Botnets

Las redes in­fo­r­má­ti­cas permiten compartir la potencia del propio ordenador y, por lo tanto, llevar a cabo tareas complejas y de alto re­n­di­mie­n­to con mayor rapidez. Sin embargo, esta te­c­no­lo­gía suele uti­li­zar­se con fines ilegales en la mayoría de casos, por lo que el término botnet suele tener una co­n­no­ta­ción negativa. Te ex­pli­ca­mos qué es una botnet, cómo puedes pro­te­ge­r­te de ella y qué puedes hacer si tu ordenador se ha infectado con una botnet maliciosa.

Una botnet es una red de or­de­na­do­res que se utiliza para llevar a cabo diversas tareas ru­ti­na­rias. Se distingue entre las botnets legítimas y las ma­li­cio­sas: las primeras aseguran el correcto fu­n­cio­na­mie­n­to de los sitios web o del IRC (del inglés Internet Relay Chat) y también se utilizan en proyectos de in­ve­s­ti­ga­ción, para poder im­ple­me­n­tar procesos in­fo­r­má­ti­cos complejos más rá­pi­da­me­n­te. El ejemplo más conocido es el proyecto SETI@home de la Uni­ve­r­si­dad de Berkeley, que permite utilizar parte de la potencia del propio ordenador para colaborar en la búsqueda de vida ex­tra­te­rre­s­tre in­te­li­ge­n­te.

Lo más frecuente respecto de las botnets es la di­s­tri­bu­ción de malware por correo ele­c­tró­ni­co. En este caso, la botnet se utiliza para su propia expansión: el de­s­ti­na­ta­rio recibe un correo ele­c­tró­ni­co con un programa de in­s­ta­la­ción que le pide que se descargue el archivo adjunto. En cuanto abre el archivo, el malware se instala en segundo plano y el ordenador pasa a formar parte de la botnet.

Otra forma de ataque es la descarga vo­lu­n­ta­ria de un programa: se presenta un software apa­re­n­te­me­n­te ino­fe­n­si­vo que el usuario descarga y ejecuta. Sin embargo, la apli­ca­ción esconde un troyano. Ac­tua­l­me­n­te, cada vez más programas legales son pi­ra­tea­dos y co­n­ve­r­ti­dos en hosts para troyanos.

Por otra parte, se pueden emplear exploits para extender la botnet. Este tipo de software aprovecha las brechas de seguridad del navegador o del sistema operativo para in­co­r­po­rar el ordenador a la red. Aunque algunos exploits aún requieren que el usuario haga clic ac­ti­va­me­n­te en un enlace, cada vez se producen más in­fe­c­cio­nes de tipo drive-by, en las que el código malicioso se ejecuta di­re­c­ta­me­n­te cuando se visita una página web. De este modo, incluso páginas populares que no están re­la­cio­na­das de ninguna manera con la botnet también pueden in­fe­c­tar­se.

La forma de pro­pa­ga­ción menos utilizada es la in­s­ta­la­ción manual, que suele emplearse más con se­r­vi­do­res, ya que estos cuentan con buenas co­ne­xio­nes de red y ofrecen más potencia.

La creación de la red comienza con la in­tro­du­c­ción de un bot en un ordenador ajeno. Este bot actúa en segundo plano y, en la mayoría de los casos, sin que lo note el pro­pie­ta­rio del di­s­po­si­ti­vo. Una vez consumado el ataque, el ordenador se controla de forma remota para que realice tareas sencillas. Puesto que los di­s­po­si­ti­vos pasan a ser dirigidos por un tercero, los or­de­na­do­res que forman parte de la botnet se denominan PC zombis.

Los PC zombis se comunican unos con otros a través de Internet y reciben in­s­tru­c­cio­nes del botmaster. Como los PC zombis solo pueden co­n­tro­lar­se por Internet, solo están activos cuando están en­ce­n­di­dos y co­ne­c­ta­dos a la red. El botmaster da las mismas órdenes a todos los PC zombis, ya sea visitar una página web, enviar spam o iniciar un ataque DDoS.

El objetivo de una botnet es utilizar la potencia de los or­de­na­do­res de la red para llevar a cabo tareas ru­ti­na­rias. La mayoría de las botnets se utilizan con fines de­li­c­ti­vos. Por ejemplo, a través de ellas, los ci­be­r­cri­mi­na­les sustraen in­fo­r­ma­ción y datos im­po­r­ta­n­tes que después venden en el mercado negro de Internet, la llamada darknet, o que utilizan ellos mismos.

