¿Cómo se utilizan las botnets en los ataques DDoS?

Publicado: 2021-04-24

Los ataques DDoS, así como las botnets que permiten que ocurran, son una de las armas más poderosas de Internet. Además, cualquiera puede comprar una botnet y causar estragos con solo unos pocos clics. Todo lo que necesitan para hacerlo con éxito es unas pocas docenas de dólares y algunas precauciones de seguridad.

Por ejemplo, Mirai, una de las botnets más grandes y más famosas de la historia, fue obra de tres estudiantes universitarios que intentaron violar los servidores de Minecraft. Sin embargo, este ataque de 2016 terminó convirtiéndose en el más grande de su tipo hasta la fecha, robando más de 1 terabit por segundo e infectando más de 600 000 dispositivos IoT.

Si desea evitar convertirse en parte de una red de bots o ser atacado por una, la protección y preparación adecuadas son imprescindibles. En primer lugar, debe aprender cómo funcionan las botnets y los ataques DDoS.

Mostrar tabla de contenido
  • ¿Qué es una red de bots?
  • Botnets y ataques DDoS
  • Medios de control de botnets
  • Las redes de bots más notorias de la historia
  • ¿Cómo mantenerse alejado de las botnets y los ataques DDoS?
  • Pensamientos finales

¿Qué es una red de bots?

contraseña-ciberseguridad-piratería-bloqueo

Como su nombre indica, una botnet es una red de bots, es decir, dispositivos que han sido secuestrados mediante algún tipo de malware. Los piratas informáticos los usan de varias formas maliciosas, desde ataques DDoS y generación de clics hasta robo de datos y envío de correo no deseado, pero generalmente combinan estrategias de ataque.

Cada botnet tiene tres componentes principales. Para empezar, nada sería posible sin los pastores de bots, los autores intelectuales de la operación.

Luego, también están los servidores o dispositivos de comando y control (C&C) que permiten que el pastor se comunique con los bots. Lo hacen desde una ubicación remota, haciendo todo lo posible para ocultar su identidad. Además, los piratas informáticos pueden elegir entre varios protocolos de comunicación: IRC de la vieja escuela, TelNet, dominio, punto a punto, redes sociales, etc.

Por último, una botnet no sería nada sin su 'ejército de computadoras zombi'. Cualquier dispositivo IoT puede convertirse fácilmente en un bot sin el conocimiento o la aprobación de los usuarios, sin importar si se trata de un teléfono inteligente o un simple monitor de bebé.

Recomendado para usted: Ataque DDoS: ¿Cómo mantener su sitio web a salvo de los ataques DDoS?

Botnets y ataques DDoS

cyber-security-network-internet-web-protection-safety-ddos-attacks

Cuando se trata de ataques DDoS, el objetivo principal de las redes de bots es llevar cantidades masivas de tráfico a un servidor y, finalmente, eliminarlo. El tiempo de inactividad hace que las empresas pierdan tiempo y dinero preciosos. En consecuencia, eso daña su reputación y quiebra la confianza de miles y miles de sus clientes.

Según un informe de 2018 de International Data Group, el tiempo de inactividad promedio por ataque es de 7 a 12 horas, lo que equivale a la friolera de $ 2.3 a $ 4 millones en costos por ataque. La motivación detrás de la mayoría de los ataques de botnet DDoS es la ventaja competitiva, la ira y el vandalismo, o el dinero (en el caso del ransomware).

Con ataques DDoS de red o de capa 3, los bots inundan el servidor de destino con tráfico, consumen su ancho de banda y lo abruman con solicitudes. Los ataques de capa 7, o ataques de capa de aplicación, usan la misma estrategia. Sin embargo, sus objetivos principales son aplicaciones y sistemas operativos débiles.

Cada año, los ataques DDoS se vuelven más comunes y más sofisticados, lo que hace que las botnets sean más difíciles de rastrear y erradicar que nunca. Además, cualquiera puede comprar o alquilar una botnet, a veces por menos de $10 por hora. También hay kits de botnets para alquilar, a los que llamamos booters/stressers, y son cada vez más populares.

