¿Qué es una botnet? | Detección y mitigación de ataques de botnets

¿Qué es una botnet?

Una botnet se compone de una serie de dispositivos conectados a Internet, como smartphones o dispositivos de IoT. Cada uno de ellos ejecuta uno o varios bots. Los propietarios de botnet las controlan a través de software de mando y control (CnC) para realizar diversas actividades (normalmente maliciosas) que requieren automatización a gran escala. Se incluyen los siguientes:

  • Ataques distribuidos de denegación de servicio (DDoS) que generan tiempos de inactividad de las aplicaciones imprevistos.
  • Validación de listas de credenciales filtradas (ataques de relleno de credenciales) que desemboca en el pirateo de cuentas.
  • Ataques a aplicaciones web para robar datos.
  • Facilitación del acceso a dispositivos y conexiones de red para los atacantes.
Se debe tener en cuenta que los ciberdelincuentes alquilan botnets cada vez con mayor frecuencia para emplearlas con distintos propósitos, y constituyen una amenaza para cualquier empresa orientada a Internet. Esto significa que los atacantes ya no requieren conocimientos específicos para crear sus propias botnets, sino que pueden utilizar botnets creadas por terceros.

¿Cuántos bots contiene una botnet?

El número de bots variará de una botnet a otra, y depende de la habilidad del propietario de la botnet para infectar dispositivos no protegidos. Algunos ejemplos:

La botnet Mirai

Cuando la botnet Mirai fue detectada en septiembre de 2016, Akamai era uno de sus primeros objetivos. Nuestra plataforma continuó recibiendo ataques y defendiéndose de ellos con éxito. El estudio realizado por Akamai es un claro indicador de que Mirai, al igual que muchas otras botnets, está contribuyendo a la comoditización de los DDoS. Si bien se detectó que muchos de los nodos CnC fuera de la botnet realizaban "ataques específicos" contra determinadas IP, se observaron muchos otros relacionados con lo que se podría considerar ataques "a sueldo". En este último caso, los nodos CnC de Mirai atacaban las IP durante poco tiempo y volvían a surgir para atacar objetivos distintos. Obtenga más información sobre la botnet Mirai aquí.

El malware PBot

El malware DDoS PBot ha resurgido como base de los principales ataques DDoS identificados por Akamai durante el segundo trimestre de 2017. En el caso de PBot, los agentes maliciosos hicieron uso de código PHP bastante antiguo para generar un ataque DDoS masivo. Los atacantes lograron generar una minibotnet DDoS capaz de lanzar un ataque DDoS de 75 Gbps. Curiosamente, aunque la botnet Pbot se compone de 400 nodos (un número relativamente pequeño) es capaz de generar un nivel significativo de tráfico de ataque. Obtenga más información sobre el malware PBot aquí.

Protección contra botnets

Es importante entender que una botnet es un conjunto de dispositivos conectados a Internet bajo el mando y control de un propietario. Como tal, una botnet se puede utilizar para iniciar distintos tipos de ataques, y cada uno puede requerir un modo de protección diferente. Akamai ofrece varias soluciones de seguridad en la nube de detección y protección contra botnets. Se incluyen los siguientes: