Botnets: qué son y cómo funcionan
Publicado: 2023-02-21Como grandes redes de computadoras comprometidas, las botnets existen desde hace años. La idea de crear una red completa de máquinas infectadas que puedan usarse para llevar a cabo ataques cibernéticos a gran escala y propagar malware sin duda ha cambiado Internet tal como lo conocemos hoy.
Los botnets son la fuerza impulsora detrás de la gran mayoría de los ataques cibernéticos dirigidos no solo a los sitios web y servidores de WordPress, sino también a redes y sistemas informáticos completos. Sin lugar a dudas, el mundo moderno de la seguridad cibernética gira en torno a las redes de bots como el corazón de toda la economía que rige la web oscura.
El ecosistema ha evolucionado tanto que la existencia de botnets ha creado una nueva tendencia en la industria de la ciberseguridad, conocida como ataque como servicio o botnet como servicio. Los creadores de botnets alquilarían la potencia informática y los recursos de las máquinas comprometidas bajo su control a terceros para lanzar ataques cibernéticos de diferentes tipos.
Los sitios de WordPress son víctimas de ataques impulsados por bots y se ven envueltos en redes de bots con más frecuencia de lo que puede imaginar. De hecho, la gran mayoría de las veces que se piratea un sitio web de WordPress, se convierte en parte de una red de otros sitios web y servidores comprometidos. El malware de botnet permanece inactivo en el sistema hasta que el maestro del bot decide usar su sitio web para lanzar un ataque. Además de las consecuencias negativas obvias que tienen las infecciones de malware, ser parte de una botnet hará que su sitio web sea extremadamente lento, ya que el pirata informático ahora usará los recursos de su servidor para impulsar nuevos ataques.
Por si fuera poco, abandonar una botnet no es tarea nada fácil. Un atacante se aseguraría de dejar puertas traseras cuidadosamente diseñadas para aprovechar su sitio web de WordPress durante el mayor tiempo posible. Es por eso que es imperativo saber cómo funcionan exactamente las botnets y cómo proteger su sitio de WordPress.
En esta guía completa de redes de bots, profundizamos en la historia y la arquitectura de las redes de bots, descubriendo el misterio que se esconde detrás de los ataques cibernéticos modernos, altamente distribuidos e impulsados por bots. Aprenderá sobre algunas de las botnets más destacadas que existen en la actualidad y cómo puede protegerse a sí mismo y a su negocio de la destrucción que conllevan.
¿Qué es una red de bots?
Una botnet, que significa red de bots, es un sistema distribuido de computadoras comprometidas e infectadas con el mismo tipo de malware que permite al atacante utilizar el conjunto consolidado de recursos informáticos para lanzar ataques cibernéticos a gran escala. Además de llevar a cabo ataques cibernéticos, los propietarios de botnets pueden usar las computadoras infectadas en la red para realizar otras actividades, como extraer criptomonedas o aumentar las vistas de un anuncio o video.
Ejecutar una botnet es ilegal, y muchas redes conocidas de bots finalmente se cerraron y sus propietarios fueron arrestados. A pesar de que a menudo es difícil identificar al propietario de una botnet en particular, no es imposible.
¿Qué tan grandes son las botnets y qué tipo de dispositivos las forman?
Cuando se trata del tamaño de la red, las botnets varían drásticamente. Lo mismo ocurre con los tipos de entidades infectadas que forman una botnet. Puede haber desde un par de sitios web infectados hasta cientos de miles de sistemas informáticos comprometidos. Esto depende de los sistemas a los que se dirige más un atacante que opera una red de bots.
Estos son los principales tipos de dispositivos que forman botnets:
- Computadoras personales y dispositivos móviles . Computadoras de escritorio, portátiles, teléfonos inteligentes y tabletas que ejecutan diferentes sistemas operativos.
- Dispositivos de Internet de las cosas (IoT) . Dispositivos domésticos inteligentes, rastreadores de actividad física y relojes inteligentes.
