¿Qué es una red de robots (botnet) de DDoS?

¿Qué es una botnet?

Una red de robots (botnet) hace referencia a un grupo de equipos que han sido infectados por malware y se encuentran bajo el control de un agente malicioso. El término botnet es una contracción de las palabras robot y "network" (red) y cada dispositivo infectado se denomina bot. Las redes de robots (botnets) pueden diseñarse para llevar a cabo tareas ilegales o maliciosas, como enviar spam, robar datos, distribuir ransomware, hacer clic en anuncios de forma fraudulenta o realizar ataques de denegación de servicio distribuido (DDoS).

Mientras que ciertos malware como el ransomware afectan directamente al propietario del dispositivo, el malware de las redes de robots (botnets) DDoS puede tener distintos niveles de visibilidad; así, algunos malware están diseñados para adueñarse totalmente del dispositivo, mientras que otros se ejecutan silenciosamente como un proceso en segundo plano que permanece a la espera de instrucciones del atacante o "pastor de bots".

Las botnet que se autopropagan reclutan otros bots a través de varios canales diferentes. Las rutas de infección incluyen el aprovechamiento de vulnerabilidades en sitios web, malware con caballos de Troya y la decodificación de autenticaciones débiles para obtener acceso remoto. Una vez obtenido el acceso, todos estos métodos de infección dan como resultado la instalación de malware en el dispositivo de destino, lo que permite tener control remoto al operador de la botnet. Una vez que un dispositivo ha sido infectado, es posible que intente autopropagar el malware de la botnet al reclutar otros dispositivos de hardware en la red circundante.

Si bien es imposible detectar la cantidad exacta de robots en una red de robots (botnet) específica, las estimaciones para la cantidad total de robots en una red de robots (botnet) sofisticada varían entre algunos miles hasta más de un millón.

¿Por qué se crean las redes de robots (botnet)?

Las razones para utilizar botnets son muy diversas, desde activismo hasta perturbaciones financiadas por los propios estados, aunque la mayoría de los ataques pretenden simplemente obtener un beneficio económico. Contratar servicios botnet es relativamente barato, sobre todo en relación con la cantidad de daño que son capaces de producir. Existen además insuficientes frenos o barreras para esta actividad, lo cual hace que algunos desarrolladores de software decidan dedicarse a este lucrativo negocio, especialmente en países donde la normativa es laxa o donde no se persiguen estas actividades. Todo esto ha provocado la proliferación de servicios online que ofrecen ataques de alquiler.

¿Cómo se controla una red de robots (botnet)?

Una de las características principales de una red de robots (botnet) es la capacidad de recibir instrucciones actualizadas del pastor de robots. La capacidad para comunicarse con cada bot de la red permite al atacante alternar vectores de ataque, cambiar la dirección IP de destino, finalizar un ataque y otras acciones personalizadas. Los diseños de las redes de robots (botnet) varían, pero las estructuras de control pueden dividirse en dos categorías generales:

El modelo de red de robots (botnet) de cliente/servidor

El modelo de cliente/servidor imita el flujo de trabajo de una estación de trabajo remota tradicional donde cada máquina individual se conecta a un servidor centralizado (o a una pequeña cantidad de servidores centralizados) para acceder a la información. En este modelo, cada bot se conectará a un recurso del centro de comando y control (CnC), como un dominio web o un canal IRC, para recibir instrucciones. Al usar estos repositorios centralizados para enviar nuevos comandos a la red de robots (botnet), el atacante simplemente necesita modificar el material fuente que cada red de robots (botnet) consume desde un centro de comando, para poder actualizar las instrucciones en las máquinas infectadas. El servidor centralizado que controla la red de robots (botnet) puede ser un dispositivo en propiedad y operado por el atacante, o puede ser un dispositivo infectado.

Se han observado ciertas topologías de redes de robots (botnet) centralizadas populares, incluidas las siguientes:

Topología de red en estrella

Topología de red multiservidor

Topología de red jerárquica

En este tipo de modelos (cliente/servidor), cada bot se conecta a un centro de control y mando, como un dominio web o un canal de IRC, para recibir instrucciones. Mediante el uso de este tipo de repositorios centrales para enviar nuevos comandos a la red, el atacante no tiene más que modificar el material de origen del que se nutre la red de robots para actualizar las instrucciones de cada dispositivo infectado integrado en esta.

Ahora bien, esa simplicidad para actualizar instrucciones (desde un número limitado de orígenes centralizados) se convierte en la principal vulnerabilidad del botnet: basta con interceptar el servidor central para neutralizarlo. Esto ha dado lugar a una evolución de este modelo y al surgimiento de otros nuevos con menos puntos débiles.

El modelo de red de robots (botnet) entre pares (peer-to-peer)

Así, para solventar esa fragilidad del modelo cliente/servidor, los botnets más recientes incorporan un diseño que se basa en la compartición de archivos peer-to-peer (entre iguales o P2P) descentralizada. Este tipo de estructura de control, una vez integrada en una red de robots, elimina ese punto débil, de un centro único de control y comando, y determina así que neutralizar el botnet se torne más complicado. Los bots P2P pueden ser simultáneamente clientes y centros de comando y, en colaboración con los nodos vecinos, trabajan para propagar datos.

