botnet (P2P) que carecen de ese
único servidor debido a la descentralización que proporcionan las redes P2P.

Una vez que las botnets establecen una red de dispositivos conectados e infectados,
usan los equipos comprometidos para lanzar ataques diseñados para bloquear la red de
un objetivo, inyectar malware, recolectar credenciales o ejecutar
ciberataques generalizados que cubren desde miles hasta millones de dispositivos con
facilidad.

MÉTODOS DE CONTROL DE LAS BOTNETS

La mayoría de las botnets se clasifican en dos grupos: las hay centralizadas, con una
comunicación directa entre el botmaster y los equipos zombis, y las hay de sistema
descentralizado, donde existen varios nexos entre todos los dispositivos infectados.

• Centralizadas: modelo de cliente-servidor.

Las botnets centralizadas usan la estructura de cliente-servidor propia de la arquitectura

de redes tradicional para comunicarse con los dispositivos de la botnet por medio de un
servidor de mando y control (C&C). Se trata de un sistema eficiente que, sin embargo,
tiene un punto débil: los servidores C&C son fáciles de encontrar y desactivar. Cuando
el servidor C&C se inutiliza, el botmaster ya no puede comunicarse con su botnet.

3
Todos los hosts (clientes) infectados reciben comandos de un único servidor central. En
algunos casos, el hacker utilizará una red de Internet Relay Chat (IRC) para comunicarse.
Esto significa que todos los dispositivos comprometidos deben conocer el servidor, el
puerto y el canal de IRC correctos para conectarse para conectarse con el servidor.

A veces, el botmaster utiliza un sitio web (nombre de dominio o dirección IP) como
punto central de contacto. Cuando los bots infectados acceden al sitio web, obtienen
acceso a una lista de comandos para ejecutar. Operar desde el sitio web es mucho más
fácil que la red IRC, especialmente cuando hay un gran número de bots cliente.

• Descentralizadas: red de pares punto a punto.

Los modelos de botnets de pares son más avanzados, ya que relegan el modelo de
cliente-servidor en favor de la estructura entre pares (P2P). En ellos, la comunicación se
entabla entre todos los elementos de la red. Todos los dispositivos infectados pueden
comunicarse con el resto, lo cual elimina la necesidad de que haya un solo servidor de
mando y control (que sería una situación más vulnerable).

En comparación con las botnets de cliente-servidor, las botnets P2P son mucho más
difíciles de desmantelar.

Este es un canal más avanzado. Aquí, los bots no reciben comandos a través de un
servidor C&C centralizado; más bien, transmiten los comandos que reciben a otros bots
directamente. Los gobiernos e investigadores de ciberseguridad se enfrentan a desafíos
importantes cuando intentan detectar redes P2P porque con frecuencia están
descentralizadas. Es un desafío porque no pueden apuntar, monitorizar y eliminar
ningún servidor en particular porque los bots no se comunican con ningún servidor C&C
centralizado.
Los bots a veces también usan infraestructura de clave pública. El componente de firma
digital dificulta la detección e interceptación de redes peer-to-peer para los
investigadores de seguridad. La firma digital implica el uso de encriptación asimétrica
que involucra dos claves: una pública y otra privada.
- Claves asimétricas: aquí, el atacante inserta una clave pública en el malware que
infecta los dispositivos zombis. Para evitar el secuestro de la botnet, el atacante
firma todos los comandos con las claves privadas correspondientes antes de
distribuirlos a la botnet. Los bots autentican los comandos usando la clave
pública para asegurarse de que los comandos provengan únicamente del
botmaster.

4
 - Claves simétricas: en algunas redes de bots P2P, cada bot genera su propia clave
simétrica y otros bots pueden usarla para transferir información entre ellos. Por
lo tanto, tanto el botmaster como otros bots utilizan la clave simétrica para
transmitir la información a otros bots. En este escenario, ningún otro cliente
puede unirse a la red de igual a igual sin una clave privada correspondiente.

FINALIDAD DE LAS BOTNETS

Los principales usos de una botnet son los siguientes:

Ataques de denegación de servicio distribuido o DDoS.