- Dispositivos de núcleo de red . Conmutadores de paquetes como enrutadores.
- Servidores y sitios web individuales .
La mayoría de las veces, los piratas informáticos apuntan a computadoras personales, dispositivos móviles y servidores para infectarlos con malware de botnet y conectarlos a la red existente de bots. Sin embargo, los sitios web de WordPress también pueden ser entidades que forman una botnet. De esta manera, el contenido de su sitio no es el objetivo de los piratas informáticos, pero los recursos del servidor de su sitio son extremadamente valiosos en una red de bots. La principal diferencia entre estas situaciones es el nivel de control que obtiene un atacante sobre el sistema comprometido.
Si un sitio web de WordPress se ve comprometido con el propósito de agregar recursos a una red de bots, en la mayoría de los casos, el atacante no podrá obtener acceso de nivel raíz o administrador al servidor. Esto significa que estarán limitados a la cantidad de recursos del servidor y el nivel de acceso al sistema que tiene el sitio web comprometido, o más bien, el usuario del sistema que posee el sitio web.
¿Cómo se crean las botnets?
Los botnets se crean al infectar los sistemas informáticos con software malicioso, que en la mayoría de los casos se presenta en forma de un virus troyano que un usuario puede descargar sin darse cuenta o que los piratas informáticos maliciosos instalan en un servidor o sitio web ya comprometido. Usando este tipo especial de malware, también conocido como botnet, un pirata informático mantiene el control sobre el sistema de la víctima infectada y lo usa para realizar actividades fraudulentas mediante el envío de instrucciones a través de la red.
Una vez instalado, el malware de botnet hace que el sistema comprometido lo distribuya más, infectando más computadoras que se conectarán a la red fraudulenta. Una de las principales razones por las que las redes de bots dependen de la expansión constante es la dificultad de mantener el acceso a los sistemas comprometidos. La puerta trasera creada por una botnet se puede descubrir y eliminar en cualquier momento, lo que significa que el punto final se desconectará de la red de bots y ya no estará controlado por el hacker.
Formas habituales de distribución del malware de botnet
¿Cómo se distribuye exactamente el malware de botnet? El malware de botnet se puede propagar mediante el uso de una amplia gama de técnicas, que a menudo incluyen la ingeniería social, la explotación de una vulnerabilidad o la realización de un ataque de fuerza bruta para obtener acceso no autorizado al sistema para cargar una carga maliciosa.
Computadoras personales y dispositivos móviles
Sorprendentemente, cuando se trata de controlar las computadoras personales y los dispositivos móviles, enviar archivos adjuntos de correo electrónico maliciosos es el método número uno que emplean los piratas informáticos. Archivos como hojas de cálculo de Excel y documentos de Microsoft Word, así como archivos comprimidos, son las formas más comunes en que se distribuye el malware de botnet. Se cree que uno de los malware de botnet más notorios, Emotet, se distribuye a través de archivos adjuntos de correo electrónico maliciosos.
Sin embargo, incluso si la víctima descarga el archivo adjunto, no es suficiente para que el malware de botnet se active en su dispositivo. Un usuario debe confirmar ciertas actividades aparentemente inofensivas, como ejecutar macros o habilitar la edición de archivos, que desencadenarán la infección y otorgarán al atacante acceso completo al sistema de la computadora de destino, incluidos todos los datos almacenados en ella.
Además de este método, el malware de botnet también se puede distribuir mediante ataques de secuencias de comandos entre sitios o disfrazarse de software legítimo que se invita a un usuario a instalar. Comprometer sitios web de interés para los usuarios objetivo con el fin de infectar sus dispositivos personales se conoce comúnmente como un ataque de pozo de agua y es ampliamente utilizado por los propietarios de botnets.
