Confilegal
Confilegal
Menú
Portada / Firmas
Firmas

“Botnet” o los robots/programas malignos

“Botnet” o los robots/programas malignos
Javier Puyol es abogado y socio de ECIXGroup.
11/11/2014 10:27
|
Actualizado: 24/2/2016 10:49
|

En esta noticia se habla de:

El término “botnet”, tal como señala Microsoft, es el diminutivo de robot. Los delincuentes distribuyen software malintencionado (también conocido como malware) que puede convertir su equipo en un “bot” (también conocido como zombie). Cuando esto sucede, su equipo puede realizar tareas automatizadas a través de Internet sin que lo sepa.

Los delincuentes suelen usar “bots” para infectar una gran cantidad de equipos. Estos equipos crean una red, también conocida como “botnet”. Los delincuentes usan “botnets” para enviar mensajes de correo electrónico no deseados, propagar virus, atacar equipos y servidores y cometer otros tipos de delitos y fraudes. Si su equipo forma parte de una “botnet”, el equipo puede volverse más lento y puede estar ayudando a los delincuentes sin darse cuenta.

Y según indica Norton, Un «bot» es un tipo de programa malicioso que permite a un atacante tomar el control de un equipo infectado. Por lo general, los “bots”, también conocidos como «robots web» son parte de una red de máquinas infectadas, conocidas como “botnet”, que comúnmente está compuesta por máquinas víctimas de todo el mundo. Debido a que un equipo infectado por “bots” cumple las órdenes de su amo, muchas personas se refieren a estos equipos víctima como “zombis”. Los delincuentes cibernéticos que controlan estos bots son cada vez más numerosos.

Algunos “botnets” pueden englobar cientos o un par de miles de equipos, pero otros cuentan con decenas e incluso centenares de miles de zombis a su servicio. Muchos de estos equipos se infectan sin que sus dueños se enteren. ¿Existe algún indicio? Un “bot” puede hacer que el equipo se ralentice, muestre mensajes misteriosos e, incluso, falle. Un “botnet” es una red de ordenadores comprometidos que son controlados de forma remota y subrepticiamente por una o más personas, llamadas “bot-pastores”. Los equipos de la red de “bots”, denominados nodos o zombies, son por lo general ordenadores ordinarios que están siempre en las conexiones de banda ancha (ADSL), en hogares y oficinas en todo el mundo.

Por lo general, los equipos pertenecen a redes de “bots” debido a que sus propietarios o usuarios han sido engañados en la instalación de malware que secretamente se conecta el ordenador a la red de “bots” y realiza tareas como el envío de spam, hosting de software malicioso u otros archivos ilegales, y atacar a otros ordenadores. A menudo, el usuario nunca se sabe su equipo está siendo utilizado con fines nefastos.

Desde Portal Hacker se afirma que normalmente se utilizan lenguajes Orientados a Objetos para construir estas “botnet” ya que resultan mucho más cómodos. Para la plataforma Windows, es fácil que las personas se bajen programas desde Internet sin saber exactamente qué es lo que hace el programa. Por ejemplo: en lugar de pagar una licencia de 19$ por la versión oficial, se bajan otra versión alternativa que promete la misma funcionalidad o bien un crack que ocupa más de la cuenta. Este software contiene un “bot”, una vez el programa se ejecuta, puede escanear su red de área local, disco duro, puede intentar propagarse usando vulnerabilidades conocidas de windows, etc.

En otros entornos más serios (que son capaces de manejar una mayor carga computacional: a nivel de servidor, cluster, etc. donde la seguridad suele ser más estricta a la hora de instalar programas) como UNIX, GNU/Linux o BSD la forma más clásica de ataque a servidores para construir y expandir una “botnet” es por telnet o SSH (puertos 23 y 22 respectivamente) por medio del sistema prueba-error: probando usuarios comunes y contraseñas al azar contra todas las IPs que se pueda de forma sistemática o bien mediante ataques a bugs muy conocidos dado que los administradores descuidados dejan sin parchear o corregir vulnerabilidades en sus servidores causando un gran perjuicio para ellos (consumo de ancho de banda, tiempo de CPU, pérdida de prestigio, repercusiones legales…) y para el resto de internet (spam, DDoS…).