Medios de control de botnets

peligro-seguridad-amenaza-ciber-crimen-estafa-virus-hack

Los dos modelos principales de control de botnets son cliente-servidor y peer-to-peer.

Servidor de cliente

punto-01

Antes de que existieran las redes peer-to-peer, los piratas informáticos usaban el método tradicional cliente-servidor. Este tipo de red implica la existencia de un servidor central que controla los recursos y datos. Por otro lado, mientras tanto, han surgido formas nuevas y más efectivas de hacerlo.

De igual a igual

punto-02

Una de esas formas es la creación de redes de igual a igual (P2P). Su principal ventaja es que no cuenta con un servidor centralizado. En cambio, una red de pares o nodos controla todos los recursos. Este modelo reduce significativamente el riesgo de interrupción o falla, ya que siempre hay servidores de respaldo en caso de que uno se caiga. Estas redes P2P a menudo están encriptadas, lo que las hace aún más difíciles de detectar y vencer. La mayoría de las botnets modernas utilizan este tipo de red.

Las redes de bots más notorias de la historia

hacking-ciber-crimen-seguridad-seguridad-bloqueo-protección

Aunque no conocemos las cifras exactas, la cantidad y el tamaño de las redes de bots ha ido en aumento durante un tiempo, y las redes de bots actuales tienen millones de secuaces en sus ejércitos. A la luz de eso, exploremos las botnets más grandes y memorables que jamás hayan existido.

Te puede interesar: Las 5 principales amenazas de ciberseguridad hoy y más allá.

Spammer de enlace terrestre (2000)

botnets-ddos-ataques-1

Earthlink Spammer fue la primera botnet. Envió millones de correos electrónicos maliciosos, pero aparentemente legítimos, con la intención de phishing, es decir, robar datos confidenciales del receptor. Al hacer clic en el enlace del correo electrónico, el virus se descargaría instantáneamente en su computadora, luego de lo cual enviaría la información al remitente.

Sribi (2007-2008)

botnets-ddos-ataques-2

Srizbi era una botnet basada en un troyano que constaba de más de 450 000 dispositivos de Microsoft infectados. En ese momento, era la botnet más grande de la historia, superando a la infame botnet Storm.

Srizbi fue responsable de la mitad del spam que se envió ese año, distribuyendo más de 60 billones de amenazas todos los días, incluidos correos electrónicos no deseados que anuncian relojes, bolígrafos y píldoras para agrandar el pene. En un momento, Srizbi incluso estaba enviando spam político, promocionando la campaña del candidato presidencial estadounidense Ron Paul, aunque todavía no está claro por qué.

Zeus (2007-2014)

botnets-ddos-ataques-3

ZeuS era un malware troyano popular hace unos 10 años, que permitía al pirata informático realizar todo tipo de actividades delictivas, más comúnmente para robar información bancaria. Antes de la detención de los sospechosos vinculados a ZeuS, logró infectar más de 3,6 millones de dispositivos y más de 70.000 cuentas en numerosos sitios web, como Bank of America, NASA, Amazon, ABC, etc.

Sin embargo, menos de una década después, ZeuS volvió a surgir, esta vez como una red peer-to-peer encriptada llamada GameOver Zeus. Fue retirado en 2014, pero su creador, Evgeny Bogachev, todavía está en la lista de los más buscados por el FBI.

Emotete (2014-2021)

botnets-ddos-ataques-4

Emotet no era solo una botnet, sino también una importante operación internacional de ciberdelincuencia. Como muchos otros, utilizó un troyano bancario, distribuyéndolo a través de archivos adjuntos de correo electrónico de aspecto inocente, como documentos de Microsoft Word.

Sin embargo, Emotet fue mucho más que eso. Evolucionó hasta convertirse en la solución Malware-as-a-Service (MaaS) para los grupos de ciberdelincuentes de alto nivel, ayudando a las operaciones de ransomware como Ryuk. La represión de Emotet de 2021 fue el resultado de un esfuerzo de colaboración entre más de ocho países, incluidos Alemania, Ucrania, EE. UU., etc.