Servidores y sitios web
Por lo general, los servidores y los sitios web no pueden infectarse con malware de botnet de la misma manera que las computadoras personales y los dispositivos móviles. Un atacante generalmente explota una vulnerabilidad para obtener acceso a nivel de sistema o sitio web a un servidor víctima y luego carga software malicioso que luego les permitirá establecer control sobre él.
Los sitios web comprometidos por el atacante se utilizarán para distribuir más malware de botnet mediante la inyección de código malicioso en ellos. A los usuarios que visiten sitios infectados se les descargará y activará el malware en sus dispositivos, que pasarán a formar parte de la misma red de bots. Asegurarse de que su sitio esté adecuadamente protegido por una solución de seguridad como iThemes Security no solo ayuda a su sitio a defenderse de estos ataques, sino que ayuda a que su sitio no infecte a otros, deteniendo las botnets en seco.
Cliente-servidor y Peer-to-peer: La Arquitectura de una Botnet
Las redes de bots generalmente se basan en uno de los dos modelos principales de aplicaciones de red: arquitecturas cliente-servidor y punto a punto (P2P). El modelo cliente-servidor sigue siendo la arquitectura más predominante, no solo las botnets, sino también la mayoría de las aplicaciones web.
La arquitectura cliente-servidor se usa para crear un modelo centralizado, donde la máquina del atacante, también conocida como pastor de bots, envía instrucciones a los zombis, o bots, que forman una red de bots. Las computadoras zombi, a su vez, no se comunican directamente entre sí. Las redes de bots grandes pueden ser impulsadas por múltiples pastores de bots (proxies) para ayudar a facilitar el proceso de administración.
En algunos casos, las botnets pueden usar el modelo descentralizado que emplea la comunicación entre pares. Las botnets descentralizadas pueden pasar las instrucciones de una computadora zombi a otra, y luego distribuir los comandos en toda la red de bots. La arquitectura P2P hace que sea más complicado identificar al pastor y descubrir la identidad del bot master.
Junto con el pastor de bots que inicia una conexión a una computadora zombi, los dispositivos infectados a menudo envían solicitudes al maestro de bots a intervalos regulares para verificar si hay nuevas instrucciones. La mayoría del malware de botnet está configurado para permanecer inactivo durante un largo período de tiempo para escapar de la detección.
El servidor de comando y control (C2) como el corazón de una botnet
El pastor de bots, que representa la computadora del propietario del bot que se usa para enviar comandos a las máquinas zombies, se conoce como servidor de comando y control, o C2. El servidor de comando y control se encuentra en el corazón de cada botnet y permite que el atacante se comunique con los sistemas comprometidos utilizando las arquitecturas de aplicación de red cliente-servidor o punto a punto.
Una vez que se agrega una nueva computadora zombie a una botnet, el centro de comando y control la obliga a crear un canal de comunicación para que el atacante establezca una presencia práctica en el teclado del dispositivo infectado. Esto se logra a través de herramientas de acceso remoto.
Los servidores C2C a menudo recurren al uso de tráfico confiable y rara vez monitoreado, como DNS, para enviar instrucciones a los hosts infectados. Para evitar que las fuerzas del orden los descubran, el maestro del bot cambia con frecuencia las ubicaciones de los servidores de comando y control, y a menudo se emplean técnicas maliciosas como los algoritmos de generación de dominios (DGA).
Las 3 redes de bots más grandes y populares creadas
Se cree que las botnets surgieron a principios de la década de 2000 y han evolucionado desde entonces. Una de las primeras botnets conocidas se descubrió en 2001. Se creó una enorme red de bots para lanzar campañas de spam que representaron alrededor del veinticinco por ciento de todos los correos electrónicos no solicitados enviados en ese momento.
Desde entonces, se han descubierto y desmantelado numerosas botnets de gran tamaño. Sin embargo, todavía existen algunas redes de bots que contienen cientos de miles o incluso millones de computadoras comprometidas y se utilizan activamente para llevar a cabo ataques cibernéticos a gran escala.
