BOTNETS_

El fenómeno de las redes de ordenadores zombies

INDICE

QUÉ ES UNA BOTNET 2

CREACIÓN DE UNA BOTNET 2

USO DE LAS BOTNETS 2

- ENVÍO DE SPAM

- BOTNETS COMO MIRRORS

- ATAQUES DOS Y DDOS

BAJO EL ATAQUE DE UNA BOTNET 5

EVITAR FORMAR PARTE DE UNA BOTNET 5

¿PERTENECE MI EQUIPO A UNA RED ZOMBIE? 6

DESARTICULANDO UNA BOTNET 6

FUENTES 7

CRÉDITO 7
 Seguridad informática

QUÉ ES UNA BOTNET

Una botnet o red de bots es una colección de software autónomo, o bots, que, sin
conocimiento ni autorización del propietario de un sistema informático, se ejecuta en
servidores y ordenadores personales con el fin de usar éstos para llevar a cabo
actividades ilícitas, como la realización de ataques DoS (Denegación de Servicio) y el
envío de correo masivo no solicitado, o spam. El creador y/o administrador de la botnet
puede controlar todos los equipos infectados remotamente y vender sus servicios, por
ejemplo, a spammers, que son los responsables del envío del spam.

Los ordenadores infectados con este tipo de malware o software malicioso pasan a estar
bajo el control del artífice de la botnet, que los usará para ejecutar las actividades antes
mencionadas, entre otras. Estos ordenadores son llamados zombies en analogía a los
muertos vivientes de los ritos vudús, representados como seres que realizan
obedientemente todas y cada una de las órdenes que ejecuta la persona que los ha
devuelto a la vida.

Grupos de personas más o menos organizados pueden tener bajo su control miles de
ordenadores zombies.

CREACIÓN DE UNA BOTNET

Para la creación de los bots se suelen usar lenguajes de programación orientados a

objetos. Una vez creado el software malicioso, éste se distribuye por una red directamente
a la espera de equipos para infectar de manera directa (ejecución de scripts malignos,
descarga de archivos sospechosos de páginas webs, intrusión directa por parte del
cracker, etc.) o se puede esconder dentro de un software pretendidamente no malicioso
(aplicaciones, cracks, etc.). Tras la ejecución del código malicioso, el bot puede escanear
el equipo infectado y buscar maneras de propagarse utilizando vulnerabilidades de los
sistemas operativos, o bien en el caso de los servidores la infección y propagación se
produce mediante ataques de fuerza bruta (prueba-error) y/o mediante exploits que se
aprovechan de bugs (vulnerabilidades) de estos sistemas.

USOS DE LAS BOTNETS

Las redes de ordenadores zombies son usadas tanto para el envío de spam, para la
descarga de contenidos de gran tamaño aprovechando el ancho de banda de las
computadoras infectadas y para la realización de ataques de denegación de servicio o
DoS.

IMEI 07/08 Francisco Javier Dávila Delgado

 Seguridad informática

Envío de spam

El spam o correo basura son mensajes normalmente de carácter publicitario que se

envían en grandes cantidades a múltiples receptores a través de diferentes sistemas de
comunicación sin que éstos los hayan solicitado previamente. El problema radica
principalmente en que el envío de estos contenidos de forma indiscriminada consume un
gran ancho de banda en la red, ralentizando otros servicios legítimos, y producen
molestias a los usuarios del correo electrónico, foros, blogs, mensajería instantánea, etc.
que tienen que soportar recibir mensajes con productos que no le interesan sin la
posibilidad de poder evitarlo, ya que al contrario que con el caso de otros boletines
publicitarios, no hay posibilidad de darse de baja en el servicio y dejar de recibir mensajes
basura. No existe una solución definitiva al problema del spam; sólo hay que seguir varias
normas de uso de la red para que así se vea reducida la cantidad de spam recibido, como
por ejemplo evitar escribir direcciones de correo completas en foros, blogs, etc. para que
no sean leídas por los bots o enviar correos a varios destinatarios escribiendo sus
direcciones en el campo CCO (Copia de Carbón Oculta) a la hora de continuar una
ʻcadena de e-mailsʼ.