Las botnets también son ideales para enviar spam como, por ejemplo, correos ele­c­tró­ni­cos de phishing. Con este método, las ac­ti­vi­da­des ma­li­cio­sas se llevan a cabo a través del ordenador de un tercero y el de­li­n­cue­n­te real permanece oculto.

Como puedes ver, las botnets pueden uti­li­zar­se con fines frau­du­le­n­tos de maneras muy variadas. Con ellas se suelen perpetrar ataques de de­ne­ga­ción de servicio: en estos casos, los or­de­na­do­res de la red se utilizan para generar un tráfico masivo en una página web, saturando los se­r­vi­do­res e in­te­rru­m­pie­n­do la oferta en línea. Estos ataques pueden dar lugar a pérdidas eco­nó­mi­cas inmensas para el operador de la página, es­pe­cia­l­me­n­te en el sector del comercio ele­c­tró­ni­co.

Acceder a los or­de­na­do­res de terceros también permite obtener in­fo­r­ma­ción sobre los usuarios, in­clu­ye­n­do sus gustos e intereses. Ana­li­za­n­do estos datos, el botmaster puede sustituir la pu­bli­ci­dad que aparece ac­tua­l­me­n­te por otra adaptada al usuario.

Como todos los procesos de las botnets tienen lugar en segundo plano, al usuario común suele costarle mucho de­te­c­tar­las. Sin embargo, hay algunas señales que nos pueden indicar que el ordenador ha sido infectado.

Por ejemplo, si observas que la conexión a Internet se ralentiza mucho o que el pro­ce­sa­mie­n­to de datos es superior a lo normal, aunque el consumo siga siendo el mismo, deberías indagar, porque esas son señales bastante ca­ra­c­te­rí­s­ti­cas. En este caso, un escaneado de virus podría detectar malware y des­en­ma­s­ca­rar una posible botnet. A veces, el ad­mi­ni­s­tra­dor de tareas muestra procesos de­s­co­no­ci­dos o hay apli­ca­cio­nes dudosas que se inician au­to­má­ti­ca­me­n­te, lo cual también puede apuntar a una botnet.

Aunque los ci­be­r­de­li­n­cue­n­tes pro­fe­sio­na­les pueden apro­ve­char incluso las brechas de seguridad más im­pe­r­ce­p­ti­bles, de­fe­n­de­r­se de sus ataques es posible. La regla de oro es la pre­ve­n­ción. Hay varios aspectos que cabe tener en cuenta para proteger el ordenador lo mejor posible de los ci­ber­ata­ques.

Por un lado, se re­co­mie­n­da en­ca­re­ci­da­me­n­te instalar un programa antivirus, algo obvio para la mayoría de usuarios. Otro aspecto im­po­r­ta­n­te es el firewall o co­r­ta­fue­gos, que debería estar bien co­n­fi­gu­ra­do para ofrecer la mayor pro­te­c­ción posible. Además, siempre se debe mantener ac­tua­li­za­do el sistema operativo y todos los programas in­s­ta­la­dos, lo que significa ac­tua­li­zar el software re­gu­la­r­me­n­te para evitar que las versiones obsoletas ocasionen brechas. También conviene instalar un programa de pro­te­c­ción del navegador que detecte las páginas de phishing, reconozca el malware y advierta al usuario sobre ellos.

Como muchos or­de­na­do­res se infectan por correo ele­c­tró­ni­co, es im­po­r­ta­n­te proteger estas cuentas para evitar los ataques. Por lo general, se re­co­mie­n­da no abrir los archivos adjuntos en correos ele­c­tró­ni­cos que no sean de confianza, como alguna factura ine­s­pe­ra­da. También hay que ignorar los correos ele­c­tró­ni­cos de supuestos bancos con enlaces dudosos y or­to­gra­fía cue­s­tio­na­ble.

En general, es aco­n­se­ja­ble utilizar una cuenta de usuario sin derechos de ad­mi­ni­s­tra­dor, limitando el uso de los derechos a casos ex­ce­p­cio­na­les. Ge­ne­ra­l­me­n­te, se requieren amplios derechos para cambiar la co­n­fi­gu­ra­ción del sistema operativo del ordenador, por lo que utilizar una cuenta de usuario normal reduce el riesgo de que algún tipo de malware pueda llegar a las pro­fu­n­di­da­des del sistema.