¿Qué es una botnet?

¿Alguna vez has usado un dispositivo que, de repente, iba muy lento o se calentaba mucho aunque no le dieras un uso fuera de lo normal? Es probable que estuviera infectado y hubiera pasado a formar parte de una botnet.

Una botnet es un grupo de ordenadores o dispositivos del internet de las cosas (IoT) que están infectados y bajo el control de un ciberdelincuente, que puede lanzar ataques a gran escala sirviéndose de los recursos informáticos conjuntos que le proporciona la botnet. 

¿Cómo se crea una botnet?

Para crear una botnet, en primer lugar, los ciberdelincuentes infectan una red de dispositivos que utilizarán como arma arrojadiza. Para ello, se adentran aprovechando vulnerabilidades de software o firmware, o bien mediante malware descargado desde un enlace o un archivo infectado. Una vez que queda infectado un dispositivo, el ciberdelincuente puede utilizar los recursos informáticos reunidos para lanzar ataques, a menudo sin el conocimiento del dueño del dispositivo. Si bien no hay un número definido de dispositivos infectados que sea necesario para crear una botnet, cuanto más grande sea la red, mayor será el impacto potencial del ataque. Una vez que quedan infectados los dispositivos, hay dos modelos para controlarlos.

Modelo cliente-servidor

Controlar los bots requiere una infraestructura que establezca líneas de comunicación entre el servidor (el ciberdelincuente) y sus clientes (tus dispositivos infectados). El modelo cliente-servidor fue el primero y funciona creando un servidor centralizado (servidor de mando y control o C&C) para dar instrucciones. Dicho de otro modo, en el modelo cliente-servidor, los clientes se limitan a seguir las instrucciones que dé el servidor de C&C del ciberdelincuente. Esta dependencia es la principal desventaja del modelo, y es que basta con que se descubra y se inhabilite el servidor de C&C para que la botnet entera quede inoperativa.

P2P y mando y control descentralizado

Los modelos entre iguales (P2P) y de C&C descentralizado surgieron en respuesta al defecto de centralización del modelo cliente-servidor. En este nuevo modelo cualquier cliente puede funcionar como servidor, de modo que, en vez de mandarse instrucciones desde un punto, cualquier cliente de la botnet puede distribuirlas. Si bien este modelo ralentiza el envío de instrucciones, prácticamente imposibilita el desmantelamiento de la botnet.

¿Qué tipo de ataques se pueden realizar con una botnet?

Las botnets pueden llevar a cabo cualquier ataque que pueda realizar un solo ordenador, pero la diferencia radica en la escala del ataque. Los ataques cuya fuerza reside en el volumen, como ataques de DDoS, de apropiación de cuentas o de envío de contenido no deseado, son los más habituales.  Entre los ataques más conocidos de botnets encontramos los ataques de DDoS de 2016 a cargo de la botnet Mirai, que hizo caer sitios web populares como Twitter, Netflix y Reddit, así como el uso por parte de la botnet 3ve de unos 2 millones de ordenadores para realizar clics fraudulentos por valor de casi 30 millones de dólares. 

El futuro de las botnets

Habrás notado que, a lo largo de este artículo, hemos usado el término «dispositivo» en vez de «ordenador». Los ordenadores solían ser el blanco de los bots maliciosos, pero en los últimos años hemos visto cómo cualquier dispositivo del IoT está expuesto a ataques por parte de ciberdelincuentes: enrutadores, teléfonos, relojes inteligentes y cualquier otro objeto conectado a internet puede quedar infectado y pasar a formar parte de una botnet. ¿También la nevera inteligente de la cocina? Sí, también esa se puede usar para atacar a tu sitio favorito. Por desgracia, en un principio, muchos dispositivos del IoT no se desarrollaron con la capacidad de defenderse de ataques, aunque todo tiene solución y, como están conectados a internet, basta con actualizar su software para impedir que alguien se adueñe de sus funciones. Nuestro artículo sobre la historia de los bots repasa bots y botnets reales de cada década.