Las tres redes de bots más grandes y populares que existen en la actualidad son las redes de bots Mantis, Srizbi y Emotet.
Red de bots Mantis
En 2022, CloudFlare informó que su red fue blanco de un ataque DDoS masivo, con 26 millones de solicitudes web por segundo que afectaron la infraestructura. CloudFlare lo calificó como el ataque DDos más grande que jamás habían mitigado y reveló que la red de bots Mantis usó solo aproximadamente 5000 bots, que es solo una pequeña fracción de la potencia informática total de la red de bots.
Para ir más allá, todas las solicitudes se enviaron a través de HTTPS, que es significativamente más costoso y difícil de lograr en términos de un ataque DDoS. Esto ha convertido a la botnet Mantis en una de las redes de bots más poderosas actualmente en funcionamiento.
Red de bots Srizbi
La red de bots Srizbi existe desde hace más de una década y se cree que es responsable de enviar más de la mitad de todo el spam enviado por todas las demás redes principales de bots combinadas. Se estima que la red de bots tiene bajo control alrededor de medio millón de terminales infectados y se está expandiendo rápidamente mediante la distribución del llamado troyano Srizbi.
Red de bots Emotet
Comenzando como un troyano bancario destinado a robar información de tarjetas de crédito de las computadoras infectadas, Emotet se ha convertido rápidamente en una gran red de bots con más de medio millón de puntos finales comprometidos en todo el mundo. Se sabe que el malware Emotet se distribuye a través de archivos adjuntos de correo electrónico maliciosos enviados desde computadoras infectadas. Emotet es una de las redes de bots más populares en la web oscura que se puede alquilar a varios grupos pirateados, que discutiremos con más detalle más adelante en el artículo.
5 tipos comunes de ataques llevados a cabo por botnets
Los botnets son herramientas versátiles que se pueden utilizar para realizar diversas actividades fraudulentas. Además de usar la red de computadoras comprometidas para atacar otros puntos finales de la red y propagar malware, el propietario del bot puede robar información confidencial de dispositivos zombis. Esto convierte a las botnets en la pieza central del ciberdelito.
Estos son los cinco principales tipos de ciberataques para los que se utilizan las botnets:
- Ataques distribuidos de denegación de servicio (DDoS) y fuerza bruta.
- Ataques de phishing.
- Campañas de spam.
- Distribución de malware.
- Robo de datos y ataques de ransomware.
Ataques DDoS y de fuerza bruta
Los ataques distribuidos de denegación de servicio y fuerza bruta son los ataques cibernéticos más comunes llevados a cabo por botnets. Usando un conjunto de recursos informáticos que crea una red de dispositivos zombis, los atacantes lanzan ataques a gran escala que pueden tener como objetivo cientos de miles de servidores y sitios web, con millones de solicitudes web maliciosas enviadas por segundo.
Suplantación de identidad
A menudo se utiliza una red de sitios web comprometidos para lanzar ataques masivos de phishing. El servidor de comando y control distribuye una serie de páginas de phishing a través de la red de bots que se usarán para engañar a los usuarios para que revelen sus credenciales de inicio de sesión y otra información confidencial.
Correo basura
Lanzar campañas masivas de spam es uno de los primeros propósitos a los que sirven las botnets. El propietario de la red de bots creaba una serie de correos electrónicos no solicitados que contenían enlaces a sitios web infectados o archivos adjuntos maliciosos para distribuir malware o facilitar ataques de phishing.
Distribución de malware
La distribución de malware es clave para garantizar que una botnet pueda sobrevivir a largo plazo, comprometiendo más dispositivos. Las computadoras zombi escanean constantemente redes grandes en busca de vulnerabilidades y luego las explotan para distribuir malware de botnet. Los sitios web y servidores infectados que forman una red de bots se utilizan para alojar páginas web maliciosas o redireccionamientos maliciosos que activarán la descarga de malware en los dispositivos de los visitantes con el mismo propósito.
