¿Que es una botnet?
Una botnet es un conjunto de ordenadores, denominados bots, infectados con un tipo de malware que son controlados remotamente por un atacante y que pueden ser utilizados de manera conjunta para realizar actividades maliciosas.
El cibercriminal, infecta los equipos para crear botnets, que controlan en conjunto para lanzar ciberataques a gran escala, enviar spam y llevar a cabo operaciones de phishing.
El vocablo botnet procede de robot network, que significa red de robots, y los equipos que componen una botnet se llaman bots, robots o equipos zombi. Algunas botnets están formadas por cientos o hasta miles de equipos, lo cual las convierte en una de las amenazas actuales más peligrosas.
Para crear y usar una botnet, un cibercriminal tiene que efectuar un ataque en tres etapas: infectar los dispositivos de las víctimas, ampliar la botnet y, por último, activarla.
Infectar a las víctimas
El cibercriminal debe introducir el malware de la botnet en los equipos de sus víctimas. La descarga e instalación de la botnet se suele hacer mediante malware o con estratagemas de ingeniería social. El hacker puede infectar a las víctimas con un troyano (un malware que se hace pasar por un programa inofensivo) poniendo en los sitios web anuncios de malvertising capaces de atacar a los visitantes, aprovechando las vulnerabilidades de seguridad o lanzando ataques de phishing para convencer a las víctimas con engaños de que instalen el malware.
Ampliar la botnet
El cibercriminal puede usar los equipos zombi que componen la botnet para infectar otros dispositivos. Algunos tipos de malware de botnet pueden propagarse automáticamente buscando en las redes dispositivos vulnerables que luego infectan.Esta técnica resulta especialmente destructiva cuando el pastor de equipos zombi usa una vulnerabilidad de día cero que todavía no se ha podido resolver.
Activar la botnet
Cuando la nueva botnet adquiere el tamaño suficiente, el cibercriminal puede usar la potencia combinada de todos los dispositivos infectados para cualquier fin, desde devastadores ataques DDoS hasta actividades de criptominería.
¿Qué puede hacer una botnet?
Tras infectar un equipo u otro dispositivo, un hacker consigue acceso de administrador a su sistema operativo y sus archivos. Puede aprovechar el acceso para robar datos del equipo, vigilarlo cuando se esté usando o controlar sus acciones.
A continuación, detallamos todo lo que un cibercriminal que maneja una botnet es capaz de hacer con un equipo zombi:
Leer y escribir datos del sistema: no solo puede leer los datos del sistema contenidos en un equipo zombi, sino que también puede editarlos y escribir datos nuevos.
Recopilar datos personales: puede escudriñar los archivos que hay en el equipo zombi y extraer datos personales confidenciales, como contraseñas e información financiera.
Espiar a las víctimas: con el acceso al sistema, el cibercriminal puede ver todo lo que hace cualquier persona que usa estos equipos controlados.
Enviar: muchas botnets se utilizan en campañas masivas de correo electrónico para enviar cantidades enormes de spam. Un cibercriminal puede hacer que los equipos zombi envíen mensajes de correo, archivos y otras clases de datos.
Instalar aplicaciones: las botnets pueden constituir la primera fase de un ataque de malware de gran envergadura. Gracias a que tienen acceso a tantos equipos, los cibercriminales son capaces de infectar fácilmente todos los equipos que componen la red con ransomware, spyware, adware y otros tipos de malware.
Infectar otros dispositivos: los equipos zombi tienen la capacidad de buscar posibles víctimas a las que infectar en las redes de las que forman parte. Esta técnica es especialmente potente cuando el malware de la botnet se propaga a través de vulnerabilidades en la ciberseguridad.
Por eso las herramientas de ciberseguridad son una defensa tan buena contra las botnets.