¿Qué es una red de robots (botnet) de DDoS?

Los ataques de redes de robots (botnets) son los responsables de los mayores ataques DDoS jamás registrados. Conoce cómo se consigue infectar los dispositivos con malware de redes de robots, cómo los robots son controlados de forma remota y cómo proteger una red de una infestación de una red de robots.

Share facebook icon linkedin icon twitter icon email icon

Red de robots (botnet)

Objetivos de aprendizaje

Después de leer este artículo podrá:

  • Definir una red de robots DDoS
  • Explicar por qué se crean las redes de robots (botnets)
  • Entender cómo los atacantes controlan de forma remota las redes de robots (botnet)
  • Razonar sobre estrategias para deshabilitar una red de robots (botnet) y prevenir una infección

¿Qué es una red de robots (botnet)?

Un botnet (red o ejército de robots) es un grupo de ordenadores que han sido infectados con malware y que a causa de esto pasan a estar bajo el control de un atacante. El término inglés, botnet, se ha construido a partir de robot y net (red); en este contexto, cada ordenador infectado es un bot. Los botnets pueden diseñarse y programarse para que lleven a cabo tareas ilegales, delictivas o maliciosas, como envío de spam, robo de datos, ransomware (secuestro de dispositivos), clics fraudulentos en anuncios o ataques de denegación de servicio distribuidos (DDoS).


Mientras que ciertos malwarecomo el ransomware, afectan directamente al propietario del dispositivo, el malware DDoS botnet puede tener distintos niveles de visibilidad; así, algunos malware están diseñados para adueñarse totalmente del dispositivo mientras que otros se ejecutan silenciosamente como un proceso en segundo plano que permanece a la espera de instrucciones del atacante o “pastor de robots”.


Los botnets que poseen la habilidad de autopropagarse reclutan nuevos bots para su ejército utilizando diversos mecanismos. Las vías a través de las cuales consiguen infectar otros dispositivos son diversas, como la explotación de vulnerabilidades web, el uso de troyanos o el descriframiento de credenciales de autenticación poco seguras para controlar dispositivos de forma remota. El objetivo es siempre conseguir acceder al dispositivo para, después, instalar algún malware en este que permita controlarlo de forma remota. Tras la infección de un dispositivo, este podrá intentar esparcir el malware botnet mediante el reclutamiento de otros dispositivos de hardware de su red circundante.


Si bien es imposible detectar la cantidad exacta de robots en una red de robots (botnet) específica, las estimaciones para la cantidad total de robots en una red de robots (botnet) sofisticada varían entre algunos miles hasta más de un millón.

DDoS Botnet attack animation

¿Por qué se crean las redes de robots (botnet)?

Las razones para utilizar botnets son muy diversas, desde activismo hasta perturbaciones financiadas por los propios estados, aunque la mayoría de los ataques pretenden simplemente obtener un beneficio económico. Contratar servicios botnet es relativamente barato, sobre todo en relación con la cantidad de daño que son capaces de producir. Existen además insuficientes frenos o barreras para esta actividad, lo cual hace que algunos desarrolladores de software decidan dedicarse a este lucrativo negocio, especialmente en países donde la normativa es laxa o donde no se persiguen estas actividades. Todo esto ha provocado la proliferación de servicios online que ofrecen ataques de alquiler.

¿Cómo se controla una red de robots (botnet)?

Una de las características esenciales de un botnet es su capacidad para recibir instrucciones actualizadas del pastor. Esa habilidad del pastor para comunicarse con todos los bots de la red de robots le permite modificar los vectores de ataque o las direcciones IP que están siendo atacadas, y también poner fin a un ataque o realizar otro tipo de acciones. Los diseños de redes de robots varían, pero las estructuras de control existentes son básicamente dos:

El modelo de red de robots (botnet) de cliente/servidor

Elmodelo cliente/servidor, que mimetiza el workflow (flujo de trabajo) de las estaciones de trabajo remoto tradicionales en las que cada dispositivo individual se conecta a un servidor central (o a un pequeño número de servidores centrales) para acceder a la información. En este modelo, cada bot se conecta a un centro de control y mando, como un dominio web o un canal de IRC, para recibir instrucciones.Mediante el uso de este tipo de repositorios centrales para enviar nuevos comandos a la red, el atacante no tiene más que modificar el material de origen del que se nutre la red de robots para actualizar así las instrucciones de cada dispositivo infectado integrado en esta. Tal servidor central en control del botnet puede ser, bien un dispositivo propiedad del atacante y manejado por este, bien uno de los dispositivos infectados.