Robo de datos y ataques de ransomware
A veces, los propietarios de botnets pueden apuntar a organizaciones específicas y sus redes para robar información confidencial e instalar ransomware. Los datos obtenidos pueden usarse para extorsionar y arruinar la reputación y las operaciones de la empresa víctima o venderse en la dark web. Para obtener acceso no autorizado a grandes redes informáticas, los atacantes pueden utilizar una combinación de ingeniería social y las actividades fraudulentas mencionadas anteriormente.
Ataque como servicio: cómo se alquilan las botnets en la Dark Web
Las redes de bots han ido ganando popularidad en la web oscura como un servicio criminal administrado que se puede comprar o alquilar al propietario de una red de bots. En lugar de crear una nueva red de bots, los piratas informáticos pueden acceder a los recursos informáticos de una botnet ya establecida para ejecutar campañas fraudulentas. Esto trae un nuevo término al mundo de la seguridad cibernética: ataque como servicio, que en cierto modo es similar al concepto bien establecido de infraestructura como servicio (IaaS).
Hoy en día, la web oscura se rige por toda una economía que gira en torno a las redes de bots y el malware de redes de bots. Además de alquilar o vender redes de bots, los piratas informáticos venden acceso a sitios web y servidores comprometidos para expandir las redes de bots existentes y propagar malware de redes de bots.
¿Cómo proteger su sitio de WordPress para que no se convierta en parte de una botnet? Las 3 mejores recomendaciones de seguridad
Como el sistema de administración de contenido más popular del mundo, WordPress es un objetivo de alta prioridad para botnets y ciberataques impulsados por bots. Debido a que los sitios de WordPress son tan comunes, usarlos para distribuir malware de botnet y llevar a cabo ataques de red sigue siendo un método atractivo para los ataques maliciosos.
Muchos sitios web de WordPress se ven comprometidos como resultado de un ataque exitoso impulsado por un bot y luego se convierten en parte de la red de bots detrás de él. Las puertas traseras dejadas por los atacantes pueden ser extremadamente difíciles de eliminar, lo que puede dejar un sitio web infectado bajo el control de un atacante durante meses o incluso años.
Ser parte de una red de bots puede dañar significativamente la reputación de su negocio y provocar pérdidas financieras masivas y, en algunos casos, implicaciones legales como resultado de violaciones de datos. Reducir la superficie de ataque es clave para garantizar una protección suficiente contra los vectores de ataque comunes.
Configurar actualizaciones automáticas e instalar software solo de fuentes confiables
Los atacantes escanean constantemente los sitios web en busca de vulnerabilidades para explotar. Cuando se trata de WordPress, la principal falla de seguridad que expone a los sitios web a compromisos es el software desactualizado y poco confiable. Esto incluye el núcleo, los temas y los complementos de WordPress instalados, así como la versión de PHP en uso.
Se lanzan actualizaciones periódicas para todos los aspectos críticos del ecosistema de WordPress, parcheando rápidamente todas las vulnerabilidades críticas descubiertas. Las empresas de desarrollo de complementos y temas de confianza se aseguran de mantener un alto nivel de seguridad para sus productos.
La configuración de actualizaciones automáticas de software es una parte importante para garantizar la seguridad de su sitio web de WordPress. iThemes Security Pro puede realizar un seguimiento de todas las actualizaciones de núcleo, complementos y temas e instalar automáticamente nuevas versiones de software lanzadas. Si posee más de un blog o sitio web comercial creado en WordPress, iThemes Sync Pro proporciona un panel único para trabajar con actualizaciones y realizar un seguimiento del tiempo de actividad y las métricas de SEO en todos los sitios web que administra.
Configurar la autenticación multifactor
Los ataques de fuerza bruta impulsados por bots dirigidos a WordPress tienen una tasa de éxito asombrosamente alta. Obtener acceso al panel de administración de WordPress le da al atacante control total sobre su sitio web. Usar solo la autenticación basada en contraseña significa que los piratas informáticos están a solo un paso de hacerse pasar por usted como el propietario legítimo del sitio web.
