Conócelo todo sobre redes botnet

Aunque cada día están más presentes en nuestra vida, los mecanismos para combatirlas son muy complejos para la mayoría de usuarios. Os ayudamos a entender en qué consiste una botnet y cómo prevenirnos

Javier Pastor Nóbrega

Conócelo todo sobre redes botnet

21 enero 2010

NIVEL: BÁSICO

Cualquier usuario habitual de informática probablemente haya oído hablar de las botnets, redes de ordenadores zombis que cada vez están más extendidas y de las que puede que nuestro PC forme parte sin que nosotros nos estemos dando cuenta.

La amenaza es clara y, día tras día, se descubren nuevas redes más y más peligrosas. Un ejemplo claro es Festi Botnet, que, tal y como indican los responsables de Symantec, se ha convertido en una de las botnets más peligrosas de los últimos tiempos y de hecho se la considera responsable del envío de entre el 3 y el 6% del correo basura que se mueve por todo el mundo. Lo que significa que los ordenadores de esta red se encargan de enviar hasta 3.000 millones de mensajes de spam cada día.

No obstante, no es la más relevante de las botnets actuales, y según esas mismas fuentes hay otras cuatro aún más importantes. Las denominadas Cutwail, Bagle, Grum y Rustock son responsables de nada menos que el 80% del envío de spam a nivel mundial. Otro documento igualmente preocupante de Panda Security revela que España encabeza el ranking mundial en ordenadores infectados y controlados remotamente: el 44,49% de los PCs y portátiles de nuestro país forman parte de una de esas redes sin que lo sepamos.

SPAM

El objetivo detrás

Aunque hace años los desarrolladores de códigos maliciosos normalmente se conformaban con el orgullo de lograr haber entrado en ciertos sistemas aprovechando algunas vulnerabilidades, hoy queda claro que el cibercrimen es una realidad en la que el ánimo de lucro es la principal motivación. Los cibercriminales están mucho más organizados –adiós a la imagen del hacker solitario y asocial– y estas estructuras, a menudo similares a las de una empresa, permiten un ámbito de acción realmente asombroso.

Esas organizaciones hacen que las botnets funcionen para su beneficio. Hay un gran número de amenazas posibles, pero entre las más conocidas están, por ejemplo, la ejecución de ataques de denegación de servicio (DDoS) que logran «tirar» abajo un servicio o sitio web. Las motivaciones para esos ataques son muchas, pero cada vez más forman partes de ofensivas encargadas por todo tipo de entidades a ciberterroristas. Sin embargo, hay amenazas aún más preocupantes.

El envío de spam es probablemente la más conocida, y desde luego la más extendida entre las redes botnet. El envío masivo de correo basura es responsabilidad de los ordenadores que forman parte de estas infraestructuras, y nuestro propio PC podría ser precisamente el encargado de enviar parte de estos mensajes sin que nosotros mismos nos estemos dando cuenta. Aunque pocos provocan que el usuario haga clic en la publicidad o enlace enviado, la tasa de éxito del pago por clic unida al inmenso número de mensajes de spam enviados provocan que los hackers se ganen un buen dinero con estas remesas de correos basura.

Una tercera amenaza la conforma el robo de información privada, aún más peligrosa para muchos de los internautas, que no solo se limitan a utilizar su PC para el ocio «inocuo», sino que también ejecutan todo tipo de tareas personales y profesionales, incluidas algunas como la banca electrónica o las compras on-line, en las que los datos financieros se transfieren. Las botnets se encargan de escuchar todas esas transferencias –por ejemplo, con sniffers y keyloggers– para extraer la información que les interesa; normalmente, usuarios, contraseñas o números de tarjetas de crédito en todo tipo de servicios.

Prevención

Paso 1. El control

La forma más común de control de nuestro ordenador es el uso del protocolo IRC (Internet Relay Chat), un servicio que es muy conocido entre los usuarios más veteranos de Internet y que lamentablemente también sirve para este tipo de operaciones. Los PCs zombis que forman parte de la botnet se conectan automáticamente a un servidor IRC específico para que, con ciertos parámetros establecidos por el atacante (canal, usuario, contraseña), logren ingresar en una sala de IRC muy especial: aquella en la que el atacante les ordena a los PCs qué tipo de tarea deben ejecutar.

Control_paso-1

Paso 2. ¿Es posible detectarlas?

Lo cierto es que el tipo de actividad que mantienen estas botnets hace que su detección y eliminación sean realmente complejas. Varios organismos de seguridad luchan a diario para tratar de detener su actividad, pero los mecanismos que utilizan estas organizaciones son cada vez más complejos, y lamentablemente siguen llevando la delantera en la mayoría de las ocasiones. De hecho, el usuario final lo tiene complicado para detectar su actividad. Algunas suites de seguridad tratan de alertar sobre troyanos y otros componentes que actúan en segundo plano, mientras no nos enteramos, pero la detección de botnets es más complicada que la de los virus convencionales.

Para tratar de determinar si nuestra máquina está afectada por estas infecciones, lo ideal es ejecutar comandos de monitorización de la red. Por ejemplo, el comando netstat –an, que ofrecerá información sobre todas las conexiones abiertas en cada momento y en qué puertos están abiertas esas transferencias.