El objetivo de los ciberdelincuentes es impedir el correcto funcionamiento de un

servicio, como puede ser la página web de una organización con el consiguiente daño
de su imagen y reputación. Para conseguirlo ordenan a un gran número de dispositivos
zombis que accedan a la vez al mismo servicio, haciendo que este se sature llegando
incluso a bloquearse e impidiendo que los usuarios puedan utilizarlo. Los ataques DDoS
con resultado positivo interrumpen los servicios y hacen que los sitios web no estén
disponibles para los usuarios legítimos.

Algunas redes de bots populares para ataques DDoS son Nitol, AgoBot, Cyclone, SDBot,
Cutwail y PhatBot.

Ataques de fuerza bruta

En un ataque de fuerza bruta, se suele usar una lista preconfigurada de valores (ID de
usuario y contraseñas) para intentar obtener las credenciales de inicio de sesión.

Los hackers utilizan con frecuencia scripts para automatizar este proceso. Pero los sitios
web pueden prevenir fácilmente los ataques de fuerza bruta limitando los intentos de
inicio de sesión por dirección IP. Las páginas de inicio de sesión se congelan para
cualquier dirección IP individual después de un número específico de intentos fallidos
de inicio de sesión. Una botnet puede ejecutar un ataque de fuerza bruta con éxito en
el sitio web incluso si el web máster ha habilitado la función de intentos de inicio de
sesión limitados. En los ataques de fuerza bruta de botnet, los bots reciben una lista de
sitios web (o direcciones IP) y algunos pares de nombres de usuario y contraseñas
(generalmente menos de tres) del botmaster para cada dirección IP. Los bots intentan
autenticar el conjunto de credenciales dado en la IP designada.

Robo de Información

Otra finalidad de utilizar una botnet es robar información confidencial de sus

dispositivos host. Instalados en los dispositivos host. El malware instalado en los
dispositivos host para los ataques de botnet puede hacer cualquiera de las siguientes
acciones y enviar la información al botmaster:

• Seguimiento de todas las actividades de los usuarios.

• Registro de la información almacenada en las computadoras host.

5
 • Supervisión de las transacciones en línea de los usuarios.

• Utilizar el registro de pulsaciones de teclas para registrar la actividad del teclado

de los usuarios.

• Utilizar la captura de formularios (también conocida como formjacking) para

robar las credenciales de inicio de sesión de los formularios en línea.

Un botmaster puede robar y hacer un uso indebido de una variedad de información de

los usuarios para cometer fraude financiero o de identidad, que incluyen:

• Nombres y apellidos

• Números de tarjetas de crédito o débito

• ID de usuario y contraseñas

• Correos electrónicos

• Direcciones físicas

Los ataques de botnet también se utilizan para robar información confidencial

relacionada con empresas, los gobiernos, la política, etc...

Difusión de malware

Una vez que un dispositivo se infecta, su malware pasa a otros dispositivos para reclutar
bots en la misma red. Un ejemplo de esto es cuando, el dispositivo infectado envía
enlaces cargados de malware, archivos adjuntos y correos electrónicos de phishing a los
contactos de las redes sociales / directorio telefónico del anfitrión y las listas de
contactos de correo electrónico, sin el conocimiento del usuario. También corrompen
los otros dispositivos conectados.

Fraudes publicitarios - Tráfico falso

Normalmente, los servicios de anuncios en Internet pagan a los administradores de las

webs donde figuran en función de varios factores, entre los que se incluye la
visualización del anuncio y el hacer clic en el mismo. Los bots infectados deben visitar
un sitio web para generar más tráfico y hacer clic en los anuncios para obtener más
dinero del modelo de publicidad de ingresos por clic (RPC). Se llama fraudes por clic.

Venta y alquiler de la botnet.

Las botnet son alquiladas por usuarios que desean realizar algún tipo de actividad ilícita,
como perpetrar ataques de denegación de servicio. También pueden ser vendidas en
parcialmente para que los nuevos administradores hagan con ella a través de los
dispositivos infectados, cualquier tipo de actividad fraudulenta.