Las contraseñas se rompen y los ataques de fuerza bruta llevados a cabo por botnets pueden descifrar su cuenta de administrador de WordPress con bastante facilidad. El uso de la autenticación multifactor, como las claves de paso con autenticación biométrica que ofrece iThemes Security Pro, elimina efectivamente el riesgo de apoderarse de su cuenta de administrador como resultado de un ataque de fuerza bruta exitoso.
Utilice un cortafuegos de aplicaciones web
Los firewalls de aplicaciones web basados en host y en la nube son una sólida primera línea de defensa contra la gran mayoría de los ciberataques distribuidos impulsados por bots dirigidos a sitios web de WordPress. Al filtrar las solicitudes web maliciosas que coinciden con patrones conocidos, los WAF pueden mitigar con éxito los ataques de denegación de servicio y de fuerza bruta, así como los ataques de inyección de datos, como las inyecciones de SQL.
Configure un firewall de aplicaciones web sólido con varios conjuntos de reglas administrados. Esto, combinado con el uso de autenticación multifactor, reducirá drásticamente la superficie de ataque y la probabilidad de que su sitio web de WordPress se convierta en parte de una red de bots.
Deje que iThemes Security Pro proteja su sitio web de WordPress
Las botnets están detrás de la mayoría de los ataques cibernéticos a gran escala lanzados en Internet. Utilizando una red altamente distribuida de bots, los piratas informáticos realizan una amplia gama de actividades fraudulentas, desde ataques de denegación de servicio hasta robo de datos. Las botnets amplían constantemente su infraestructura mediante la distribución de un tipo especial de malware destinado a obtener el control total de los dispositivos de las víctimas.
Las computadoras zombi establecen un canal combinado con el dispositivo del bot maestro, conocido como servidor de comando y control, que se utilizará para enviar y recibir más instrucciones. Para evitar el enjuiciamiento, los propietarios de botnets emplean una variedad de técnicas sofisticadas que les permiten permanecer en el anonimato.
Los sitios web de WordPress son el objetivo número uno para las botnets. Reducir la superficie de ataque mediante el parcheo regular de vulnerabilidades, el uso de un firewall de aplicaciones web y la configuración de autenticación de factor múltiple es el estándar de seguridad para defender WordPress contra ataques impulsados por bots.
Con treinta formas de proteger áreas críticas de su sitio web de WordPress, iThemes Security Pro puede convertirse en su asistente de seguridad personal. Combinar el poder del complemento de seguridad con una sólida estrategia de respaldo que BackupBuddy puede ayudarlo a desarrollar lo ayudará a lograr un gran nivel de seguridad para su empresa y sus clientes.
El mejor complemento de seguridad de WordPress para asegurar y proteger WordPress
Actualmente, WordPress funciona en más del 40% de todos los sitios web, por lo que se ha convertido en un objetivo fácil para los piratas informáticos con intenciones maliciosas. El complemento iThemes Security Pro elimina las conjeturas de la seguridad de WordPress para que sea más fácil asegurar y proteger su sitio web de WordPress. Es como tener un experto en seguridad a tiempo completo en el personal que supervisa y protege constantemente su sitio de WordPress por usted.
Kiki tiene una licenciatura en administración de sistemas de información y más de dos años de experiencia en Linux y WordPress. Actualmente trabaja como especialista en seguridad para Liquid Web y Nexcess. Antes de eso, Kiki formó parte del equipo de soporte de Liquid Web Managed Hosting donde ayudó a cientos de propietarios de sitios web de WordPress y aprendió qué problemas técnicos encuentran a menudo. Su pasión por la escritura le permite compartir su conocimiento y experiencia para ayudar a las personas. Además de la tecnología, a Kiki le gusta aprender sobre el espacio y escuchar podcasts sobre crímenes reales.