Los botnets P2P se basan en un listado de ordenadores de confianza que pueden comunicarse entre sí (enviándose recíprocamente información) y actualizar el malware. Utilizando el mecanismo de limitar el número de dispositivos a los que cada bot se conecta, cada bot únicamente queda expuesto a dispositivos adyacentes, lo cual dificulta el rastreo y la mitigación. Por otra parte, al no disponer de un centro de control único, este tipo de redes de robots están más expuestas a pasar a ser controladas por personas distintas de su creador. Pero, para protegerse frente a esto, estos botnets están normalmente encriptados (así limitan las posibilidades de acceso de terceros).

¿Cómo se convierten los dispositivos IoT en redes de robots (botnet)?

Nadie realiza sus trámites bancarios en línea a través de la cámara wifi que coloca en el patio para ver el comedero de los pájaros, pero eso no significa que el dispositivo sea incapaz de hacer las solicitudes de red necesarias. El poder de los dispositivos IoT sumado a una seguridad débil o mal configurada crea una ventana para que el malware de red de robots (botnet) pueda reclutar nuevos bots para la red. Un incremento en los dispositivos IoT ha dado como resultado un escenario nuevo para los ataques DDoS, ya que muchos dispositivos están mal configurados y son vulnerables.

Cuando la vulnerabilidad de un dispositivo IoT está escrita en el código fuente de su firmware, las actualizaciones devienen más complicadas. Para mitigar riesgos, cualquier dispositivo IoT con firmware antiguo debería ser actualizado, porque las credenciales predeterminadas del dispositivo frecuentemente no se modifican. Muchos fabricantes de hardware barato carecen de incentivos para conseguir que sus dispositivos sean más seguros, lo cual provoca que la vulnerabilidad descrita subsista como riesgo de seguridad no resuelto.

¿Cómo se deshabilita una red de robots (botnet) existente?

Deshabilitar los centros de control de una red de robots (botnet):

Los botnets con un diseño basado en un centro de control y mando pueden ser más fácilmente desactivados tras la detección de dicho centro o centros. Basta con neutralizar dichos centros de control (sus puntos débiles) para hacer caer toda la red. Por este motivo, tanto los administradores de sistemas como las fuerzas de seguridad se centran en cerrar tales centros de control. Ahora bien, el proceso se complica cuando el centro de mando está ubicado en un país donde la presión legal o de las fuerzas de seguridad es menor.

Eliminar la infección de los dispositivos individuales:

Para equipos individuales, las estrategias para recuperar el control de la máquina incluyen ejecutar software antivirus, reinstalar el software desde una copia de seguridad o empezar de nuevo desde un equipo limpio después de reformatear el sistema. Para dispositivos IoT, las estrategias pueden incluir reinstalar (flash) el firmware, ejecutar un restablecimiento de fábrica o formatear el dispositivo de alguna otra manera. Si estas opciones no son viables, el fabricante del dispositivo o un administrador del sistema podrían ofrecer otras estrategias.

¿Cómo puedes proteger tus dispositivos para que no se conviertan en robots de una red de robots (botnet)?

Crea contraseñas seguras:

Para muchos dispositivos vulnerables, reducir la exposición a la vulnerabilidad de la botnet puede ser tan simple como cambiar las credenciales administrativas por otras que no sean el nombre de usuario y la contraseña predeterminadas. Crear una contraseña segura dificulta la decodificación por fuerza bruta, por lo que crear una contraseña muy segura hace que la decodificación por fuerza bruta sea prácticamente imposible. Por ejemplo, un dispositivo infectado con el malware Mirai escaneará las direcciones IP en busca de dispositivos que respondan. Una vez que un dispositivo responde a una solicitud de ping, el bot intentará iniciar sesión en ese dispositivo encontrado mediante el uso de una lista de credenciales predeterminadas. Si se ha cambiado la contraseña predeterminada y se ha implementado una contraseña segura, el bot se rendirá y seguirá buscando otros dispositivos vulnerables.

Permitir solo la ejecución de códigos de terceros de confianza:

Si adoptas el modelo de ejecución de software de teléfono móvil, solo podrán ejecutarse las aplicaciones permitidas, lo cual otorga más control para neutralizar el software considerado malicioso, incluidas las redes de robots (botnets). Únicamente podrá vulnerarse el dispositivo mediante la vulneración del software supervisor (esto es, el kernel). De esta forma, lo primero es tener un kernel seguro, lo cual no cumplen la mayoría de los dispositivos IoT y es aún más relevante en el caso de dispositivos que ejecutan software de terceros.

Borrado/Restablecimiento periódico del sistema:

La restauración a un punto en buen estado conocido eliminará cualquier porquería del sistema, software botnet incluido. Esta estrategia, cuando se utiliza como medida preventiva, garantiza que incluso el malware más difícilmente detectable acabe yendo a la basura.

Implementar buenas prácticas de filtrado de entrada y salida:

Otras estrategias más avanzadas incluyen prácticas de filtrado en enrutadores de red y firewalls. Un principio de diseño de red seguro es la creación de capas: tienes menos restricciones en cuanto a los recursos de acceso público, y al mismo tiempo refuerzas la seguridad para lo que tú determines que sea confidencial. Además, cualquier cosa que atraviese estos límites debe ser objeto de escrutinio: tráfico de red, memorias usb, etc. Un filtrado de calidad aumenta la probabilidad de detectar malware DDoS y sus métodos de propagación y comunicación antes de que entren en la red o salgan de esta.

Si actualmente te encuentras bajo ataque, hay medidas que puedes tomar para librarte de este. Si ya cuentas con Cloudflare, puedes seguir estos pasos para mitigar el ataque. La protección contra DDoS que implementamos en Cloudflare es multidimensional con el fin de mitigar los posibles vectores de ataque. Más información acerca de la protección protección contra DDoS de Cloudflare.