Así como hemos anunciado en tendencias, las botnets van ocupando un lugar importante en la lista de los códigos maliciosos de mayor propagación. Estas redes afianzan el malware dinámico como una estrategia más efectiva de manipulación de equipos con fines delictivos.

El blog de seguridad suizo, abuse.ch, realizó un análisis más detallado de esta amenaza. De esta forma ,se establece el vínculo entre la magnitud de las botnets y su capacidad de hacer daño. Para poder estimar el tamaño de estas redes, se utilizó una técnica denominada sinkholing: se trata de redirigir el tráfico que proviene de cada cliente hacia un servidor que no es el C&C (servidor de Comando y Control) de la botnet; y así poder analizar su comportamiento para desarticular la amenaza.

A continuación veremos una tabla con la cantidad de direcciones IP registradas para algunas de las botnets más reconocidas.

En la gráfica podemos observar que la botnet TDSS, también detectada por ESET como: Alureon, Tidsserv o TDL4; posee 90.330 equipos infectados. De esos, más de 50 mil son nuevas direcciones IP. Resulta llamativo, por otro lado, que los troyanos bancarios (Carberp, Gozi, SpyEye y ZeuS) poseen mucho menos cantidad de terminales infectadas que la TDSS, el famoso rootkit de fraude a través de clics. Según la fuente, este comportamiento se debe a que el fraude bancario llama más la atención a las autoridades. Se necesita una cuenta adonde transferir los fondos, o en sus efectos, un procedimiento de lavado de dinero.

El fraude a través de los clics, no obstante, es más fácil de encubrir ya que normalmente nadie sabe de lo que se está hablando. Las personas que están infectadas, no se ven comprometidas, ya que sólo se simula un acceso a los anuncios publicitarios sin ocasionar mayores problemas al usuario.

En la gráfica siguiente, podemos observar a Artro, que es una botnet con 167.523 terminales, casi el doble de equipos infectados que TDSS. De igual modo, ¿es ese número suficiente para poder decir que una botnet es grande?

Antes de contestar a esa pregunta, es interesante prestar atención a la siguiente imagen, en donde aparece Ponmocup. Una botnet de gran tamaño que posee más de un millón de clientes. Se cree que deben existir muchas otras botnets que superan el millón de terminales y aún no fueron detectadas. El objetivo de estas redes es justamente trabajar en silencio el mayor tiempo posible:

No obstante, recordamos la entrevista realizada en una oportunidad al investigador de ESET, Pierre-Marc Bureau, en donde nos comentaba que todo indica que las grandes botnets tienden a desaparecer. Éstas serán reemplazadas por redes más pequeñas y con operadores locales. Es decir, cada vez más redes y más pequeñas.

Por lo tanto, podemos afirmar que el tamaño de una botnet no es necesariamente lo que la hace más efectiva. Ya sean formadas por algunas decenas de miles, como por millones de clientes, su impacto va a estar dado por la adaptación de su tamaño a la actividad delictiva que desempeñen.

Raphael Labaca Castro
Awareness & Research Specialist