¿Los artículos de tu blog publicados aquí? ¡Propón tu blog!

Botnet, cuando tu PC se convierte en un zombi

Publicado el 23 febrero 2016 por Tras La Nube De Oort @BlogNubeDeOort

Hoy vamos a repasar una de las vulnerabilidades más habituales, pero también una de las más complicadas de detectar para un usuario normal. Me refiero a cuando tu ordenador se convierte en un "zombi", es decir, alguien que no eres tú tiene control sobre él remotamente para usarlo para sus propios fines.

Ya hemos visto anteriormente cómo otro tipo de malware permite que alguien te espíe y monitorice a través de spyware, o que accedan a tu equipo y "secuestren" tus archivos.

En esta ocasión, cuando tu ordenador queda infectado por este tipo de software dañino, pasas a formar parte de una red de ordenadores o dispositivos, todos infectados y controlados por el mismo cracker o grupo criminal. Una vez tu ordenador forma parte de esta red, denominada botnet, el delincuente que la controla dispone de un pequeño ejercito a su servicio, con el que llevará a cabo tareas que de otra forma con un sólo ordenador sería mucho más costoso o incluso imposible de realizar.

¿Cómo pasa a formar parte de una botnet mi equipo?

Este malware puede afectar tanto a ordenadores como a móviles, independientemente del Sistema Operativo que tengan. La forma de contagio es similar a la de la mayoría de los RAT (Remote Administrative Software), es decir camuflados dentro de otros programas o archivos, normalmente fraudulentos, o como ficheros adjuntos en emails. Esta última, es una practica muy habitual. Cada vez estamos más concienciados acerca de los correos spam, sobre todo sabemos que no debemos descargar ningún archivo de un remitente que no conozcamos, o dar nuestros datos tras pinchar en enlaces en los emails. Sin embargo, esto, los delincuentes lo saben y asumen. Normalmente envían millones de correos spam, y aunque ya saben que solamente un pequeño porcentaje de personas va a caer en esas redes que lanzan al ciberespacio, esto les vale para sus propósitos. Si envían 100 millones de correos, y captan tan sólo un 2%... haz cuentas. Son muchos los equipos que acaban bajo su control, listos para ser usados en sus propósitos.

¿Qué hacen una vez disponen de una botnet?

Una vez que disponen de una botnet suficientemente grande puede ser que la vendan en el mercado negro, o que la usen ellos mismos con diversos propósitos:

  • Enviar correos spam con virus desde tus cuentas a tus contactos, para así ampliar la botnet o infectar con cualquier otro malware para recopilar información (financiera, personal, etc) en sus equipos, ya que es mucho más probable que se abra o descargue un correo si el remitente es un contacto conocido. Es muy importante que intentemos usar un pensamiento crítico a la hora de abrir o descargar algo de un email. Si ese contacto nunca te ha mandado algo así, o no encaja con el tipo de mensajes que te suele enviar, desconfía y pregúntale antes de descargar.
  • Alojamiento y/o descarga de material ilegal, cómo pornografía, pedofilia, etc para su redistribución.
  • Suplantar la identidad creando perfiles falsos y abriendo cuentas, colgando anuncios falsos, etc
  • Uno de los más habituales, posiblemente los usuarios de PSN lo recordarán muy bien, son los ataques DDos o de denegación de servicio. Para este tipo de ataque, cuanto mayor sea la botnet, más daño puede causar. Consiste en usar todos los equipos que estén controlados y solicitar que al mismo tiempo accedan a determinada página o red, saturando así los servidores e impidiendo que funcione correctamente. Lo que popularmente se conoce cómo "web caída". Una vez que consiguen dejarla fuera de funcionamiento, chantajean a la empresa responsable para que pague por parar el ataque.

    Una de las mayores botnet tiene responsables españoles, autodenominados DDP Team (Días De Pesadilla Team) y consiguió reunir información de casi 1 millón de personas de 190 países distintos. Además, una vez que fueron detectados, lanzaron un ataque de 12 millones de direcciones IP directamente contra el proveedor ISP de la Defense Intelligence que los estaba cercando para inutilizar su capacidad online. A esta operación se la denominó red "Mariposa"(1).

¿Cómo puedo saber si mi equipo pertenece a una de estas redes "zombi"?

Los síntomas pueden pasar desapercibidos en muchos casos, pero prestando un poco de atención a comportamientos inusuales podemos sospechar. Si vemos que :

  • Nos aparecen toolbars o barra de herramientas en el navegador que no hemos instalado
  • Internet va demasiado ralentizado
  • Algún contacto tuyo te dice que ha recibido un correo/mensaje tuyo que no has enviado.
  • Las aplicaciones se ejecutan con mucha lentitud
  • Tienes problemas apagando el equipo
  • Notas que el ventilador gira demasiado rápido cuando no le estás exigiendo al ordenador, o que el procesador trabaja al máximo

Estos síntomas no significan que pertenezcas a una botnet, pero pueden hacerte sospechar e investigar un poco más. Sobre todo si usas Windows, es importante que tengas el antivirus actualizado y algún programa anti-spyware.

Además, en la página de la OSI (Oficina de Seguridad del Internauta), página muy recomendable, facilitan un servicio online y plugins para los principales navegadores, donde podrás comprobar si tu IP pertenece a alguna botnet conocida. Para Android, disponen de la aplicación CONAN mobile, que también realiza esta función, junto con muchas otras características enfocadas a la seguridad online. Muy recomendable de tener instalada, ya que no consume muchos recursos.

Espero que este artículo os haya servido al menos para estar un poco más atentos con lo que descargáis y sobre todo con el comportamiento de vuestro ordenador. Un uso responsable y el sentido común, muchas veces son los mejores métodos para evitar este tipo de infecciones.

(1) - Más información sobre la operación Mariposa

Otras fuentes
  • Oficina de Seguridad del Internauta (OSI)
  • Bolg Karpesky
  • Wikipedia