Minería de criptomonedas

Las botnets se programan para usar el poder de cálculo acumulativo de miles de

computadoras simultáneamente con el fin de minar la criptomoneda elegida. Por tanto,
el resultado puede ser más rápido y el botmaster puede robar más criptomonedas.
6
Algunas redes de bots populares para la minería de criptomonedas son Smominru,
Adylkuzz, Bondnet, PyCryptoMiner.

MÉTODOS DE PREVENCIÓN Y PROTECCIÓN

Una vez que un dispositivo es pirateado e infectado con el malware, éste se puede
utilizar para volver a conectar el dispositivo al servidor central de la botnet. Una vez que
todos los dispositivos dentro de una red de bots están conectados de nuevo al creador,
pueden comenzar a ejecutar ataques.

Las botnets se difunden principalmente por medio de campañas de malware,

vulnerabilidades no parcheadas o configuraciones poco robustas.

Para prevenir ataques de botnets o formar parte de una de ellas, así como para proteger
los dispositivos y que no se infecten con los troyanos de botnets, debemos tener en
cuenta las siguientes cuestiones:

• Actualizaciones de software: es necesario tener actualizado tanto el sistema

operativo, como las herramientas de seguridad que tengan instaladas todos los
dispositivos.

• Usar siempre software original y descargarlo de su fuente legítima.

• Comprobar las configuraciones de seguridad que tienen los dispositivos, sobre

todo los que forman parte del IoT, modificando las contraseñas de acceso.
Los routers o cortafuegos también pueden formar parte de una botnet, por lo
que es importante cambiar todas las contraseñas por defecto por otras robustas,
deshabilitar cualquier servicio innecesario y mantener el sistema actualizado.

• Correos electrónicos: hay que tener precaución a la hora de abrir documentos

adjuntos o enlaces a sitios web, asegurándonos que la dirección de correo del
remitente pertenezca a la empresa que dice ser.

• Descargas en línea: se debe evitar descargar archivos adjuntos o hacer clic en los
enlaces de los correos electrónicos si el correo electrónico es de un remitente
desconocido. Al descargar software, imágenes, videos, canciones, etc. de sitios
desconocidos habrá que realizar un escaneo con un antivirus antes de
descargarlos.

• Software de seguridad: se recomienda la instalación de antimalware,

antispyware y firewalls en los dispositivos.

• Comprobación manual de carpetas: es muy útil para la detección de posibles

ataques o infección de malware la comprobación de las carpetas C: / Program
File y C: / Program Files (x86); si se detecta algún programa desconocido (se
puede comprobar en internet que tipo de archivo es y que su editor sea de
confianza) habrá que eliminarlo tanto de la ubicación original como de la
papelera de reciclaje.

7
 • Limitar el acceso y los intentos de inicio de sesión: para los ataques de fuerza
bruta, es posible que no sea suficiente habilitar la función de intentos de inicio
de sesión limitados. Habrá que establecer un método de verificación de dos o
múltiples factores, en el que los usuarios reciben un código secreto o contraseña
de un solo uso (OTP) en sus móviles a través de SMS o llamadas de voz
automatizadas.

• Usar firewalls: instalando un firewall de aplicaciones web (WAF) en tu servidor.

• Disponer de herramientas de protección DDoS: para reducir los efectos de los

ataques DDoS, es útil el uso de herramientas para monitorizar y controlar el
tráfico que llega al sitio web o aplicación.

• Utilizar herramientas antimalware o aplicaciones anti-botnets que tengan la

capacidad de prevenir ataques de botnet. Este tipo de software tiene la
capacidad de monitorizar, detectar amenazas de redes de bots y romper la
interacción entre los bots y el servidor de C&C (existen múltiples aplicaciones en
el mercado, alguna de ellas gratuitas).

Las botnets suelen ser causantes de graves consecuencias a las empresas. Prevenir su
infección siguiendo las recomendaciones anteriores y, sobre todo, concienciando a los
empleados sobre el uso seguro de los equipos, será la mejor manera de evitar esta
potencial amenaza.

Cómo podemos saber si nuestro equipo o empresa está infectado o forma parte de
una botnet.