Para Facebook, una “botnet” es en muchos sentidos la base perfecta de las operaciones para los delincuentes informáticos, ”botnet” malware está diseñado para funcionar en segundo plano, sin ninguna prueba visible de su existencia. A menudo la víctima no tiene idea de que su equipo está infectado y así es menos probable que lo someta a un análisis de software malicioso que pueda detectar y eliminar la infección. Al mantener un perfil bajo, las “botnets” son a veces capaces de permanecer activa y operativa desde hace años. Los “botnets” son también atractivos para los delincuentes debido a que proporcionan un mecanismo efectivo para cubrir las pistas de  “botnet” del atacante, al rastrear el origen de un ataque lleva de nuevo a un ordenador secuestrado de un usuario inocente, donde el camino termina. Obtención de una red de “bots” en marcha es sólo el primer paso. Un “botnet” puede ser utilizado como una plataforma para una variedad de actividades delictivas, en función de cómo el robot-pastores elegir para configurar los nodos individuales. Además de robo de identidad, “botnets” tienen muchos usos, incluyendo:

a) El envío de spam. La mayor parte del spam enviado hoy proviene de “botnets”, que utilizan diferentes técnicas para obtener sus mensajes no deseados pasado los filtros de correo de los destinatarios. Además de alquiler de la “botnet” a los spammers, bot-pastores también enviar spam, en un esfuerzo para aumentar el tamaño de la red invasora.

b) Perpetrar denegación de servicio distribuido (DDoS). En un ataque DDoS, varios equipos atacar a un servidor de destino (normalmente un servidor web), que por las inundaciones el tráfico web por multiples peticiones, la saturación del ancho de banda del objetivo, lo hacen efectivamente indisponible para otros usuarios. Los delincuentes a veces amenazar a las empresas con DDoS en un esfuerzo por obtener dinero de ellos, o lanzar ataques DDoS contra los investigadores de seguridad u otras personas que creen que les han hecho daño. DDoS incluso se ha utilizado en «ciber-guerra» los ataques lanzados contra los países o regiones.

c) Alojamiento de malware o de contenido ilegal Peer-to-peer (P2P), que son mecanismos eficaces para la recuperación o la distribución de contenido multimedia. Estos funcionan como motores de búsqueda para localizar a los medios de comunicación que las personas tienen a disposición. Parte del contenido es ilegal, ya sea a poseer o distribuir, por lo que los delincuentes suelen utilizar los ordenadores secuestrados como un lugar para almacenar los contenidos ilícitos, propietarios involuntarios de ordenadores secuestrados pueden ser entregados los documentos demanda presentada por los propietarios de contenido que le corresponde en la difusión de material con derechos de autor o detenido por la policía en la difusión de pornografía infantil, ordenadores secuestrados también se utilizan para alojar páginas web, utilizadas en los ataques de phishing y de acogida y distribuir programas maliciosos.

d) Perpetrar el fraude de clics. Los delincuentes utilizan a veces para generar redes de bots fraudulenta «clics» en la publicidad de pago por clic, tales como los acogidos por algunos motores de búsqueda y otros sitios web. El anunciante paga una comisión a la red de publicidad por cada clic en su anuncio recibe, por lo que el fraude de clics se puede utilizar para perjudicar económicamente a un competidor.

e) El método más común utilizado para controlar redes de bots es Internet Relay Chat (IRC), un sistema de distribución en tiempo real en el chat. Cuando el “botnet” está instalado en el ordenador de la víctima, se conecta a un canal de IRC que los bots ya ha establecido y espera instrucciones. A partir de ahí, todos los bots lo único que tienen que hacer para activar los “botnets” es conectar con el canal y escribir algunos comandos predefinidos, y ya esta listo el envío de spam, lanzar ataques DDoS, alojamiento de páginas de phishing, o cualquier otra cosa que tiene el pastor quiera. Recientemente, los “botnets” han usado P2P con mecanismos de mando y control, haciéndolas más difíciles de desconectar una vez descubiertas.

