¿Qué es una red de robots (botnet) de DDoS?

Los ataques de redes de robots (botnets) son los responsables de los ataques DDoS más grandes jamás registrados. Conoce cómo los dispositivos son infectados con malware de red de robots (botnet), cómo los robots son controlados de forma remota y cómo proteger una red de una infestación de una red de robots (botnet).

Share facebook icon linkedin icon twitter icon email icon

Red de robots (botnet)

Objetivos de aprendizaje

Después de leer este artículo podrá:

  • Definir una red de robots (botnet) DDoS
  • Explicar por qué se crean las redes de robots (botnets)
  • Entender cómo los atacantes controlan de forma remota las redes de robots (botnet).
  • Razonar sobre estrategias para deshabilitar una red de robots (botnet) y prevenir una infección.

¿Qué es una red de robots (botnet)?

Una red de robots (botnet) se refiere a un grupo de equipos que han sido infectados por malware y se encuentran bajo el control de un participante malicioso. El término botnet es una contracción de las palabras robot y “network” (red) y cada dispositivo infectado se denomina bot. Las redes de robots (botnet) pueden diseñarse para llevar a cabo tareas ilegales o maliciosas, como enviar spam, robar datos, distribuir ransomware, hacer clic en anuncios de forma fraudulenta o realizar ataques de denegación de servicio distribuido (DDoS).


Mientras que algunos malware, como el ransomware, tendrán un impacto directo en el propietario del dispositivo, los malware de una red de robots (botnet) DDoS pueden tener distintos niveles de visibilidad; algunos malware están diseñados para tomar el control total de un dispositivo, mientras que otros se ejecutan silenciosamente como un proceso en segundo plano y al mismo tiempo esperan en silencio las instrucciones del atacante o “pastor de robots”.


Las redes de robots (botnet) que se autopropagan reclutan otros robots a través de varios canales diferentes. Las rutas de infección incluyen el aprovechamiento de vulnerabilidades en sitios web, malware con caballos de Troya y la decodificación de autenticaciones débiles para obtener acceso remoto. Una vez obtenido el acceso, todos estos métodos de infección dan como resultado la instalación de malware en el dispositivo de destino, lo que permite tener control remoto al operador de la red de robots (botnet). Una vez que un dispositivo ha sido infectado, es posible que intente autopropagar el malware de la red de robots (botnet) al reclutar otros dispositivos de hardware en la red circundante.


Si bien es imposible detectar la cantidad exacta de robots en una red de robots (botnet) específica, las estimaciones para la cantidad total de robots en una red de robots (botnet) sofisticada varían entre algunos miles y más de un millón.

Animación de ataque DDoS de red de robots (botnet)

¿Por qué se crean las redes de robots (botnet)?

Los motivos para el uso de una red de robots (botnet) varían desde activismo hasta interrupciones patrocinadas por el Estado, y muchos de los ataques se llevan a cabo por un beneficio. Contratar los servicios de redes de robots (botnet) en línea es relativamente económico, especialmente en relación con la cantidad de daño que pueden causar. La barrera para la creación de una red de robots (botnet) también es lo suficientemente baja como para hacer de ello un negocio lucrativo para algunos desarrolladores de software, especialmente en ubicaciones geográficas donde las regulaciones y el cumplimiento de la ley son limitados. Esta combinación ha llevado a una proliferación de servicios en línea que ofrecen ataques por contrato.

¿Cómo se controla una red de robots (botnet)?

Una de las características principales de una red de robots (botnet) es la capacidad de recibir instrucciones actualizadas del pastor de robots. La capacidad para comunicarse con cada robot de la red permite al atacante alternar vectores de ataque, cambiar la dirección IP de destino, finalizar un ataque y otras acciones personalizadas. Los diseños de las redes de robots (botnet) varían, pero las estructuras de control pueden dividirse en dos categorías generales:

El modelo de red de robots (botnet) de cliente/servidor

El modelo de cliente/servidor imita el flujo de trabajo de una estación de trabajo remota tradicional donde cada máquina individual se conecta a un servidor centralizado (o a una pequeña cantidad de servidores centralizados) para poder acceder a la información. En este modelo, cada robot se conectará a un recurso de centro de comando y control (CnC) , como un dominio web o un canal IRC, para poder recibir instrucciones. Al usar estos repositorios centralizados para enviar nuevos comandos para la red de robots (botnet), el atacante simplemente necesita modificar el material fuente que cada red de robots (botnet) consume desde un centro de comando para poder actualizar las instrucciones para las máquinas infectadas. El servidor centralizado que controla la red de robots (botnet) puede ser un dispositivo de propiedad y operado por el atacante, o puede ser un dispositivo infectado.