Se han observado ciertas topologías de redes de robots (botnet) centralizadas populares, incluidas las siguientes:

Topología de red en estrella

Star network topology animation

Topología de red multiservidor

Multi server network topology animation

Topología de red jerárquica

Hierarchical network topology animation

En este tipo de modelos (cliente/servidor), cada bot se conecta a un centro de control y mando, como un dominio web o un canal de IRC, para recibir instrucciones. Mediante el uso de este tipo de repositorios centrales para enviar nuevos comandos a la red, el atacante no tiene más que modificar el material de origen del que se nutre la red de robots para actualizar las instrucciones de cada dispositivo infectado integrado en esta.


Ahora bien, esa simplicidad para actualizar instrucciones (desde un número limitado de orígenes centralizados) se convierte en la principal vulnerabilidad del botnet: basta con interceptar el servidor central para neutralizarlo. Esto ha dado lugar a una evolución de este modelo y al surgimiento de otros nuevos con menos puntos débiles.

El modelo de red de robots (botnet) entre pares (peer-to-peer)

Así, para solventar esa fragilidad del modelo cliente/servidor, los botnets más recientes incorporan un diseño que se basa en la compartición de archivos peer-to-peer (entre iguales o P2P) descentralizada. Este tipo de estructura de control, una vez integrada en una red de robots, elimina ese punto débil, de un centro único de control y comando, y determina así que neutralizar el botnet se torne más complicado. Los bots P2P pueden ser simultáneamente clientes y centros de comando y, en colaboración con los nodos vecinos, trabajan para propagar datos.


Los botnets P2P se basan en un listado de ordenadores de confianza que pueden comunicarse entre sí (enviándose recíprocamente información) y actualizar el malware. Utilizando el mecanismo de limitar el número de dispositivos a los que cada bot se conecta, cada bot únicamente queda expuesto a dispositivos adyacentes, lo cual dificulta el rastreo y la mitigación. Por otra parte, al no disponer de un centro de control único, este tipo de redes de robots están más expuestas a pasar a ser controladas por personas distintas de su creador. Pero, para protegerse frente a esto, estos botnets están normalmente encriptados (así limitan las posibilidades de acceso de terceros).

Peer-to-peer network topology animation

¿Cómo se convierten los dispositivos IoT en redes de robots (botnet)?

Nadie realiza sus operaciones bancarias por internet utilizando la cámara de circuito cerrado del patio trasero de su casa, pero eso no quiere decir que dicho dispositivo (la cámara) no sea capaz de realizar las solicitudes de red necesarias para ello. Las capacidades intrínsecas a los dispositivosIoT actuales en combinación con una seguridad nula, escasa o mal configurada ofrecen al malware botnet la oportunidad de reclutar nuevas máquinas para su ejército de robots. La actual proliferación de dispositivos IoT ha proporcionado un nuevo campo de actuación a los ataques DDoS, gracias a que muchos de estos dispositivos están mal configurados o son vulnerables.


Cuando la vulnerabilidad de un dispositivo IoT está escrita en el código fuente de su firmware, las actualizaciones devienen más complicadas. Para mitigar riesgos, cualquier dispositivo IoT con firmware antiguo debería ser actualizado, porque las credenciales predeterminadas del dispositivo frecuentemente no se modifican. Muchos fabricantes de hardware barato carecen de incentivos para conseguir que sus dispositivos sean más seguros, lo cual provoca que la vulnerabilidad descrita subsista como riesgo de seguridad no resuelto.

¿Cómo se deshabilita una red de robots (botnet) existente?