Los delincuentes que utilizan estas técnicas están sumamente interesados en ellas, tal como pone de manifiesto la Oficina de Seguridad del Internauta, principalmente para llevar a cabo actividades que les generen unos beneficios económicos. Hay personas muy interesadas en comprar estas “botnets” para:

a) Capturar contraseñas y datos personales. Recopilan las contraseñas de los servicios de banca, redes sociales, correo web (Gmail, Outlook, etc.) que utilizan los usuarios del ordenador infectado para después venderlas en la “deep web”, el mercado negro de Internet.

b) Enviar spam y propagar virus. Los ordenadores zombis pueden estar organizados para enviar correo basura (“botnet” kelihos), spam, a miles de direcciones de correo que han sido recopilas previamente de e-mails en cadenas y bulos, por ejemplo.  Estos correos spam, pueden adjuntar ficheros que descargan virus en el ordenador del usuario al abrirlos o incluir enlaces a páginas que suplantan la identidad de servicios (phishing), descargan otros virus en el ordenador, instalan toolbars no deseados en el navegador, etc.

c) Hacer que una página web deje de estar disponible. El ciberdelincuente que tenga el control de la “botnet”, indicará a todos sus zombis que accedan a la vez a una determinada página web para saturarla y provocar que deje de funcionar correctamente con el objetivo de chantajear al propietario o empresa responsable de la misma.

d) Manipular encuestas y abusar de los servicios de pago por publicidad. Los ordenadores zombis también pueden ser utilizados para manipular encuestas o pinchar en banners publicitarios que generan beneficios económicos a los “malos”.

e) Llevar a cabo desde tu ordenador otro tipo de fraudes. Acceder a páginas web cuyo contenido es denunciable o ilegal: pedofilia, prostitución, drogas, armas, etc. Almacenar y compartir ficheros con copyright, suplantar tu identidad para publicar anuncios falsos, etc

Sobre las razones, de que porqué razones se afecta un ordenador, el Fondo Técnico Anti-”botnet” señala que los “botnets” se desarrollan instalando un “bot” en un ordenador todavía no infectado. Esto puede ocurrir por varios medios:

a) E-mails infectados: Mediante un E-Mail se le pide al usuario abrir un programa adjunto o hacer clic en un vínculo que lleva a una página web infectada. Si ejecuta el programa o sigue el vínculo se instala un programa nocivo en su ordenador y se convierte en parte del “botnet”. Estas peticiones se realizan a menudo a través de mails de phishing que son cada vez más profesionales. Así se puede simular que tal E-Mail viene del propio banco etc.

b) Descargas: El programa nocivo está unido a un programa disponible para su descarga en internet. Si uno descarga este programa su ordenador se infecta con software nocivo. Esta unión con un programa nocivo a una aplicación inofensiva se llama troyano. Esto ocurre habitualmente con programas ilegales de descarga. Pero por motivos de seguridad también los programas legales e inofensivos sólo deberían descargarse desde la página original del proveedor y comprobarse con un escáner de virus.

c) Exploits: Para la infección a través de este método se aprovechan lagunas de seguridad y fallos en las aplicaciones, en el navegador o en el mismo sistema operativo. Los exploits se activan por ejemplo cuando el usuario hace clic en un vínculo preparado; si se trata de una Drive-by-Infection se pueden activar también de forma automática al abrir la página web.

d) Descargas Drive-by:Una descarga Drive-by denomina una descarga (Download) no intencionada e inconsciente (inglés Drive-by: al pasar) de un software al ordenador de un usuario. Entre otras cosas se denomina así la descarga de software nocivo simplemente al mirar una página web preparada. Desafortunadamente evitar las páginas dudosas no es una garantía porque los hackers consiguen también manipular páginas web serias.

