Eiconet - servicios y soluciones IT  

 

Redes Zombi: botnets

 

Las Botnets en la actualidad son una de las principales amenazas de Internet.

 

Botnet es un término que hace referencia a un conjunto de robots informáticos en la red. Estas redes son conjuntos de ordenadores que han sido infectados con un tipo de programa malicioso, con funcionalidad de puerta trasera (backdoor), que permite al atacante controlar dichas maquinas sin tener acceso físico a ellas y sin el conocimiento del propietario.

 

Las medidas preventivas son esenciales para no infectarse, el presente documento tiene como  fin  servir de  ayuda a los usuarios  frente a este tipo de problemas

 

BOTNETS Y BOTS

 

Los equipos informáticos conectados a la red “Internet” supone un caldo de cultivo  para la proliferación de estos programas conocidos como "robots web"  y llamados “bots”  representan uno de los delitos cibernéticos más sofisticados y populares de hoy en día. Permiten tomar el control de muchos equipos a la vez y convertirlos en equipos "zombis", que funcionan como parte de una poderosa red llamada "botnet" que permite propagar virus, generar spam y cometer otro tipos de delitos y fraudes. Debido a que un equipo infectado por bots cumple las órdenes de su amo, muchas personas se refieren a estos equipos víctima como “zombis”.  Estas "redes de ordenadores controlados como zombies no paran de crecer, y cada día llegan más noticias sobre su alcance mundial y sus efectos globales. En abril de 2009, una versión de Windows 7, disponible desde redes P2P, contenía un código malicioso que provocó que más de 25.000 ordenadores formaran parte de una botnet.

 

En los últimos años se han identificado miles de botnets, donde cientos de ellas han causado impacto significativo. A pesar de que puede haber botnets con solo cientos de equipos zombis, se han identificado botnets de casi 2 millones de equipos.

 

En la siguiente tabla se muestra una lista de las botnets más significativas que se detectaron durante 2009 y que fue publicada por la empresa de seguridad internacional Message Labs.

 

Nombre

Periodo de actividades

Cantidad de bots

Actividades realizadas

Rustock

Agosto - Septiembre

1.3 – 2 millones

Aproximadamente 18% del spam mundial.

Cutwail

Todo el año

1 – 1.5 millones

Aproximadamente 17% del spam mundial y propagación de malware.

Bagle

Finales 2009

600,000 – 800,000

Aproximadamente 16% del spam mundial.

Bobax (aka Kraken)

Finales 2009

80,000 – 120,000

Aproximadamente 13% del spam mundial.

Grum

Junio - Septiembre

600,000 – 800,000

En su actividad máxima, llegó a enviar aproximadamente el 20% del spam mundial.

Maazben

Marzo – finales 2009

200,000 – 300,00

Aproximadamente el 2% del spam mundial.

Festi

Agosto 2009

100,000 – 200,00

Envío de spam

Mega-D

Todo el año

300,000 - 500,000

Spam, propagación de malware, actividades de phishing

Xarvester

 

500,000 – 800,000

Aproximadamente 1% del spam mundial.

Gheg

Principio del año

150,000 – 200,000

Aproximadamente 0.5% del spam mundial.

Donbot

Principal actividad en el primer cuarto del año. Terminó con aprox. 150,000 equipos al final del año.

800,000 – 1.2 millones

Envío de spam

   

Los bots son de amplia distribución a nivel mundial con mayor prevalencia en las zonas con altos niveles de equipo y la adopción de banda ancha.

En el siguiente gráfico se muestran  los bots localizados en agosto de 2010, los primeros 10 lugares se muestran con un contorno negro con contorno amarillo los siguientes 50 y en ámbar los lugares próximos.

mapa de botnets agosto 2010



Puede ver el gráfico completo así como la distribución de las diferentes redes de botnets en el sitio web de Symantec

 

Los bots suelen propagarse por Internet en busca de equipos vulnerables y desprotegidos a los que puedan infectar. Cuando encuentran un equipo sin protección, lo infectan rápidamente e informan a su creador. Su objetivo es permanecer ocultos hasta que se les indique que realicen una tarea. Una vez que un bot toma el control de un equipo, se puede utilizar para realizar varias tareas automatizadas:

 

Enviar

Envían
- spam
- virus
- software espía

 

Robar

Roban información privada y personal y se la comunican al usuario malicioso:
- números de tarjeta de crédito
- credenciales bancarias
- otra información personal y confidencial

 

DoS (denegación de servicio)

Lanzan ataques de denegación de servicio (DoS) contra objetivos específico. Los criminales cibernéticos extorsionan a los propietarios de los sitios web por dinero, a cambio de devolverles el control de los sitios afectados.