Igual que otros tipos de malware, el que convierte un dispositivo conectado a Internet
en un botnet está diseñado para ser lo más imperceptible posible. Eso no significa que
no se dejen rastros. Las botnets utilizan los recursos informáticos de múltiples
dispositivos para realizar sus tareas, lo que significa que habrá señales visibles siempre
que se sepa buscar.

8
Algunos síntomas de infección con botnets son:

• Está funcionando el ventilador del PC mientras está inactivo.

• Problemas para apagar el PC o incapacidad para cerrar los procesos: el malware

de una botnet puede impedir cerrar los programas que esta necesita para llevar
a cabo su misión. Si hay una aplicación que no se cierra de ninguna forma, es
posible que haya una botnet.

• Publicaciones extrañas en las redes sociales de las cuentas de correo electrónico.

• Disminución del rendimiento de los dispositivos afectados. Los equipos

infectados con el malware de la botnet, además de realizar las acciones que el
usuario legítimo ordena, hacen otras que son las propias del ciberdelincuente.
Esto hace que el consumo de recursos aumente, disminuyendo el rendimiento
en las tareas legítimas del equipo.

• No se pueden descargar actualizaciones del sistema operativo ni del

antivirus: muchas botnets (y otros tipos de malware) utilizan el sistema
operativo y otros puntos débiles del software para infectar los dispositivos.
Algunas botnets utilizan malware que puede impedir la actualización del sistema
operativo para así permanecer en el sistema del usuario. Uno de los objetivos de
una botnet es pasar el mayor tiempo posible inadvertida. Para conseguirlo harán
uso de diferentes técnicas cuyo único fin es ocultarse. Una de las formas de
conseguirlo será también desactivando el antivirus o haciendo que este no
funcione correctamente. Esto podría abrir la puerta a más infecciones
por malware, ya que las defensas están desactivadas.

• El antivirus detecta malware de botnet: muchas de las mejores herramientas

antivirus gratuitas son excelentes detectores de botnets. Buscan botnets y otras
amenazas; si encuentran algo, eliminan el malware.

• El acceso a Internet es muy lento, ralentización repentina de Internet o picos en

el ancho de banda: el ancho de banda es importante para una botnet, ya sea
para enviar correos electrónicos de spam o para lanzar un ataque DDoS. Los
aumentos y las caídas bruscos en el ancho de banda de la velocidad de Internet
pueden ser indicio de que hay una botnet maquinando en segundo plano.
También pueden ser una señal de que los dispositivos que tiene en su hogar
inteligente contienen malware de botnet.

• Cambios en el sistema sin motivo aparente: un botmaster puede modificar los

archivos del sistema. Si se observa algún cambio para el que no tiene explicación,
es posible que haya una infección.

• Tus contactos reciben emails sospechosos no enviados por el usuario.

• Aparecen ventanas emergentes en momentos aleatorios.

• Aparecen procesos desconocidos en el Administrador de tareas: en el

Administrador de tareas de Windows se ven todos los procesos que se están
ejecutando en el equipo a cada momento. Si se están ejecutando nombres de

9
 programas irreconocibles, habría que indagar inmediatamente, pues podría
tratarse del malware de una botnet.

• Reducción de la vida útil del dispositivo. Cualquier equipo informático, cuanto

mayor uso y estrés sufra, menor será su tiempo de vida útil. Al realizar tanto las
tareas legítimas encargadas por el administrador, como las de la botnet, la vida
del dispositivo se reduce.

• Aumento de la factura eléctrica. Principalmente en el caso de empresas

infectadas, algunas de las tareas que se pueden ordenar a los equipos que
forman parte de la botnet consisten en el minado de criptomonedas. Esto
requiere gran cantidad de procesamiento, lo que a su vez hace aumentar el
consumo eléctrico, y por consiguiente, la factura.

Herramientas anti-botnets

Una forma efectiva de detectar una infección por botnet es analizando el

comportamiento de los equipos informáticos.

Además, es importante saber que las botnets pueden infectar tantos dispositivos y estar
tan dispersas, que es difícil acabar con una red existente de botnets. La mejor manera
es apuntar a aspectos específicos del funcionamiento de la botnet y los dispositivos
individuales, y proteger todas las facetas de la red que podrían ser atacadas por botnets.