Algunas botnets también dejan ciertas huellas en nuestro PC. Por ejemplo, el rendimiento del PC se verá afectado debido a esa actividad en segundo plano (sobre todo en ordenadores más antiguos), tiempos de arranque y apagado más largos, velocidades de navegación/descarga más lentas en Internet o una señal muy sospechosa: la actividad constante del disco duro, que puede que sea un síntoma especialmente válido a la hora de saber si efectivamente algo raro está pasando en este sentido.

En el plano del software pocos programas están dedicados a esta tarea específica, pero hay al menos dos soluciones que podemos citar. Por un lado, está BotHunter (www.bothunter.net), una aplicación que monitoriza nuestro PC para evaluar si se están produciendo transferencias peligrosas. Por otro, RUBotted (http://free.antivirus.com/rubotted), una aplicación de Trend Micro compatible con micros de 32 bits que escanea nuestro ordenador en busca de esos componentes maliciosos.

Netstat_paso-2

Paso 3. La cura

La eliminación de estos componentes es realmente complicada, y como ya hemos mencionado, solo algunos tipos de código están correctamente cubiertos en los diccionarios de los antivirus y las suites de seguridad. Si nuestro antivirus no ayuda y probamos con otras alternativas sin éxito, quizás la solución más radical, poner a salvo los datos imprescindibles (nada de ficheros sospechosos), formatear y volver a instalar el sistema operativo, sea la más efectiva, por dolorosa que pueda parecer. Tanto si no hemos sido infectados aún como si hemos vuelto a reinstalarlo todo para tratar de librarnos de la amenaza, lo ideal es prevenir y no curar.

Instalacion_Paso-3

Paso 4. Prevenir mejor que curar

Las medidas más importantes para evitar posibles infecciones de nuestro PC son las siguientes:

1. Contratar un servicio de filtros web

Empresas como Websense (www.websense.com) o Cyveillance (www.cyveillance.com) son ejemplos de firmas dedicadas a la monitorización de la actividad en Internet para detectar actividades sospechosas. Al contratar dichos servicios, formamos parte de esa monitorización.

2. Cambiar de navegador/sistema operativo

Internet Explorer y Mozilla Firefox son actualmente los claros objetivos de aquellos que desarrollan páginas con contenido malicioso, de modo que utilizar otros navegadores como Opera o Chrome puede resultar útil. Si somos aún más susceptibles de sufrir este tipo de amenaza, quizá deberíamos evaluar el uso de un sistema operativo Linux, aunque solo fuera para realizar operaciones «sensibles», como la gestión de nuestra cuenta bancaria.

3. Desactivar los scripts en el navegador

Aunque perderemos parte de la funcionalidad de los servicios web, la deshabilitación en los navegadores que usemos de este tipo de soporte es interesante para garantizar la seguridad.

4. Usar un cortafuegos y una suite de seguridad

La nueva suite Microsoft Security Essentials (www.microsoft.com/Security_Essentials) es un buen ejemplo de una solución gratuita que permite obtener cierta seguridad inicial, aunque para afianzar dichas barreras quizás sea conveniente acceder a un cortafuegos más especializado y a una suite de seguridad más completa. En ambos casos, la idea es la de evitar que en nuestras sesiones en Internet acabemos accediendo a contenidos maliciosos o nos descarguemos ficheros comprometidos.

5. Actualizaciones

Tanto en el caso de las actualizaciones de Windows como en el de las aplicaciones que utilizamos a diario, tener a punto dichos desarrollos es una tarea imprescindible para evitar posibles agujeros de seguridad que podrían ser aprovechados por los atacantes.

6. Sentido común

La última de las medidas es la más importante, y pocos usuarios se dan cuenta de lo relevante que es actuar con sentido común en la red de redes. El número de amenazas es alarmante, pero en muchos casos una ligera sospecha debería bastar para que el usuario no continuara con un proceso que puede acabar infectando su ordenador.

Essentials_Paso-4

Ataques directos e indirectos

Hay todo tipo de documentación disponible que nos habla de este fenómeno, probablemente el más importante en la actualidad en lo que se refiere a amenazas de seguridad informáticas. Tal y como indican en Honeynet (www.honeynet.org), donde disponen de una útil guía de introducción a las botnets, los PCs domésticos son un objetivo muy deseable por los atacantes. La mayoría de esos sistemas corren alguna versión de Microsoft Windows y a menudo no están correctamente actualizados o a salvo tras un firewall, lo que los hace muy vulnerables a ataques.

Pero no solo eso; además de esos ataques directos, existen ataques indirectos contra los programas que las víctimas utilizan, y cuya popularidad se está incrementando de forma alarmante. Las infecciones en navegadores o las vulnerabilidades en redes P2P son ejemplos de esos ataques indirectos en los que el usuario realiza algún tipo de acción que, en muchos casos por confusión o despiste, llevan a la instalación del código malicioso que hace que nuestro PC ingrese en las filas de un ejército de ordenadores dormidos, y que tan solo esperan a que el atacante los controle remotamente.

Temas Relacionados
Loading...