Sin embargo, los sistemas de los usuarios diarios son el objetivo más frecuente de estos ataques, que sólo buscan molestar.

 

Fraude mediante clics

Los estafadores utilizan bots para aumentar la facturación de la publicidad web al hacer clic en la publicidad de Internet de manera automática

 

Si usted se pone a pensar en diez de sus amigos y conocidos que tienen ordenador, lo más seguro es que uno de ellos sea dueño de una máquina-zombi que es parte de alguna red-zombi y aún más ¿puede ser que sea su ordenador el infectado?

 

El peligro de las redes-zombi se agrava debido a que su uso es una tarea cada vez más sencilla, que en un futuro cercano podrán realizarla incluso los niños de escuela. La posibilidad de obtener acceso al control de la red de las máquinas infectadas no se basa en los conocimientos especializados del malhechor sino en el tamaño de su billetera. Y los precios en los estructurados y desarrollados mercados de redes-zombi son realmente aceptables.

 

  

MEDIDAS PREVENTIVAS

 

Las medidas preventivas son esenciales para no infectarse, para ello debemos saber como se propagan estos programas. Los métodos más comunes son los mismos que utilizan los virus para dispersarse como pueden ser el correo electrónico, la mensajería instantánea, las unidades de disco extraibles, o a través de páginas web. También se utilizan las redes p2p, mediante la utilización de “mochilas”, que son programas que contienen el software malicioso, se pegan a software comercial de gran demanda, de tal modo que cuando se descarga y ejecuta dicho software el equipo se infecta (“se siembra” en la jerga de las redes zombi el primer equipo, y continúa de forma indefinida mientras los métodos de infección sean efectivos. Saber esto nos da una idea de cuales deben ser las medidas preventivas a tener en cuenta:

 

  1. 1.Mantén actualizado tu equipo, tanto el Sistema Operativo como cualquier aplicación que tengas instalada. Configura los parámetros de seguridad del equipo para que se actualicen automáticamente, a fin de asegurarte de tener siempre los parches más recientes del sistema.  

 

  1. 2.No abras ficheros adjuntos sospechosos procedentes de desconocidos o que no hayas solicitado  y analiza los ficheros adjuntos que recibas con un antivirus antes de ejecutarlos en tu sistema. 

 

  1. 3.Desactiva la vista previa de tu cliente de correo  para evitar código malicioso incluido en el cuerpo de los mensajes. 

 

  1. 4.No descargues/ejecutes ficheros desde sitios sospechosos,  analiza con un antivirus todo lo que descargas antes de ejecutarlas en tu equipo especialmente los archivos que te descargues a través de las redes de intercambio de ficheros. Descarga los programas desde los sitios oficiales. 

     

  2. 5. Deshabilita el autoarranque de los dispositivos de almacenamiento que  conectas al equipo. 

   

 

Otras medidas para proteger el equipo son disponer de un software antivirus actualizado y un cortafuegos (firewall). Estas aplicaciones están pensadas para controlar e identificar el tráfico

entrante y saliente de un ordenador. De esta forma, el usuario puede ser alertado sobre una actividad sospechosa de conexión a Internet que realice el equipo sin su permiso ni intervención.

Estas son recomendaciones genéricas que a groso modo son validas también para los virus de los cuales estamos más acostumbrados a protegernos.

 

HERRAMIENTAS DE PROTECCIÓN BÁSICAS
Firewalls (cortafuegos) gratuitos.

 

Comodo internet security

Firewall y antivirus, con funcionalidades como protección de archivos del sistema y  entradas del Registro de Windows. Comodo Internet Security controla  las conexiones entrantes y las salientes. De esta forma podemos vigilar ninguno de los programas que tenemos instalados se conecte a Internet sin que nosotros lo sepamos. Se actualiza automáticamente online, de forma que podemos estar  protegidos contras las últimas versiones de spywares o virus.

Licencia: Gratis

Idioma: Español

Ashampoo FireWall

Cortafuegos pequeño, fácil, intuitivo y eficiente. No se necesita ningún conocimiento técnico especial el asistente de configuración le guiará paso a paso a través del proceso de instalación y todo está explicado con claridad.

Licencia: Gratis

Idioma: Español

Zone Alarm  Free

Excelente cortafuegos. Un servidor de seguridad fácil de usar que bloquea a los piratas informáticos y otras amenazas desconocidas.

Licencia: Gratuito para uso personal y para  asociaciones benéficas sin ánimo de lucro

Idioma: Español


Si ya ha sido infectado, tiene algún problema en su equipo o desea utilizar otros útiles de proteción puede ver el siguiente listado  de herramientas de seguridad

  

Eiconet servicios y soluciones IT