Para abordar este problema habría que deshabilitar los centros de control de una botnet
y/o eliminar la infección de los dispositivos individuales comprometidos. Monitorizar los
datos a medida que entran y salen de los dispositivos puede detectar botnets cuando
intentan invadir los equipos. También suele ser una medida efectiva usar contraseñas
más seguras para evitar que los atacantes accedan al sistema a través de dispositivos
débilmente protegidos.

A continuación, se relacionan una serie de herramientas desarrolladas por diferentes

empresas para detección y actuación ante ataques de botnets.

DE-Cleaner desarrollado por Avira

DE-Cleaner es un servicio gratuito iniciado por la Asociación de la Industria Alemana de

Internet para aumentar la conciencia de que la computadora del usuario es parte de las
redes de bots. El sitio web oficial contiene información que explica las redes de bots,
cómo se infecta, etc.

Dos reconocidas empresas de seguridad que crean uno de los softwares antivirus más
populares, Avira y Kaspersky, han participado en este proyecto, ofreciendo
herramientas de análisis gratuitas para detectar y eliminar software malicioso. incluido
el malware bot.

El instalador de Avira DE-Cleaner requiere una conexión a Internet para descargar el

programa y los archivos de patrones más recientes.

10
RuBotted

Es una herramienta gratuita de monitorización de infecciones de bots creada por Trend

Micro que es muy fácil de usar sin necesidad de configuración o conocimientos.
Simplemente descarga, instala y permite que el programa se ejecute automáticamente
durante el inicio de Windows, que se ubicará en silencio en el área de notificación que
monitoriza tu sistema Windows.

Cuando se encuentra una infección, RuBotted usa otra de sus herramientas gratuitas
llamada HouseCall para limpiar el malware del bot. Además de monitorizar archivos en
busca de comportamientos sospechosos similares a bot, RuBotted también trabaja con
su tecnología basada en la nube llamada Smart Protection Network para detectar más a
fondo botnets conocidas y desconocidas.

Mirage Anti-Bot

Usa el archivo HOSTS de Windows para evitar que conectes los servidores de comando
y control conocidos. La lista de URL incorrectas conocidas se descarga de abuse.ch que
rastrea los servidores ZeuS, SpyEye y Palevo C&C. Aparte de eso, PhrozenSoft también
tiene su propia base de datos global y también puede agregar un nuevo host
personalizado.

Mirage Anti-Bot actualizará automáticamente la lista de bloqueo, pero también puede

forzar manualmente una verificación de actualización haciendo clic en el botón
Actualizar.

Bot Revolt

Afirma ser un software de consumo anti-botnets que protege tu computadora de virus,

bots y piratas informáticos. Pero Bot Revolt simplemente hace exactamente lo mismo
que PeerBlock, que bloquea las direcciones IP incorrectas conocidas de acuerdo con
categorías como gobiernos, corporaciones, máquinas anti-P2P y países. Su lista de
direcciones IP se compila a partir de algunas fuentes, como spamcop, i-blocklist,
spamhaus, blocklistpro y afirma que bloquea más de mil millones de direcciones IP.

Siempre que tu computadora reciba un paquete, Bot Revolt verifica la fuente del
paquete entrante con su lista de bloqueo y automáticamente permitirá o bloqueará el
paquete según la configuración.

EJEMPLOS DE BOTNETS
Hay cientos de tipos de botnets. Estas son algunas de las más usadas para algunos de los
ciberataques llevados a cabo en los últimos años.

Mariposa

Es considerada por muchos una de las mayores redes de bots de la historia.

11
La botnet fue creada originalmente por el equipo Días de Pesadilla o (DDP) usando el
malware llamado “Butterfly Bot”, el cual fue vendido a varias organizaciones e
individuos. El objetivo de este malware es instalarse en computadoras no infectadas,
monitorizar las actividades para recuperar contraseñas, credenciales de bancos y
tarjetas de créditos. Entre los métodos que empleaba para propagarse están: MSN,
redes P2P y USB. Después de completar la infección inicial, el malware contactaba a un
servidor que se encarga de controlarlo.

