¿Qué es la botnet Meris?

La botnet Meris es una operación de botnet increíblemente potente que batió récords en 2021 y 2022 por la envergadura de los ataques DDoS que llevó a cabo. Meris también destacó por el número de dispositivos infectados que controlaba (se calcula que unos 250 000 routers) y por el volumen de solicitudes que podía enviar, hasta 46 millones de solicitudes por segundo (RPS) en un ataque de 2022 a Google.

¿Qué es una botnet?

El término botnet es la abreviatura de "robot nerwork" o red de robots, un grupo de ordenadores o dispositivos infectados con software malicioso (malware) que permite que los atacantes los controlen. Las botnets pueden contener decenas de miles de dispositivos que se pueden utilizar para lanzar ciberataques coordinados. Entre los usos habituales de las botnets se incluyen el envío de spam, el robo de información de tarjetas de crédito, la participación en campañas de fraude con clics y la generación de enormes cantidades de tráfico malicioso para ataques DDoS.

¿Qué es un ataque DDoS?

Un ataque distribuido de denegación de servicio (DDoS) está diseñado para saturar un equipo o una red con tráfico malicioso para que no pueda atender solicitudes legítimas y hacer que sus servicios sean inaccesibles para los usuarios legítimos. Los ataques DDoS suelen dirigirse al sitio web, las aplicaciones web, las API, la red, el centro de datos o la infraestructura de DNS de una empresa. Los hackers pueden llevar a cabo ataques DDoS con el fin de extorsionar a una empresa, distraer a los equipos de seguridad de otras formas de ciberataques, buscar venganza, hacer una declaración política o puramente por entretenimiento.

¿Cómo funciona la botnet Meris?

La botnet DDoS Meris explota una vulnerabilidad en el sistema operativo (RouterOS) de los routers fabricados por la empresa letona MikroTik, que también produce puntos de acceso Wi-Fi, puertas de enlace de IoT, conmutadores y otros equipos. "Meris" significa plaga en letón.

Para llevar a cabo ataques DDoS, Meris centra los ataques volumétricos en la capa de aplicación. La botnet Meris envía un volumen abrumador de RPS a un servidor objetivo para saturar su capacidad de recursos de memoria y CPU. Con más de 250 000 routers bajo su control, la botnet puede lanzar fácilmente ataques DDoS volumétricos de varios terabits que pueden batir todos los récords en cuanto a la envergadura de un ataque.

Los expertos creen que los atacantes pueden realizar solicitudes mediante proxy desde otros dispositivos a los routers infectados para ocultar el origen del ataque. La botnet Meris también utiliza canalización HTTP , que permite que una sola conexión transmita varias solicitudes sin tener que esperar a que un servidor envíe una respuesta, lo que ayuda a aumentar las RPS de la botnet.

Para crear una botnet más potente, se cree que Meris aprovechó una vulnerabilidad de parches de los dispositivos MikroTik (CVE-2018-14847) y reconfiguró el sistema operativo utilizado por los routers MikroTik para permitir el acceso remoto. Este ataque tuvo éxito incluso con algunos routers MikroTik con parches, ya que para proteger a los routers y que no pasaran a formar parte de la botnet, los equipos de seguridad también tenían que cambiar la contraseña y actualizar el firewall.

¿Qué nivel de potencia presenta la botnet Meris?

En 2021, los investigadores estimaron que la botnet Meris incluía más de 250 000 dispositivos y que más de 40 000 dispositivos adicionales seguían expuestos a la vulnerabilidad. El tamaño de la botnet Meris le permite penetrar en redes masivas, como los proveedores de servicios de Internet (ISP).

Con más de 250 000 dispositivos, la capacidad máxima de Meris podría alcanzar un récord de 110 millones de solicitudes por segundo. En comparación, el anterior mayor ataque DDoS medido de la historia solo tenía aproximadamente el 20 % de las capacidades de Meris.

La botnet Meris ha superado a una de las botnets más famosas, Mirai, que infectó cientos de miles de dispositivos del IoT. Sin embargo, Mirai estaba restringido por la pequeña cantidad de potencia computacional y las capacidades de red limitadas de los dispositivos del IoT. Por el contrario, Meris utiliza un ejército de routers con mucha más potencia de procesamiento y mejores capacidades de transferencia de datos que los dispositivos del IoT. La tecnología subyacente de la botnet Meris sugiere que sus hackers tienen acceso a una potencia de procesamiento considerable y a Ethernet de alta velocidad, lo que convierte a Meris en una amenaza mucho más potente para las organizaciones que no están protegidas por la mitigación de DDoS basada en la nube.

¿Qué empresas han sido objeto de ataques?