Deshabilitar los centros de control de una red de robots (botnet):

Los botnets con un diseño basado en un centro de control y mando pueden ser más fácilmente desactivados tras la detección de dicho centro o centros. Basta con neutralizar dichos centros de control (sus puntos débiles) para hacer caer toda la red. Por este motivo, tanto los administradores de sistemas como las fuerzas de seguridad se centran en cerrar tales centros de control. Ahora bien, el proceso se complica cuando el centro de mando está ubicado en un país donde la presión legal o de las fuerzas de seguridad es menor.

Eliminar la infección de los dispositivos individuales:

Respecto de un ordenador concreto, existen diferentes formas de recuperar su control, como pasarle un antivirus, reinstalar el software utilizando una copia de seguridad segura o formatear el sistema para volver a empezar desde cero. En el caso de dispositivos IoT, estas estrategias serían reescribir el firmware, restablecer los parámetros de fábrica o, en última instancia, formatear el dispositivo. En caso de que estas opciones no estén disponibles, quizá se ofrezcan otras por el fabricante del dispositivo o el administrador del sistema.

¿Cómo puedes proteger tus dispositivos para que no se conviertan en robots de una red de robots (botnet)?

Crea contraseñas seguras:

En el caso de muchos dispositivos susceptibles de ser secuestrados por redes de robots, la disminución de dicho riesgo puede venir de algo tan simple como el cambio de las credenciales de administrador por otras que no sean las predeterminadas. La creación de una contraseña segura dificulta su desciframiento mediante ataque de fuerza bruta, el cual se vuelve prácticamente imposible en caso de ser muy segura. Por ejemplo, los dispositivos infectados conmalware Mirai reciben la orden de escanear direcciones IP en busca de dispositivos que respondan. Cuando un dispositivo responde a una solicitud de ping, el bot intenta iniciar sesión en dicho dispositivo hallado utilizando una lista de credenciales predeterminadas. En caso de que la contraseña predeterminada se haya cambiado por una segura, el bot dejará de intentar acceder a este y buscará en su lugar una víctima más fácil.

Permitir solo la ejecución de códigos de terceros de confianza:

Si adoptas el modelo de ejecución de software del teléfono móvil, solo podrán ejecutarse aquellas aplicaciones que se hallen en la lista blanca, lo cual otorga más control y permite neutralizar software considerado malicioso, botnets incluidos. Únicamente podrá vulnerarse el dispositivo mediante la vulneración del software supervisor (esto es, el kernel). De esta forma, lo primero es tener un kernel seguro, lo cual no cumplen la mayoría de los dispositivos IoT; aspecto aún más relevante en el caso de dispositivos que ejecutan software de terceros.

Borrado/Restablecimiento periódico del sistema:

La restauración a un punto en buen estado conocido eliminará cualquier porquería del sistema, software botnet incluido. Esta estrategia, cuando se utiliza como medida preventiva, garantiza que incluso el malware más difícilmente detectable acabe yendo a la basura.

Implementar buenas prácticas de filtrado de entrada y salida:

Existen otras estrategias más avanzadas, como el filtrado en rúters de red y firewalls. Un principio en materia de diseño de seguridad de redes es el establecimiento de distintos niveles (layering): menos restricciones en caso de recursos libremente accesibles y niveles de seguridad cada vez mayores conforme más importante sea lo que se protege.Además, cualquier cosa que atraviese estos límites debe ser objeto de escrutinio: tráfico red, memorias usb, etc. Un filtrado de calidad aumenta la probabilidad de detectar malware DDoS y sus métodos de propagación y comunicación antes de que entren en la red o salgan de esta.


Si estás sufriendo un ataque en estos momentos, hay varios pasos que puedes seguir para solucionar el problema. Si ya utilizas Cloudflare, puedes seguir estos pasos para mitigar el ataque. La protección DDoS que implementamos en Cloudflare es multifacética a fin de poder mitigar los muy diversos vectores de ataque existentes. Más información sobre la protección DDoS de Cloudflare y su funcionamiento.