Mariposa, comenzó a construirse a través de un kit de malware conocido como Butterfly

Bot. Este kit puede adquirirse en la red por un valor aproximado de entre 500 y 1.000
euros y permite a cibercriminales con escasos conocimientos crear botnets con más de
700 zombis.

Las operaciones ejecutadas por la botnet fueron diversas, en parte porque fue alquilada
a terceros. Entre las actividades confirmadas se encuentran ataques de denegación de
servicios, envío de correo spam, robo de información personal y cambios en los
resultados que muestran los buscadores para mostrar publicidad.

Debido a su tamaño y naturaleza, el impacto social y financiero es difícil de calcular, pero

se estima que la eliminación del malware costó 10 millones de dólares. Después de la
captura del operador de la botnet, el gobierno descubrió cerca de 800.000 individuos
cuyos datos personales pudieron ser vendidos para robo de identidades.

Esta botnet fue descubierta en diciembre de 2008 y sus principales técnicas de ataque
se centraban en cyberscamming y ataques de tipo DoS.

Después de recopilar información sobre la red y localizar los diferentes paneles de

control desde donde los criminales mandaban instrucciones a los dispositivos, se pudo
saber cuáles eran las principales actividades delictivas que se llevaban a cabo a través
de Mariposa (robo de credenciales de los equipos infectados, Spam mediante email y
modificación de resultados de búsquedas, redireccionando a los usuarios a anuncios que
hacían ganar dinero a los criminales).

Los vectores de infección más utilizados por esta botnet fueron medios extraíbles de
almacenamiento, plataformas de mensajería instantánea como MSN Messenger o redes
sociales como Facebook o MySpace.

Quienes estaban detrás de esta botnet se hacían llamar DDP Team y dar con ellos fue
una tarea bastante complicada, ya que estos siempre se conectaban a Mariposa a través
de servicios VPN, lo que dificultaba la localización de la dirección IP real que estaban
utilizando.

En mayo del 2009 se formó el Mariposa Working Group (MGW) compuesto por la
compañía Defense Intelligence, el Georgia Tech Information Security Center, Panda
Security y otras agencias de seguridad. La tarea de este grupo fue el de eliminar y el
análisis de la botnet Mariposa.

En diciembre de 2009 el MWG fue capaz de cortar la conexión entre la botnet y el DDP
Team. Tras esta acción el jefe de la banda, alias Netkairo, intentó por todos los medios
recuperar el control de Mariposa y en uno de sus intentos cometió el error de conectarse

12
a ella directamente desde su ordenador personal, dejando al descubierto cual era la IP
real que estaba utilizando.

Cuando éste consiguió de nuevo el control de la botnet, lanzó un ataque de denegación

de servicio contra Defence Intelligence. Este ataque hizo que un importante proveedor
de acceso a internet dejara de dar servicio a sus clientes durante horas, provocando la
caída de varios centros universitarios en Canadá.

A consecuencia de otra operación del Mariposa Working Group, DDP perdió de nuevo
el control de la botnet, momento que MWG aprovechó para cambiar los DNS donde se
estaban conectando los bots y se pudo saber con certeza cuál era el número de
ordenadores que había infectado Mariposa: más de 12 millones de direcciones IP se
estaban conectando y enviando información a los servidores de control.

En febrero de 2010, la Guardia Civil detuvo a Netkairo, Florencio Carro Ruiz, un joven
español de 31 años de edad. En esta detención se incautó numeroso material
informático que, tras su análisis forense, permitió a los cuerpos de seguridad localizar a
otros dos miembros de la banda, Jonathan Pazos Rivera de 30 años y Juan José Ríos
Bellido de 25 años, ambos detenidos pocos días después. Los tres criminales fueron
condenados a 6 años de prisión.

Las víctimas de esta red estaban repartidas por más de 190 países y afectaron a equipos
empresariales, usuarios domésticos, agencias gubernamentales y universidades. En el
análisis de datos robados se encontraron cuentas bancarias, credenciales, nombres de
usuarios, etc.

