Storm Botnet irrumpió en la escena de la ciberseguridad hace 17 años y se convirtió en un emblema de este tipo de amenazas. Aprovechando este aniversario repasaremos cuáles fueron las más recordadas, y qué está sucediendo en la actualidad con aquellas que hoy siguen activas (o lo estaban hasta hace muy poco tiempo).
¿Qué es una botnet?
Como siempre en cualquier historia, es mejor empezar por el principio. Así que, primero lo primero. ¿Qué es una botnet? El término nace de dos palabras en inglés: “bot” por “robot”, y “net” que proviene de network o red en español.
En resumen, se trata de una red de robots que se compone de dos partes: el panel de control (desde donde se centralizan las acciones a ejecutar) y el servidor (pequeño programa informático que establece la conexión con el centro de control del cibercriminal).
Entre sus funcionalidades se encuentra la capacidad de robar archivos, subir aplicaciones, ejecutar procesos en los equipos víctima y obtener las pulsaciones de cada tecla en el teclado a través de un keylogger. Lo que hace distintivo a este tipo de código malicioso es que permite a un atacante ejecutar instrucciones en muchos equipos en simultáneo.
¿Cuáles son las botnets más emblemáticas?
Las botnets tienen un amplio prontuario y muchas de ellas causaron un impacto muy importante y aún son recordadas.
Storm Botnet, cuyo aniversario número 17 se cumple este mes de enero, es una de las más emblemáticas. ¿Por qué? Porque fue pionera en tácticas que luego serían utilizadas por otras botnets. Su alcance fue inmenso: diez millones de computadoras con Windows. El tamaño de la red fue tal que pudieron fraccionarla para venderla con diversos fines maliciosos y sus autores obtuvieron un gran rédito económico.
Otro caso legendario fue el de Conficker, que infectó millones de máquinas Windows —se habla de 15 millones— y por el cual se creó un equipo especial para pelear contra él. En febrero de 2009, cuando esta amenaza ya era una epidemia infectando millones de sistemas, Microsoft anunció a través de un comunicado de prensa una recompensa de 250.000 dólares por “información que resulte en el arresto de los responsables de la creación y propagación de Conficker en Internet”.
Zeus también merece su mención, ya que no solo fue una gran botnet en sistemas Windows, sino que también tenía un componente que robaba códigos de banca en línea de una variedad de dispositivos infectados (Symbian, Windows Mobile, Android y Blackberry). Si bien en 2012 las fuerzas estadounidenses y sus socios de la industria de la tecnología dieron de baja la botnet, sus autores originales tomaron piezas de su creación original y la revivieron bajo el nombre de Gameover Zeus, que un tiempo después fue dada de baja por el FBI. La historia no termina ahí, ya que la amenaza Cryptolocker fue propagada por variantes de Zeus.
¿Qué sucede actualmente con las botnets?
Cualquier dispositivo conectado a Internet puede convertirse en un objetivo para los ciberdelincuentes, y eso se reafirma con algunos ejemplos puntuales que sirven para entender el panorama actual de las botnets y sus actividades más recientes.
La botnet Mozi, recientemente desactivada, fue famosa por explotar vulnerabilidades en cientos de miles de dispositivos IoT cada año. Basada en redes P2P, comprometía dispositivos IoT, principalmente Netgear DGN, routers domésticos GPON de DASAN Networks, routers D-Link y servidores web Jaws.
Pero no es el único caso actual y resonante: en septiembre de 2023 una nueva botnet IoT, Pandora, cobró vida. Se trata de una amenaza que compromete dispositivos Android TV con malware basado en la botnet Mirai, para ejecutar ataques DDoS.
Según la telemetría de ESET esta botnet, que es detectada como Android/Pandora, intentó comprometer decenas de miles de dispositivos Android, sobre todo en América Latina. Su mayor pico de actividad se detectó el 8 de septiembre con más de dos mil ataques, para luego reducirse a unos quinientos por día.
Android/Pandora presenta diversos canales principales de distribución: a través de las actualizaciones de firmware maliciosas preinstaladas en Android TV Boxes por el revendedor o descargadas e instaladas por una víctima involuntariamente; y principalmente, a través de sitios web que difunden aplicaciones maliciosas con nombres como MagisTV, Tele Latino y YouCine. A ojos del usuario, estas aplicaciones ofrecen todas las funciones y contenidos prometidos sin signos evidentes de actividad maliciosa.
¿Cómo protegernos?
En principio, es fundamental considerar que los dispositivos IoT son como una computadora y actuar en consecuencia. Es decir, incorporar hábitos como el cambio de inmediato de la contraseña predeterminada y el chequeo regular de los parches de seguridad.
Utilizar contraseñas robustas y únicas, mantener los sistemas actualizados e instalar solución de seguridad confiable para detectar y eliminar amenazas.
Además, es recomendable utilizar la interfaz HTTPS siempre que sea posible y si el dispositivo no está siendo utilizado, apagarlo. Si contiene otros protocolos de conexión que no están en uso, lo mejor es deshabilitarlos.