¿Qué es una red de robots (botnet) de DDoS?

Los ataques de redes de robots (botnets) son los responsables de los mayores ataques DDoS jamás registrados. Conoce cómo se consigue infectar los dispositivos con malware de redes de robots, cómo los robots son controlados de forma remota y cómo proteger una red de una infestación de una red de robots.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Definir una red de robots DDoS
  • Explicar por qué se crean las redes de robots (botnets)
  • Entender cómo los atacantes controlan de forma remota las redes de robots (botnet)
  • Razonar sobre estrategias para deshabilitar una red de robots (botnet) y prevenir una infección

Copiar enlace del artículo

¿Qué es una botnet?

Una red de robots (botnet) hace referencia a un grupo de equipos que han sido infectados por malware y se encuentran bajo el control de un agente malicioso. El término botnet es una contracción de las palabras robot y "network" (red) y cada dispositivo infectado se denomina bot. Las redes de robots (botnets) pueden diseñarse para llevar a cabo tareas ilegales o maliciosas, como enviar spam, robar datos, distribuir ransomware, hacer clic en anuncios de forma fraudulenta o realizar ataques de denegación de servicio distribuido (DDoS).

Mientras que ciertos malware como el ransomware afectan directamente al propietario del dispositivo, el malware de las redes de robots (botnets) DDoS puede tener distintos niveles de visibilidad; así, algunos malware están diseñados para adueñarse totalmente del dispositivo, mientras que otros se ejecutan silenciosamente como un proceso en segundo plano que permanece a la espera de instrucciones del atacante o "pastor de bots".

Self-propagating botnets recruit additional bots through a variety of different channels. Pathways for infection include the exploitation of website vulnerabilities, Trojan horse malware, and cracking weak authentication to gain remote access. Once access has been obtained, all of these methods for infection result in the installation of malware on the target device, allowing remote control by the operator of the botnet. Once a device is infected, it may attempt to self-propagate the botnet malware by recruiting other hardware devices in the surrounding network.

Si bien es imposible detectar la cantidad exacta de robots en una red de robots (botnet) específica, las estimaciones para la cantidad total de robots en una red de robots (botnet) sofisticada varían entre algunos miles hasta más de un millón.

Animación de ataque DDoS de red de robots (botnet)

¿Por qué se crean las redes de robots (botnet)?

Las razones para utilizar botnets son muy diversas, desde activismo hasta perturbaciones financiadas por los propios estados, aunque la mayoría de los ataques pretenden simplemente obtener un beneficio económico. Contratar servicios botnet es relativamente barato, sobre todo en relación con la cantidad de daño que son capaces de producir. Existen además insuficientes frenos o barreras para esta actividad, lo cual hace que algunos desarrolladores de software decidan dedicarse a este lucrativo negocio, especialmente en países donde la normativa es laxa o donde no se persiguen estas actividades. Todo esto ha provocado la proliferación de servicios online que ofrecen ataques de alquiler.

¿Cómo se controla una red de robots (botnet)?

Una de las características principales de una red de robots (botnet) es la capacidad de recibir instrucciones actualizadas del pastor de robots. La capacidad para comunicarse con cada bot de la red permite al atacante alternar vectores de ataque, cambiar la dirección IP de destino, finalizar un ataque y otras acciones personalizadas. Los diseños de las redes de robots (botnet) varían, pero las estructuras de control pueden dividirse en dos categorías generales:

El modelo de red de robots (botnet) de cliente/servidor

El modelo de cliente/servidor imita el flujo de trabajo de una estación de trabajo remota tradicional donde cada máquina individual se conecta a un servidor centralizado (o a una pequeña cantidad de servidores centralizados) para acceder a la información. En este modelo, cada bot se conectará a un recurso del centro de comando y control (CnC), como un dominio web o un canal IRC, para recibir instrucciones. Al usar estos repositorios centralizados para enviar nuevos comandos a la red de robots (botnet), el atacante simplemente necesita modificar el material fuente que cada red de robots (botnet) consume desde un centro de comando, para poder actualizar las instrucciones en las máquinas infectadas. El servidor centralizado que controla la red de robots (botnet) puede ser un dispositivo en propiedad y operado por el atacante, o puede ser un dispositivo infectado.

Se han observado ciertas topologías de redes de robots (botnet) centralizadas populares, incluidas las siguientes:

Topología de red en estrella

Animación de la topología de red en estrella

Topología de red multiservidor

Animación de la topología de red multiservidor

Topología de red jerárquica

Animación de la topología de red jerárquica

En este tipo de modelos (cliente/servidor), cada bot se conecta a un centro de control y mando, como un dominio web o un canal de IRC, para recibir instrucciones. Mediante el uso de este tipo de repositorios centrales para enviar nuevos comandos a la red, el atacante no tiene más que modificar el material de origen del que se nutre la red de robots para actualizar las instrucciones de cada dispositivo infectado integrado en esta.

Ahora bien, esa simplicidad para actualizar instrucciones (desde un número limitado de orígenes centralizados) se convierte en la principal vulnerabilidad del botnet: basta con interceptar el servidor central para neutralizarlo. Esto ha dado lugar a una evolución de este modelo y al surgimiento de otros nuevos con menos puntos débiles.

El modelo de red de robots (botnet) entre pares (peer-to-peer)

Así, para solventar esa fragilidad del modelo cliente/servidor, los botnets más recientes incorporan un diseño que se basa en la compartición de archivos peer-to-peer (entre iguales o P2P) descentralizada. Este tipo de estructura de control, una vez integrada en una red de robots, elimina ese punto débil, de un centro único de control y comando, y determina así que neutralizar el botnet se torne más complicado. Los bots P2P pueden ser simultáneamente clientes y centros de comando y, en colaboración con los nodos vecinos, trabajan para propagar datos.