Tras el análisis de los discos duros de Netkairo, se reveló una compleja red de
proveedores que ofrecían todo tipo de servicios criminales: hackeo de servidores para
utilizarlos como servidores de control de la red de bots, encriptación de bots para
hacerlos indetectables en la red, VPN para el manejo de la botnet, etc. También se
descubrió que la banda se dedicaba al robo de dinero directo a través de las cuentas
bancarias que habían comprometido, utilizando a muleros de Canadá y Estados Unidos
para blanquearlo.

Debido la cooperación entre Guardia Civil, Panda Security y Defence Intelligence, el 28

de julio de 2010 la policía de Eslovenia pudo detener al creador del malware Butterfly
boty, Matjaž Škorjanc (alias Iserdo) de 23 años.

Mirai

La botnet Mirai, que utiliza malware Mirai, se dirige a servidores basados en Linux y
dispositivos IoT como enrutadores, DVR y cámaras IP. Mirai usa el canal encriptado para
comunicarse con los hosts y se borra automáticamente después de que se ejecuta el
malware. De ahí por qué es difícil de detectar para las organizaciones.

Mirai se descubrió en 2016 y se identificó como la responsable de varios ataques DDoS

de grandes proporciones. Los ordenadores infectados con Mirai buscan dispositivos
conectados a Internet usando contraseñas predeterminadas y, en cuanto los
encuentran, los infectan.

13
Tras una oleada inicial de ataques sucedida en septiembre de 2016, el código fuente de
Mirai se publicó en la red; otros desarrolladores de malware lo estudiaron y crearon
malware de botnet todavía más sofisticado.

Los operadores de botnet Mirai lo utilizan principalmente para ataques DDoS y minería
de criptomonedas (criptominería). Se ha dirigido a algunas de las organizaciones
populares como GitHub, Twitter, Reddit, Netflix, Airbnb, Krebs on Security y la
Universidad de Rutgers.

Dridex

Dridex es un troyano bancario que utiliza un sistema de afiliados para sus redes de bots.

La operación de Dridex está segregada en las principales redes de bots que utilizan una
infraestructura de mando y control (C2) diferente, pero comparten el mismo diseño y
arquitectura de red conceptual. Luego, cada botnet importante se segrega en pequeñas
botnets lógicas que comparten la misma infraestructura C2. Cada botnet se identifica
mediante un ID de botnet.

El objetivo primordial de este malware es robar información bancaria de los usuarios de

máquinas infectadas para inmediatamente lanzar transacciones fraudulentas. Para
obtener la información bancaria el malware instala un escucha de teclado y realiza
ataques de tipo inyección web. Durante 2015, las pérdidas por causadas por este
malware fueron estimadas en 20 millones de libras en el Reino Unido y en 10 millones
de dólares en Estados Unidos.

Bredolab

La botnet Bredolab, también conocida por su alias Oficla, era una botnet rusa
involucrada principalmente en spam de correo electrónico viral. Antes de que la botnet
fuera finalmente desmantelada en noviembre de 2010 mediante la incautación de sus
servidores de comando y control, se estimaba que consistía en millones de
computadoras zombies.

La principal forma de propagación de Bredonet era mediante el envío de correos

electrónicos maliciosos que incluían archivos adjuntos de malware que infectarían una
computadora cuando se abrieran, convirtiendo efectivamente la computadora en otro
zombi controlado por la botnet. En su apogeo, la botnet era capaz de enviar 3.600
millones de correos electrónicos infectados todos los días.

La otra forma principal de propagación fue mediante el uso de descargas no autorizadas,

un método que aprovecha las vulnerabilidades de seguridad en el software. Este método
permitió a la botnet evitar la protección del software para facilitar las descargas sin que
el usuario se diera cuenta.

Conficker

La botnet Conficker, que llegó a tener bajo su control más de 10,5 millones de
dispositivos en 2008, sigue siendo una de las más grandes que existe. Se trata de una
botnet de tipo gusano informático que se propaga a una velocidad sin precedentes.

14
Tras infiltrarse en las redes gubernamentales de varios países europeos, Conficker
provocó millones de euros en daños y estuvo a punto de causar estragos a nivel mundial.
Por fortuna, la botnet nunca se utilizó en un ataque DDoS. Se calcula que existe en unos
500 000 equipos de todo el planeta.