Y con relación a los daños que pueden provocarse en un ordenador, dicho Fondo Técnico arguye a tal efecto que un ordenador atacado por criminales del ciberespacio puede ser usado para varios objetivos:

a) Envío de Spam: Los recursos del ordenador con control remoto se usan para enviar Spam. De esta forma un “botnet” puede mandar miles de millones de spam al día.

b) Ataques DDoS: Los denominados ataques Distributed Denial of Service son ataques a un servidor u ordenador con el objetivo de deshabilitar sus servicios. Si por ejemplo se carga los servidores de una empresa con un gran número de demandas, pueden «caerse» por sobrecarga. Con las demandas coordinadas y simultáneas desde los “bots” a un sistema se puede provocar tal sobrecarga.

c) Proxies: A través de un Proxy en el “bot”, el ordenador máster que controla los “bots” a distancia puede realizar una conexión de ataque a un tercer ordenador y ocultar la dirección de origen – la víctima del ataque ve el “bot” como agresor. El agresor de verdad (el «máster» que controla a distancia) no se puede visualizar.

d) Robot de datos: La mayoría de los “bots” puede acceder a los datos de acceso para aplicaciones como programas de Messenger o recopilar datos como claves o números de tarjetas de crédito o formularios web. Estos datos se envían luego al «máster» del “botnet”.

e) Medios de memoria para contenidos ilegales: Los discos duros de los ordenadores atacados se pueden usar para guardar contenidos ilegales que son distribuidos desde este ordenador.

Como medidas preventivas para evitar se contagiado por un “botnet”, se recomienda desde el citado portal Hacker, que en plataformas Windows usando un firewall, un antivirus, instalando programas que sólo provengan de fuentes fiables, evitando abrir ejecutables enviados por email, no permitiendo la ejecución desde internet de contenidos Active X y manténiendose al día con las actualizaciones. Un “botnet” es un programa que crea archivos de ayuda automáticamente para el sistema.

En plataformas GNU/Linux, UNIX, BSD y similares basta con mantener actualizado el sistema y que los usuarios elijan contraseñas robustas. Otras soluciones mejores pasan por usar un sistema de llave pública/llave privada para las autenticaciones y usar firewalls o cerrar servicios no utilizados (como el SSH) y en caso que resulte necesario tenerlos abiertos, cambiar el puerto estándar de la aplicación, demonio o servicio. Desde luego no resulta nunca recomendable el uso de telnet ya que las contraseñas viajan si cifrar y ya ha sido sustituido por el nuevo protocolo OpenSSH.

Otras Columnas por Javier Puyol Montero:
Opinión | Los ciberataques también son posibles contra los teléfonos móviles
Opinión | Neurotecnología: ¿Estamos listos para el próximo gran desafío ético y legal?
Opinión | Ciberseguridad e Inteligencia Artificial: vinculaciones
Opinión | La Inteligencia Artificial y la función de juzgar
La estrategia española de transformación digital y el «Sandbox» sobre la Inteligencia Artificial
Tiempo de recuperación tras un ciberataque
Últimas Firmas
  • Opinión | Externalización de servicios en las empresas
    Opinión | Externalización de servicios en las empresas
  • Opinión | «Network, un mundo implacable», un filme que predijo lo que es nuestro mundo medio siglo atrás
    Opinión | «Network, un mundo implacable», un filme que predijo lo que es nuestro mundo medio siglo atrás
  • Opinión | Isabel la Católica, ¿reina ilegítima?
    Opinión | Isabel la Católica, ¿reina ilegítima?
  • Opinión | ¿Qué ocurriría si el presidente, Pedro Sánchez, anuncia su dimisión el lunes?
    Opinión | ¿Qué ocurriría si el presidente, Pedro Sánchez, anuncia su dimisión el lunes?
  • Opinión | Sostenibilidad: un suma y sigue para las empresas
    Opinión | Sostenibilidad: un suma y sigue para las empresas