Volviendo al tema de cómo una botnet puede ser usada para enviar spam, el
administrador/creador de la red de ordenadores zombies puede ʻalquilarʼ la botnet a
spammers para que éstos realicen la distribución del correo basura o ser el propio artífice
de la botnet un spammer. Para que esta operación llegue a buen puerto, se siguen una
serie de pasos:

1. El operador de una botnet distribuye todo tipo de malware entre los usuarios.
2. Los ordenadores infectados se conectan a través de un medio de comunicación en red.
3. En el caso de que el creador de la botnet no se dedique a enviar correo basura, se
alquila el uso de la red de zombies a un spammer.
4. El spammer manda instrucciones precisas a los ordenadores infectados para que
comiencen a enviar spam a los diferentes servidores de correo.

IMEI 07/08 Francisco Javier Dávila Delgado

 Seguridad informática

Es interesante ver como cada ordenador perteneciente a la botnet sigue al anterior con
poco tiempo de diferencia en el envío de spam, mostrando una coordinación y
organización que denotan la presencia de ciertos órganos de control sobre ellos.

Se piensa que sólo seis redes de ordenadores zombies son responsables del 85% de
todo el correo basura que circula por el mundo.

Botnets como mirrors

Otro uso de las botnets es como mirrors o alojadores de contenido, no pocas veces éste
ilegal. Normalmente, los contenidos de Internet se alojan en servidores, que los
suministran a los clientes tras las peticiones oportunas. Las descargas consumen ancho
de banda del servidor que el propietario del espacio web tiene contratado. Ésto puede ser
un problema a la hora de poner a disposición de los usuarios archivos de gran tamaño, ya
que el ancho de banda consumido se dispararía y el webmaster no podría hacer frente al
pago de ampliar el ancho de banda a consumir.

Por ello, los administradores de las botnets usan los ordenadores zombies para
almacenar los contenidos de gran tamaño y de esa manera el ancho de banda de sus
sitios web no se ve mermado.

Ataques DoS y DDoS

Un ataque de denegación de servicio, o DoS (Denial of Service) por sus siglas en inglés,
es un ataque realizado contra un sistema de computadoras o red que produce que un
servicio pase a no estar disponible para los usuarios legítimos, al producir el agotamiento
del ancho de banda del sistema informático víctima y otros problemas de índole
computacional, por lo que la conectividad a la red del atacado se pierde. Este tipo de
ataque se puede realizar de muchas maneras, aunque siempre usando el protocolo TCP/
IP para saturar de información los puertos de comunicación. En el caso de los servidores,
un cracker puede desconectar de la red un servidor determinado enviándole muchas
peticiones en un pequeño espacio de tiempo hasta que éste es incapaz de seguir
atendiendo las peticiones por agotamiento de sus recursos.

En otras ocasiones los propios administradores de un servidor realizan ataques DoS

contra su propio equipo para así ver la capacidad máxima de soporte de tráfico del
sistema.

El ataque de denegación de servicio distribuido o DDoS (Distributed Denial of Service) es

cuando un ataque DoS se realiza por una multiplicidad de equipos de diferentes partes
del mundo pertenecientes a una botnet contra una red o servidor víctima. Es interesante
el hecho de que, a diferencia del ataque DoS, miles de ordenadores de todo el mundo
pueden atacar a un único servidor durante días en oleadas sin que el administrador del
sistema atacado pueda hacer más que desconectar el servidor de la red hasta que el
ataque termine y se restablezca la normalidad. Por ejemplo, si un ataque DoS se lleva a
cabo mediante un sólo equipo, el administrador del servidor no tiene más que bloquear al
mismo para que el ataque cese, pero en el caso de un DDoS es imposible para la víctima
bloquear a todos y cada uno de los equipos ya que sus peticiones provienen de múltiples
lugares. Esta técnica se ha demostrado como una forma barata y sencilla de causar

IMEI 07/08 Francisco Javier Dávila Delgado

 Seguridad informática

perjuicios a sitios web de

empresas, colectividades y
páginas personales por
diferentes causas, como
puede ser el hecho de
chantajear a los
administradores de los
servidores víctima para que
paguen y así mantener sus
servicios operativos o como
ataque contra la libertad de
expresión, visto en el caso
de la web ʻGenbetaʼ a
principios del 2008.

