¿Qué es una botnet?

Una botnet (contracción de «robot network», o «red de bots») es una red de ordenadores infectados con malware que están bajo el control de un solo atacante, al que se conoce como «pastor de bots». Cada equipo controlado por este pastor constituye un bot. Desde una ubicación centralizada, el atacante puede controlar cada ordenador de su botnet simultáneamente para llevar a cabo un acto delictivo coordinado. Dado el tamaño que puede alcanzar una botnet (en muchos casos, constan de millones de bots), el ciberdelincuente puede lanzar ataques a gran escala que hasta ahora no eran posibles con el malware. Como las botnets están bajo el control de un atacante remoto, los equipos infectados pueden recibir actualizaciones y cambiar de comportamiento al instante. En consecuencia, muchas veces estos «pastores» consiguen importantes beneficios económicos alquilando el acceso a segmentos de su botnet en el mercado negro.

Las botnets se suelen utilizar para llevar a cabo acciones como las siguientes:

• Envío de correo no deseado: aunque en la actualidad el correo electrónico se considera un vector de ataque antiguo, las botnets de correo no deseado se encuentran entre las que alcanzan mayores dimensiones. Se utilizan principalmente para enviar desde cada bot una cantidad ingente de mensajes de correo electrónico no deseados que suelen incluir malware. Por ejemplo, la botnet Cutwail puede enviar hasta 74 000 millones de mensajes al día. También se utilizan para propagar los bots y «reclutar» más ordenadores para agrandar la botnet.
• Ataques de denegación de servicio distribuido (DDoS): aprovechan el tamaño descomunal de la botnet para saturar de solicitudes una red o un servidor, de forma que sus usuarios legítimos no puedan acceder a ella. Los ciberdelincuentes lanzan ataques DDoS contra ciertas organizaciones por motivos personales o políticos, o bien para extorsionarlas exigiendo una cuantía económica a cambio de detener el ataque.
• Brechas financieras: hay botnets diseñadas específicamente para robar directamente fondos a las empresas y datos de tarjetas de crédito. Se han utilizado botnets financieras, como ZeuS, para robar millones de dólares directamente a diversas empresas en periodos de tiempo muy breves.
• Intrusiones dirigidas: a veces, se utilizan botnets más pequeñas contra sistemas concretos especialmente valiosos para las organizaciones, desde los cuales los ciberdelincuentes pueden llegar a más rincones de la red atacada. Estas intrusiones son sumamente peligrosas para las organizaciones, pues los atacantes ponen el punto de mira en sus activos más valiosos, como los datos financieros, la investigación y el desarrollo, la propiedad intelectual y la información de los clientes.

Las botnets se crean cuando el pastor envía el bot desde sus servidores de comando y control a un destinatario sin que este sea consciente del peligro. Para ello, recurre a protocolos de intercambio de archivos, correo electrónico o aplicaciones de redes sociales, o bien a otros bots que actúan como intermediarios. Cuando el receptor abre el archivo malicioso en su ordenador, el bot informa al servidor de comando y control, desde el que el pastor de bots puede enviar comandos a los equipos infectados. El siguiente diagrama muestra estas relaciones:

Los bots y las botnets tienen ciertas particularidades que hacen que resulten adecuados para las intrusiones a largo plazo. El pastor de bots puede actualizarlos para cambiar por completo su funcionalidad según lo que quiera que hagan y para que se adapten a los cambios que tengan lugar y a las contramedidas que tome el sistema atacado. Asimismo, los bots pueden utilizar otros ordenadores infectados de la botnet como canales de comunicación, lo que hace que el pastor disponga de una cantidad prácticamente infinita de rutas de comunicación para adaptarse a los cambios y distribuir actualizaciones. Esto demuestra que la infección es el paso más importante, ya que la funcionalidad y los métodos de comunicación se pueden cambiar más adelante según sea necesario.

Al tratarse de uno de los tipos de malware moderno más sofisticados que existen, las botnets suponen un problema de ciberseguridad enorme para todo el mundo, ya se trate de gobiernos, empresas o particulares. Mientras que el malware de antes estaba formado por una serie de agentes independientes que se limitaban a replicarse e infectar a sus víctimas, las botnets son aplicaciones en red coordinadas de forma centralizada que aprovechan las redes para conseguir cada vez más poder y resiliencia. Como los equipos infectados pasan a estar bajo el control del pastor de bots, sufrir un ataque de este tipo es como tener dentro de la red un auténtico hacker en lugar de un mero ejecutable malicioso.