Los usuarios empezaron a conocer este programa malicioso a partir del año 2000 cuando un adolescente de Canadá lanzó una serie de ataques de negación de servicio contra páginas web muy populares. El joven, cuyo apodo era Mafiaboy, atacó Yahoo, ETrade, Dell, eBay, Amazon, entre otros, durante varios días, sobrecargando los sitios web hasta que los servidores se colapsaron. Mafia Boy, o su nombre real Michael Cale, no usó un botnet para su fechoría, pero los expertos en seguridad avisaron, después de este episodio, que los botnets (grandes redes de ordenadores infectados con una variedad de malware) y los ataques DDoS eran una gran amenaza para la estabilidad e integridad de Internet. Por supuesto, los profesionales no se equivocaron en absoluto.
Definición de Botnet
Botnet es el nombre genérico que denomina a cualquier grupo de PC infectados y controlados por un atacante de forma remota. Generalmente, un hacker o un grupo de ellos crea un botnet usando un malware que infecta a una gran cantidad de máquinas. Los ordenadores son parte del botnet, llamados “bots” o “zombies”. No existe un número mínimo de equipos para crear un botnet. Los botnets pequeños pueden incluir cientos de PCs infectados, mientras que los mayores utilizan millones de equipos. Algunos ejemplos de botnets recientes son Conficker, Zeus, Waledac, Mariposa y Kelihos. A menudo, se entiende el botnet como una entidad única, sin embargo los creadores de este malware lo venden a cualquiera que pague por él. Por este motivo, existen docenas de botnets separados usando el mismo malware y operando a la vez.
¿Cómo infecta al equipo?
Los hackers usan dos métodos para infectar los ordenadores y estos formen parte de un botnet: ataques drive-by downloads y email. En el primer caso, el proceso requiere de diferentes pasos y el atacante debe encontrar una página web con una vulnerabilidad que pueda explotar. Entonces, el hacker carga su código malicioso en la página y explota la vulnerabilidad en un navegador web como Google Chrome o Internet Explorer. El código redirige el navegador del usuario a otro site controlado por el delincuente donde el código bot se descarga e instala en el equipo. En el segundo caso, el proceso es más simple. El atacante envía una gran cantidad de spam, donde se adjunta un archivo Word o PDF con un código malicioso o un enlace a la página que aloja el código. Una vez el código está en el equipo, el ordenador se convierte en parte del botnet. El atacante puede manejar los comandos de forma remota, cargar datos en el PC o hacer lo que realmente desee con la máquina.
Usos
El uso más común de los botnets son lo ataques DDoS. Estos ataques utilizan la potencia del ordenador y el ancho de banda de cientos o miles de equipos para enviar gran cantidad de tráfico a una página web específica y sobrecargar dicho site. Existen diferentes tipos de ataques DDoS, pero el objetivo siempre es el mismo: colapsar una web. Los atacantes usaban esta táctica para derribar las páginas de sus enemigos. No obstante, empezaron a utilizar este método para atacar portales como Yahoo, MSN, tiendas online, bancos o web gubernamentales. Los grupos como Anonymous y LulzSec utilizaron los ataques DDoS contra este tipo de organizaciones. Mientras tanto, los cibercriminales usaban este tipo de ataque contra páginas bancarias para ocultar otros ataques más importantes en dichas entidades bancarias.
Además, los botnets también se utilizan para otras operaciones como envío masivo de spam o fraudes de tarjetas de crédito a gran escala.
Defensa
Existen diferentes formas de defensa frente a los ataques DDoS, pero casi todas ellas operan a nivel de servidor o ISP. Para los usuarios, la defensa frente a un botnet empieza actualizando todo el software de su equipo y evitando pinchar en enlaces sospechosos. Los hackers se aprovechan de la ingenuidad de los usuarios a la hora de abrir archivos maliciosos o hacer click en enlaces que esconden un malware. Si eliminamos esa parte de la ecuación, les será más difícil a los cibercriminales infectar nuestro equipo y construir un botnet.