Como se ha comentado con

anterioridad, el servidor se
desconecta de la red por la
incapacidad de los routers
para procesar toda la información y por el alto consumo de ancho de banda que se
produce en el ataque, ya que los administradores del servidor no pueden afrontar el coste
económico tan elevado que conllevaría ampliar el ancho de banda a usar para mantener
el sitio online.

Entre las diferentes maneras de las que puede ejecutarse un ataque DoS se encuentra el
envío de paquetes de información falsificados o el envío de múltiples paquetes ʻecho
requestʼ o ping de gran tamaño generando respuestas por parte del servidor hasta
sobrecargarlo.

BAJO EL ATAQUE DE UNA BOTNET

En el caso de ser víctima de un ataque DDoS por parte de una botnet, poco se puede
hacer. Simplemente se pueden escanear los paquetes entrantes para adaptar el firewall y
así poder reducir de alguna forma el tráfico tan alto que se genera en el ataque.

EVITAR FORMAR PARTE DE UNA BOTNET

Para evitar formar parte de una botnet se han de seguir prácticamente los mismos pasos
que para evitar la infección de un equipo por parte de un gusano, virus u otra clase de
malware. En equipos Windows se hace imprescindible el uso de un antivirus actualizado y
un firewall que monitorice los puertos de conexión del equipo, la no descarga y ejecución
de contenidos de dudosa procedencia y mantener el sistema operativo actualizado. En
sistemas basados en UNIX basta con mantener el equipo al día con las últimas

IMEI 07/08 Francisco Javier Dávila Delgado

 Seguridad informática

actualizaciones y mantener un nivel de seguridad aceptable, con el uso de contraseñas

fuertes y el cierre de puertos innecesarios.

¿PERTENECE MI EQUIPO A UNA RED ZOMBIE?

Examinando el tráfico de la red puede determinarse si se forma parte de una botnet. Un

síntoma fácil de identificar es que la conexión a Internet vaya muy lenta y que se
encuentren problemas a la hora de conectarse a determinadas páginas, a que algunas
pueden mostrar avisos de infección del equipo por parte de un gusano o bot. Si se tiene la
seguridad de pertenecer a una botnet, lo primero que ha que hacer es desconectar el
ordenador de la red.

También es importante estar atento a los procesos que se ejecutan en segundo plano.
Los sistemas operativos mantienen en funcionamiento varios procesos necesarios para el
correcto funcionamiento del ordenador que pueden ser monitorizados fácilmente. Si en la
lista de procesos se encuentra alguno sospechoso se debe detener la ejecución del
mismo y escanear el equipo con un antivirus o programa de limpieza de malware para
encontrar el software malicioso y eliminarlo.

DESARTICULANDO UNA BOTNET

En la gran mayoría de las ocasiones, las botnets usan los servidores y canales del IRC
para comunicarse y realizar sus actividades. Si se encuentra el canal de IRC usado por
una botnet, éste puede cerrarse sin más y así se desarticularía la botnet completa. El
problema aparece cuando las botnets poseen una lista de servidores alternativos a los
que conectarse en caso de que el servidor y el canal que usaban con anterioridad fueran
cerrados, o cuando el spammer o administrador de la botnet posee un servidor propio.

IMEI 07/08 Francisco Javier Dávila Delgado

 Seguridad informática

FUENTES

Wikipedia en español e inglés (http://www.wikipedia.org)

Security Focus (http://www.securityfocus.com)
Noticias Dot (http://www.noticiasdot.com)
OnGuard Online (http://onguardonline.gov)
“Seguridad digital y hackers” de Juan Diego Gutiérrez Gallardo

CRÉDITO

Francisco Javier Dávila Delgado es alumno de Ingeniería Técnica en Informática de

Sistemas en la Escuela Superior de Ingeniería de Cádiz en el curso 2007/2008. Este
mismo año cursa la asignatura “Instalación y Mantenimiento de Equipos Informáticos”,
IMEI por sus siglas, para la que se ha realizado este trabajo.

IMEI 07/08 Francisco Javier Dávila Delgado