La botnet Meris se ha utilizado para atacar a una amplia gama de empresas. El gran número de ataques se ha dirigido a empresas del sector de la banca, los servicios financieros y los seguros (BFSI). Entre los ataques más destacados se incluyen los siguientes:

Un ataque a Krebs on Security que alcanzó más de 2 millones de RPS
Presuntos ataques al motor de búsqueda Yandex
Un presunto ataque a la empresa de nube Cloudflare, que registró 17,2 millones de RPS
Un presunto ataque contra Google en junio de 2022 que aumentó de 100 000 RPS a 46 millones de RPS en una hora, lo que lo convirtió en el mayor ataque DDoS a la capa 7 registrado en la historia

¿Cómo pueden las empresas defenderse de la botnet Meris?

Para protegerse contra la botnet Meris y otros ataques DDoS, los equipos de seguridad pueden implementar varias capas de protección de ciberseguridad, como un firewall de DNS, protección de API, un firewall de aplicaciones web y soluciones de protección contra DDoS completas con capacidad de defensa dedicada para bloquear los ataques en el Edge de la red de una organización antes de que los ataques causen daños. Las soluciones de seguridad deben incluir protección para sitios web, aplicaciones, API, infraestructura de DNS (incluidos los servidores de nombres DNS autoritativos, balanceador de carga en el servidor global [GSLB], etc.) e infraestructura de red.

Una potente solución de protección contra DDoS debe ofrecer un enfoque exhaustivo que utilice capacidad de defensa dedicada, flujos de trabajo de mitigación automatizados, una combinación de inteligencia humana y artificial, y la flexibilidad de implementarse en las instalaciones, en la nube o en forma híbrida para una protección integral y eficaz contra DDoS.

Preguntas frecuentes

Una botnet, o red de robots, es una red de ordenadores infectados por malware que permite a los ciberdelincuentes controlarlos. La persona que controla la botnet se denomina "pastor de bots" y cada equipo infectado se denomina bot. Las botnets pueden incluir ordenadores, servidores, dispositivos del Internet de las cosas (IoT), así como otros tipos de máquinas.

Para lanzar ataques de botnets, un pastor de bots envía comandos a los bots desde un servidor de mando y control, y los dirige para realizar acciones como analizar otras máquinas en busca de vulnerabilidades, distribuir malware, propagar ransomware, realizar minería en busca de criptomonedas, efectuar compras para equipos de reventa de tickets, enviar correos electrónicos de phishing y spam u ofrecer servicios de stresser de sitios web.

Un stresser de sitios web o booter es un servicio de DDoS de alquiler que permite a los hackers con poca experiencia y pocos recursos organizar ataques devastadores contra un objetivo. Los stressers de sitios web sofisticados se configuran como ofertas de software como servicio (SaaS) completas con pruebas gratuitas, tutoriales en vídeo, asistencia por correo electrónico y paquetes de suscripción con un precio tan bajo como 20 dólares al mes.

Por qué los clientes eligen Akamai

Akamai es la empresa de ciberseguridad y cloud computing que potencia y protege los negocios online. Nuestras soluciones de seguridad líderes en el mercado, nuestra inteligencia ante amenazas consolidada y nuestro equipo de operaciones globales proporcionan una defensa en profundidad para proteger los datos y las aplicaciones empresariales. Las soluciones integrales de cloud computing de Akamai garantizan el rendimiento y una buena relación calidad-precio en la plataforma más distribuida del mundo. Las grandes empresas confían en Akamai, ya que les ofrece una fiabilidad, una escalabilidad y una experiencia inigualables en el sector, idóneas para crecer con seguridad.

Productos relacionados

Bot Manager

Detenga los bots más peligrosos y evasivos antes de que puedan afectar a la confianza de sus clientes.

Más información

Account Protector

Mantenga alejados a los estafadores (y la reputación de su empresa intacta) con la protección contra el robo de cuentas.

Más información

App & API Protector

Seguridad integral y sin riesgos para sitios web, aplicaciones y API.

Más información

Content Protector

Detenga los scrapers persistentes con detecciones personalizadas. Proteja su contenido web y su potencial de ingresos.

Más información

Recursos adicionales

Fraud and Abuse Report 2025: Charting a Course Through AI’s Murky Waters

Descubra qué regiones y sectores de todo el mundo se han visto más afectados por una avalancha de bots de IA y cómo mantenerse por delante de sus audaces tácticas de fraude.

Descargar informe

¿Tiene problemas de confianza en la web? La gestión de bots puede ayudarle.

MP_28132_Platform_Nov20_SocialPosts_TurnChangeIntoYourCompetetiveEdge_v1-1

El aumento de los bots ha convertido las soluciones de gestión de bots en una prioridad para los equipos de seguridad en todo el mundo. Obtenga más información sobre los bots buenos y malos, y sobre cómo puede adelantarse su empresa a los ataques.

Leer blog