Los botnets P2P se basan en un listado de ordenadores de confianza que pueden comunicarse entre sí (enviándose recíprocamente información) y actualizar el malware. Utilizando el mecanismo de limitar el número de dispositivos a los que cada bot se conecta, cada bot únicamente queda expuesto a dispositivos adyacentes, lo cual dificulta el rastreo y la mitigación. Por otra parte, al no disponer de un centro de control único, este tipo de redes de robots están más expuestas a pasar a ser controladas por personas distintas de su creador. Pero, para protegerse frente a esto, estos botnets están normalmente encriptados (así limitan las posibilidades de acceso de terceros).

Animación de la topología de red P2P

¿Cómo se convierten los dispositivos IoT en redes de robots (botnet)?

Nadie realiza sus trámites bancarios en línea a través de la cámara wifi que coloca en el patio para ver el comedero de los pájaros, pero eso no significa que el dispositivo sea incapaz de hacer las solicitudes de red necesarias. El poder de los dispositivos IoT sumado a una seguridad débil o mal configurada crea una ventana para que el malware de red de robots (botnet) pueda reclutar nuevos bots para la red. Un incremento en los dispositivos IoT ha dado como resultado un escenario nuevo para los ataques DDoS, ya que muchos dispositivos están mal configurados y son vulnerables.

Cuando la vulnerabilidad de un dispositivo IoT está escrita en el código fuente de su firmware, las actualizaciones devienen más complicadas. Para mitigar riesgos, cualquier dispositivo IoT con firmware antiguo debería ser actualizado, porque las credenciales predeterminadas del dispositivo frecuentemente no se modifican. Muchos fabricantes de hardware barato carecen de incentivos para conseguir que sus dispositivos sean más seguros, lo cual provoca que la vulnerabilidad descrita subsista como riesgo de seguridad no resuelto.

¿Cómo se deshabilita una red de robots (botnet) existente?

Deshabilitar los centros de control de una red de robots (botnet):

Los botnets con un diseño basado en un centro de control y mando pueden ser más fácilmente desactivados tras la detección de dicho centro o centros. Basta con neutralizar dichos centros de control (sus puntos débiles) para hacer caer toda la red. Por este motivo, tanto los administradores de sistemas como las fuerzas de seguridad se centran en cerrar tales centros de control. Ahora bien, el proceso se complica cuando el centro de mando está ubicado en un país donde la presión legal o de las fuerzas de seguridad es menor.

Eliminar la infección de los dispositivos individuales:

Para equipos individuales, las estrategias para recuperar el control de la máquina incluyen ejecutar software antivirus, reinstalar el software desde una copia de seguridad o empezar de nuevo desde un equipo limpio después de reformatear el sistema. Para dispositivos IoT, las estrategias pueden incluir reinstalar (flash) el firmware, ejecutar un restablecimiento de fábrica o formatear el dispositivo de alguna otra manera. Si estas opciones no son viables, el fabricante del dispositivo o un administrador del sistema podrían ofrecer otras estrategias.

¿Cómo puedes proteger tus dispositivos para que no se conviertan en robots de una red de robots (botnet)?

Crea contraseñas seguras:

For many vulnerable devices, reducing exposure to botnet vulnerability can be as simple as changing the administrative credentials to something other than the default username and password. Creating a secure password makes brute force cracking difficult, creating a very secure password makes brute force cracking virtually impossible. For example, a device infected with the Mirai malware will scan IP addresses looking for responding devices. Once a device responds to a ping request, the bot will attempt to login to that found device with a preset list of default credentials. If the default password has been changed and a secure password has been implemented, the bot will give up and move on, looking for more vulnerable devices.

Permitir solo la ejecución de códigos de terceros de confianza:

Si adoptas el modelo de ejecución de software de teléfono móvil, solo podrán ejecutarse las aplicaciones permitidas, lo cual otorga más control para neutralizar el software considerado malicioso, incluidas las redes de robots (botnets). Únicamente podrá vulnerarse el dispositivo mediante la vulneración del software supervisor (esto es, el kernel). De esta forma, lo primero es tener un kernel seguro, lo cual no cumplen la mayoría de los dispositivos IoT y es aún más relevante en el caso de dispositivos que ejecutan software de terceros.

Borrado/Restablecimiento periódico del sistema:

La restauración a un punto en buen estado conocido eliminará cualquier porquería del sistema, software botnet incluido. Esta estrategia, cuando se utiliza como medida preventiva, garantiza que incluso el malware más difícilmente detectable acabe yendo a la basura.

Implementar buenas prácticas de filtrado de entrada y salida:

Other more advanced strategies include filtering practices at network routers and firewalls. A principle of secure network design is layering: you have the least restriction around publicly accessible resources, while continually beefing up security for things you deem sensitive. Additionally, anything that crosses these boundaries has to be scrutinized: network traffic, usb drives, etc. Quality filtering practices increase the likelihood that DDoS malware and their methods of propagation and communication will be caught before entering or leaving the network.

Si actualmente te encuentras bajo ataque, hay medidas que puedes tomar para librarte de este. Si ya cuentas con Cloudflare, puedes seguir estos pasos para mitigar el ataque. La protección contra ataques DDoS que implementamos en Cloudflare es multidimensional con el fin de mitigar los posibles vectores de ataque. Más información acerca de la protección DDoS de Cloudflare.

Ventas