Se ha observado una cantidad de topologías de redes de robots (botnet) centralizadas populares, incluidas las siguientes:

Topología de red en estrella

Animación de la topología de red en estrella

Topología de red multiservidor

Animación de la topología de red multiservidor

Topología de red jerárquica

Animación de la topología de red jerárquica

En cualquiera de estos modelos de cliente/servidor, cada robot se conectará a un recurso de centro de comando y control, como un dominio web o un canal IRC, para poder recibir instrucciones. Al usar estos repositorios centralizados para enviar nuevos comandos para la red de robots (botnet), el atacante simplemente necesita modificar el material fuente que cada red de robots (botnet) consume desde un centro de comando para poder actualizar las instrucciones para las máquinas infectadas.


A la par de la simpleza de la actualización de instrucciones para la red de robots (botnet) de una cantidad limitada de recursos centralizados está la vulnerabilidad de esas máquinas; para poder quitar una red de robots (botnet) con un servidor centralizado, solo se necesita interrumpir el servidor. Como resultado de esta vulnerabilidad, los creadores de malware de red de robots (botnet) han evolucionado hacia un nuevo modelo que es menos susceptible a interrupciones a través de una sola falla o de algunos pocos puntos de falla.

El modelo de red de robots (botnet) punto a punto

Para evitar las vulnerabilidades del modelo de cliente/servidor, más recientemente las redes de robots (botnet) se han estado diseñando mediante el uso de componentes de uso compartido de archivos punto a punto (P2P) descentralizados. Incorporar la estructura de control dentro de la red de robots (botnet) elimina el único punto de falla presente en una red de robots (botnet) con un servidor centralizado, lo que dificulta la tarea a los esfuerzos de mitigación. Los robots P2P pueden ser tanto clientes como centros de comando, y trabajar mano a mano con sus nodos vecinos para propagar datos.


Las redes de robots (botnet) P2P conservan una lista de equipos de confianza con los cuales pueden enviar y recibir comunicaciones y actualizar su malware. Al limitar la cantidad de equipos a los que se conecta el robot, cada robot solo se expone a dispositivos adyacentes, lo que dificulta el rastreo y, aún más, la mitigación. La falta de un servidor de comando centralizado hace que una red de robots (botnet) punto a punto sea más vulnerable al control por parte de otra persona además del creador de dicha red de robots (botnet). Para protegerse de la pérdida de control, las redes de robots (botnet) descentralizadas suelen cifrarse para que el acceso sea limitado.

Animación de la topología de red punto a punto

¿Cómo se convierten los dispositivos IoT en redes de robots (botnet)?

Nadie realiza sus trámites bancarios en línea a través una cámara de televisión de circuito cerrado (CCTV) que colocan en el patio para ver el comedero de los pájaros, pero eso no significa que el dispositivo sea incapaz de hacer las solicitudes de red necesarias. El poder de los dispositivos IoT sumado a una seguridad débil o mal configurada crean una ventana para que el malware de red de robots (botnet) pueda reclutar robots para la red. Un incremento en los dispositivos IoT ha dado como resultado un escenario nuevo para los ataques DDoS, ya que muchos dispositivos están mal configurados o son vulnerables.


Si la vulnerabilidad de un dispositivo IoT se ha codificado de forma rígida en un firmware, las actualizaciones son más difíciles. Para mitigar el riesgo, los dispositivos IoT con firmware desactualizado deberían actualizarse, ya que las credenciales predeterminadas suelen permanecer sin cambios desde la instalación inicial del dispositivo. Muchos fabricantes de hardware subestimados no tienen un incentivo para hacer que sus dispositivos sean más seguros, lo que hace que la vulnerabilidad que presentan los malware de red de robots (botnet) para dispositivos IoT siga siendo un riesgo de seguridad sin resolver.

