El malware o los códigos maliciosos han estado aquí de alguna manera por más de 40 años, pero el uso de malware para tomar el control de un grupo de computadoras organizadas en algo llamado "botnet", es un fenómeno del siglo 21. Las botnets han sido responsables de algunos de los incidentes de seguridad más costosos de los últimos 10 años, por lo que hay mucho esfuerzo puesto en derrotar a este tipo de amenazas y, cuando es posible, cerrarlas de una vez.
Recientemente, tuve la chance de entrevistar a alguien que pasa mucho tiempo batallando botnets: Pierre-Marc Bureau, Security Intelligence Program Manager de ESET. Le pedí que explicara qué son, qué amenaza suponen, y cómo defenderse de este tipo de malware.
¿Qué es una botnet, cómo funciona y cómo se propaga?
La palabra botnet se compone de dos palabras: "bot" y "net". "Bot" viene de "robot", un nombre que a veces le damos a una computadora que ha sido infectada con software malicioso. "Net" viene de "network" (red), un grupo de sistemas que están conectados entre sí. Las personas que escriben y operan malware, no pueden ingresar manualmente a cada equipo que han infectado. En su lugar, utilizan botnets para manejar de manera automática un gran número de sistemas infectados. En resumen, una botnet es una red de computadoras infectadas, y dicha red es utilizada para propagar el malware.
¿Cómo puedes darte cuenta que tu equipo es parte de una botnet? ¿Tiene impacto sobre el rendimiento de un sistema?
Cuando una computadora forma parte de una botnet, puede recibir instrucciones para, entre otras cosas, enviar spam o saturar un sitio web. Estos comportamientos pueden ser visibles para aquellos usuarios que tienen un limitado ancho de banda de Internet.
Un usuario puede descubrir si su equipo está infectado a través de diferentes herramientas. La más típica es utilizar un buen producto anti-malware. Para usuarios con mayores conocimientos técnicos, una herramienta de diagnóstico como ESET SysInspector, o simplemente observando los procesos que corren en el sistema y los programas instalados, pueden llegar a revelar la presencia de una infección. De todos modos, no siempre es tan fácil determinar la presencia de una botnet.
¿Quién está detrás de las botnets y para qué son utilizadas?
Las botnets son utilizadas por actores maliciosos para varios propósitos, que van desde robo de información a enviar spam. Como con cualquier cosa, cuantos más recursos tengas, más rápido será conseguir los resultados. Varios tipos de personas operan las botnets. Bandas criminales las utilizan para robar credenciales de acceso de home banking con el objetivo de cometer fraudes, mientras que existen "bromistas" que las usan para espiar por webcams para luego extorsionar a sus víctimas.
¿Cuál es el rol de un servidor de Comando y Control en una botnet? ¿Poder derribarlo ocasiona también la eclosión de toda la botnet?
Lo que llamamos un servidor de Comando y Control (algunas veces es llamado C&C o C2) es un servidor central que es usado para conectar a todos los equipos infectados. Con la mayoría de las botnets, si se cierra el panel de Comando y Control, significa derribar toda la red de equipo infectados.
De todas maneras, existen excepciones: la primera es que hay botnets que usan redes P2P (red entre iguales) para comunicarse, lo que significa que no hay un servidor de Comando y Control para dar de baja. La segunda excepción se da en el caso que estamos viendo cada vez más: botnets que usan diversos servidores de Comando y Control. Estos están localizados en diferentes países y jurisdicciones, haciendo muy dificultoso darlos de baja al mismo tiempo.
¿Cuáles son los riesgos más grandes para los usuarios hogareños y las empresas?
Los riesgos asociados a las botnets son exactamente los mismos que el software malicioso en general. Son variados: puede haber información sensible robada de un dispositivo electrónico, tales como propiedad intelectual, planos o contraseñas de acceso a recursos estratégicos. Las computadoras infectadas además pueden ser utilizadas para sobrecargar servidores y para enviar spam.
Es muy importante entender que una vez que un equipo está infectado, no pertenece más realmente a su dueño, es operada y usada por alguien que puede estar del otro lado del mundo, potencialmente conduciendo todo tipo de actividades ilegales.
¿Quién está más en peligro: las empresas o los usuarios hogareños?
La línea entre los dispositivos personales y corporativos es bastante borrosa. Todos llevamos nuestros dispositivos personales al trabajo y viceversa. Yo diría que las botnets son una amenaza para ambos tipos de usuarios. En general, las redes corporativas tienen una seguridad más estricta y realizan monitoreos; identificar y detener ataques de botnet debería ser más sencillo en este tipo de redes. Por el otro lado, existe información más sensible para ser robada en la red de una empresa.
¿Existe algún grupo o tipo de usuario que sea más vulnerable que el resto?
Realmente no. Hay varios tipos de malware, cada uno puede ser utilizado para apuntarle a un grupo diferente de usuarios.
Históricamente, ¿cuáles son las botnets más conocidas, las más grandes y la peor?
Conficker es probablemente la botnet que ha recibido mayor atención y seguro es una de las más grandes de la historia, con millones de equipos infectados muy rápidamente. Esto originó que la comunidad de investigación organizara una fuerza especial para combatirla. Como resultado, la botnet nunca fue utilizada por sus operadores. Otras significativas incluyen a Storm que era utilizada principalmente para enviar spam; y TDSS (también llamada Alureon) que tenía un componente de rootkit que era bastante difícil de limpiar del sistema.
¿ESET ha descubierto alguna botnet grande este año?
Sí, nuestra investigación de Operación Windigo resultó ser uno de los proyectos de investigación de botnets de la historia de ESET. Nuestro equipo descubrió una red de servidores infectados que eran usados para redirigir usuarios a contenidos web maliciosos, robar credenciales y enviar spam. Descubrimos que en los últimos años, más de 25.000 servidores habían sido infectados. En el momento que escribimos nuestro reporte, más de 10.000 servidores seguían infectados (Nota del Editor: Pueden descargar el premiado paper de investigación sobre Windigo aquí).
¿Qué sistema operativo suele utilizar un bot? ¿Han visto botnets para Mac, Linux o Android?
Hemos visto software malicioso creado para todos los grandes sistemas operativos. Agrupar dispositivos infectados en redes, o botnets, es posible en todas las plataformas. Un ejemplo de esto es el malware Flashback, que infectó a cientos y miles de dispositivos Mac.
¿Cuál es el enfoque más efectivo a la hora de entender cómo combatir una botnet?
Desde una perspectiva tecnológica, hay varias maneras de combatir las botnets, empezando por utilizar un anti-malware. De esa manera, se pueden advertir infecciones en el tráfico de red, en la memoria de equipos infectados o en su disco duro. Por el otro lado, creo que el enfoque más efectivo para combatir las botnets es la educación, despertando conciencia sobre esta amenaza.
Necesitamos que todo el mundo se dé cuenta que si su equipo está infectado, puede ser utilizado para lastimar a otros. Por lo tanto, cada vez que se encuentra un equipo infectado, es necesario desconectarlo y limpiarlo lo más rápido posible. Finalmente, la colaboración entre usuarios, grupos de investigación, proveedores de Internet y agencias de seguridad, ayuda enormemente a combatir las botnets y a llevar a la justicia a aquellos que las operan.