Zeus

Zeus no solo fue una gran botnet en sistemas Windows, tenía también un componente
que robaba códigos de banca en línea de una variedad de dispositivos infectados
(Symbian, Windows Mobile, Android y Blackberry). En 2012, fuerzas estadounidenses y
sus socios de la industria de la tecnología dieron de baja la botnet.

Los autores originales con códigos de su creación original y la revivieron –tal como un
hechicero vuelve a la vida a un zombi resucitado- y nació lo que conocimos como
Gameover Zeus y posteriormente sus creadores rearmaron su red zombi con
Cryptolocker que fue propagada por variantes de Zeus.

Gameover ZeuS

Gameover ZeuS, una botnet P2P cifrada derivada de la familia de malware ZeuS, se
empleó para robar las credenciales bancarias de millones de víctimas, un hecho que tuvo
nefastas consecuencias. Se cree que, cuando se logró desarticular, Gameover Zeus ya
había causado unas pérdidas de más de 100 millones de dólares.

En 2013, esta botnet se usó para infectar a las víctimas con el ransomware CryptoLocker.
Los artífices del catastrófico ataque de ransomware consiguieron millones de dólares en
bitcoins mediante la extorsión de las víctimas antes de que Operation Tovar, una unidad
especial internacional integrada en la FBI y Europol, pudiera desmantelar la botnet
Gameover ZeuS en 2014.

Mēris

La botnet Mēris acaparó Twitter en septiembre de 2021 por haber lanzado un

destructivo ataque contra el proveedor ruso de servicios de Internet Yandex, al que llegó
a enviar 21,8 millones de solicitudes por segundo, una cifra récord. La botnet Mēris está
compuesta, aproximadamente, por 250 000 dispositivos. También lanzó un ataque
contra el proveedor de infraestructuras web Cloudflare a principios de año.

Casi todos los robots de la botnet Mēris son dispositivos de red, como routers,
producidos por el fabricante letón MikroTik. En ataques anteriores, los creadores de la
botnet amenazaban a sus posibles víctimas con atacar si no se plegaban a sus
extorsiones.

Flashback

Para aquellos que piensan que “Mac no se infecta con virus”, Flashback fue en cierta
forma un shock. Lo cierto es que las Macs pueden infectarse con malware –y lo hacen.
De hecho, máquinas infectadas se han convertido en parte de esta botnet masiva.
Mientras la red Conficker se hizo de un mayor número de máquinas afectadas, Flashback
tuvo un gran porcentaje del número total de máquinas Apple, con cerca de 600 mil
infectadas en su “mejor” momento.

15
Windigo

En la superficie, este bot parece ser como muchos otros: roba credenciales de máquinas
infectadas, o usa su poder de procesamiento para enviar spam. Y con solo algunas
decenas de miles de máquinas infectadas en su pico, sería difícil equiparar esta amenaza
con el resto de las botnets de esta lista.

Sin embargo, los autores de este malware parecen haber creado su propio ejército
zombi lentamente, de modo que han logrado permanecer fuera del radar por un tiempo.

Y esas decenas de miles de máquinas son Linux, en su mayoría servidores, y muchos

alojan sitios que visitan millones de personas. Windigo no se limita a afectar sistemas
Linux: infecta computadoras Windows con malware que se propaga a través de un
exploit kit. También “sirve” a los usuarios de Mac con avisos de sitios de citas, y redirige
a los de iPhone a sitios pornográficos.

El nombre viene de la leyenda algonquina que habla de un Wendigo asociado al

canibalismo –la representación “corporizada” de la gula, la avaricia y el exceso. Esta
bestia nunca estaba satisfecha matando y consumiendo a una persona; siempre estaba
buscando nuevas víctimas.

16
BIBLIOGRAFIA

https://www.incibe.es/aprendeciberseguridad

https://derechodelared.com/botnet-mariposa/

http://www.ecured.cu

https://www.kaspersky.es

https://www.avast.com

https://www.gdata.es/guidebook

https://www.proofpoint.com

https://www.redseguridad.com/actualidad/cibercrimen

https://www.welivesecurity.com/

https://ayudaleyprotecciondatos.es

https://www.lisainstitute.com

17