¿Cómo se deshabilita una red de robots (botnet) existente?

Deshabilitar los centros de control de una red de robots (botnet):

Las redes de robots (botnet) diseñadas con un esquema de comando y control pueden deshabilitarse más fácilmente una vez que los centros de control se logran identificar. Cortar de raíz los puntos de error puede hacer que se desconecte toda la red de robots (botnet). Como resultado, los administradores del sistema y los oficiales para el cumplimiento de la ley se enfocan en cerrar los centros de control de estas redes de robots (botnet). Este proceso es más difícil si el centro de comando opera en un país donde las agencias para el cumplimiento de la ley están menos capacitadas o no están dispuestas a intervenir.

Eliminar la infección de los dispositivos individuales:

Para equipos individuales, las estrategias para recuperar el control de la máquina incluyen ejecutar software antivirus, reinstalar el software desde una copia de seguridad segura o empezar de nuevo desde un equipo limpio después de reformatear el sistema. Para dispositivos IoT, las estrategias pueden incluir actualizar (flash) el firmware, ejecutar un restablecimiento de fábrica o formatear el dispositivo de alguna otra forma. Si estas opciones no son viables, el fabricante del dispositivo o un administrador del sistema podrían poner a disposición otras estrategias.

¿Cómo puedes proteger tus dispositivos para que no se conviertan en robots de una red de robots (botnet)?

Crear contraseñas seguras:

Para muchos dispositivos vulnerables, reducir la exposición a la vulnerabilidad de las redes de robots (botnet) puede ser tan simple como cambiar las credenciales administrativas por otras que no sean el nombre de usuario y la contraseña predeterminadas. Crear una contraseña segura dificulta la decodificación por fuerza bruta, por lo que crear una contraseña muy segura hace que la decodificación por fuerza bruta sea prácticamente imposible. Por ejemplo, un dispositivo infectado con el malware Mirai escaneará las direcciones IP en busca de dispositivos que respondan. Una vez que un dispositivo responde a una solicitud de ping, el robot intentará iniciar sesión en ese dispositivo encontrado mediante el uso de una lista de credenciales predeterminadas. Si la contraseña predeterminada se ha cambiado y se ha implementado una contraseña segura, el robot se rendirá y seguirá buscando otros dispositivos vulnerables.

Permitir solo la ejecución de códigos de terceros de confianza:

Si adoptas el modelo de ejecución de software de teléfono móvil, solo se pueden ejecutar las aplicaciones incluidas en lista blanca, lo que te brinda más control para deshabilitar el software clasificado como malicioso, incluidas las redes de robots (botnet). Solo un aprovechamiento del software supervisor (es decir, kernel) puede dar como resultado el aprovechamiento del dispositivo. Esto depende de si tienes un kernel seguro en primer lugar, ya que la mayoría de los dispositivos IoT no lo tienen, y es más aplicable a equipos que ejecutan software de terceros.

Borrado/Restablecimiento periódico del sistema:

La restauración a un buen estado conocido después de un tiempo establecido eliminará cualquier mugre que haya recopilado el sistema, incluido el software de red de robots (botnet). Esta estrategia, cuando se usa como medida preventiva, garantiza que hasta el malware que se ejecuta silenciosamente se elimine.

Implementar prácticas de filtrado de entrada y salida:

Otras estrategias más avanzadas incluyen prácticas de filtrado en enrutadores de red y firewalls. Un principio de diseño de red seguro es la creación de capas: tienes menos restricciones en cuanto a los recursos de acceso público, y al mismo tiempo refuerzas la seguridad para lo que tú determines que sea confidencial. Además, cualquier cosa que sobrepase estos límites debe analizarse: tráfico de red, unidades USB, etc. Las prácticas de filtrado de calidad aumentan la probabilidad de que los malware DDoS y sus métodos de propagación y comunicación sean captados antes de entrar o salir de la red.


Si actualmente te encuentras bajo ataque, hay medidas que puedes tomar para librarte de este. Si ya cuentas con Cloudflare, puedes seguir estos pasos para mitigar el ataque. La protección contra ataques DDoS que implementamos en Cloudflare es multidimensional con el fin de mitigar los posibles vectores de ataque. Obtén más información sobre la protección DDoS de Cloudflare.