Mirai (2016-presente)

botnets-ddos-ataques-5

Por supuesto, ninguna lista estaría completa sin el legendario botnet y el malware Mirai. Con millones de bots a su disposición, es la botnet más extendida en la actualidad. Se dirige principalmente a dispositivos IoT (es decir, detectores de humo, termostatos, parlantes inteligentes y otros dispositivos), explotando sus contraseñas débiles o inexistentes.

Como mencionamos al principio, los autores intelectuales detrás de Mirai eran un par de estudiantes universitarios que buscaban apresurarse en Minecraft, pero se convirtió en mucho más. De hecho, fue responsable de algunos de los ataques DDoS más impactantes de la historia reciente. Por ejemplo, Mirai estuvo detrás del ataque de 2016 al proveedor de DNS Dyn, que es el ataque DDoS más grande jamás registrado. Debido al ataque, miles de sitios web populares quedaron inactivos durante el día, incluidos Twitter, Reddit, Netflix y CNN.

Después del ataque, los creadores decidieron inteligentemente publicar el código fuente de Mirai en GitHub para ocultar sus identidades. Como era de esperar, el código se descargó y reutilizó miles de veces y en varios proyectos de malware. Por lo tanto, el alcance total del impacto de Mirai es insondable. Aunque supuestamente atraparon a los autores, Mirai sigue siendo una de las mayores amenazas cibernéticas en la actualidad.

¿Cómo mantenerse alejado de las botnets y los ataques DDoS?

hacker-ciber-crimen-internet-seguridad-virus-protección

Desafortunadamente, la mayoría de los usuarios ni siquiera saben que su dispositivo es parte de una botnet maliciosa. La nueva tecnología ha permitido a los piratas informáticos ser lo más discretos y rápidos posible, al mismo tiempo que causan millones de dólares en daños a los negocios en línea. Los ataques DDoS son bastante difíciles de detectar y muchos de ellos pasan desapercibidos hasta horas después. Incluso entonces, a veces es difícil diferenciar un ataque de pirata informático de un error o mal funcionamiento.

Si nota una actividad extraña y no puede identificar la causa, puede ser hora de sospechar un ataque. Por ejemplo, los clientes o empleados pueden informar que su sitio web es lento o no funciona por completo. Además, al realizar el análisis de registro, es posible que observe picos drásticos en el tráfico del sitio web. Después de analizar cuidadosamente y eliminar cualquier otra fuente potencial, es posible que pueda resolverlo. Aún así, en ese momento habrán pasado horas y el daño ya estará hecho.

Lo mejor que puede hacer es encontrar múltiples soluciones preventivas e implementarlas todas. Por ejemplo, no basta con instalar un software antimalware y dejarlo. También debe considerar configurar algunos servidores adicionales, aumentar el ancho de banda y comprar algunas herramientas de primer nivel para ayudarlo a monitorear sus recursos y actividad. Con todo, debe asegurarse de que no haya puntos débiles en el sistema de seguridad.

También te puede interesar: La creciente necesidad de ciberseguridad: 10 consejos para mantenerse protegido en línea.

Pensamientos finales

conclusión

En general, las botnets han sido y continúan siendo grandes amenazas para nuestra sociedad cada vez más digitalizada. Más importante aún, fueron un elemento crucial en algunos de los ataques DDoS más devastadores de la historia. Dado que solo se están volviendo más populares, debe adoptar prácticas de seguridad estrictas antes de que le suceda un ataque DDoS y cause grandes contratiempos a su negocio.

Incluso si es más cauteloso, aún puede sufrir un ataque DDoS. En ese caso, lo mejor que puedes hacer es estar bien organizado y preparado. Elaborar un plan de respuesta completo de antemano seguramente lo ayudará a mitigar el ataque de botnet y sus consecuencias en el menor tiempo posible.