El blog del Staff/Stuff de Sync.es aportando nuestras ideas al mundo

Redes zombies o “botnets”

Hace escasos días se anunciaba la detención por parte de la guardia civil y en colaboración con distintas fuerzas policiales internacionales y parte de la industria de las seguridad en internet de 3 personas acusadas de controlar una red de “ordenadores zombies” o “botnet” de mas de 12 millones de PCs, llamada “Mariposa“.

La pregunta inmediata para el común de los navegantes y usuarios de internet es la de ¿que es una red de “ordenadores zombies”?

Un ordenador “zombie” o “esclavo” es aquél que ha sido infectado por un virus o troyano, que a diferencia de los antiguos o comunes virus informáticos cuya finalidad era permanecer oculto el tiempo suficiente para infectar a otros ordenadores para luego “activarse” y producir daños en el huésped, esta nueva variante permite que el delincuente pueda controlar el pc afectado como si de su propio ordenador se tratara y sin que el legitimo usuario se de cuenta de ello. A ello hay que sumarle que gracias a las herramientas de gestión de que dispone el delincuente que opera esta red de ordenadores esclavos, puede gestionar miles, millones de ordenadores a la vez.

Una vez que el delincuente toma el control de esta red de ordenadores “esclavos”, los podrá gestionar con diferentes fines entre los que destaco:

Para generar SPAM: mediante una de las funciones del virus o troyano, hacen que el ordenador actúe como un servidor de correo para el envío de correo publicitario, para propagar la infección o para phishing.

Se estima que el 85% del spam enviado se genera a través de redes zombies y que algunas de estas redes son capaces de enviar un billón de mensajes en tan solo un par de horas.

Para el robo de datos bancarios y phising: porque registran los sitios webs por los que navega el cliente, las contraseñas que introduce y cuantos datos personales pudieran ser relevantes.

Para lanzar ataques coordinados de denegación de servicio sobre otros ordenadores, webs o incluso ISPs.
Estos delincuentes disponen de herramientas que permiten que toda la red de ordenadores zombies o esclavos de la que disponen realicen un ataque simultáneo contra un objetivo único. Dado que estas redes de ordenadores zombies no están geográficamente ubicados en un único punto sino distribuidos por todo el globo, resulta harto difícil para un isp u operador parar el ataque. Imagínense que ordenan a los 12 millones de PCs infectados, realizar una simple petición a una única pagina web. Pocos portales podrían soportarlo. Y eso es solo el principio.

La dependencia de internet por parte de personas, empresas y gobiernos es cada día mayor, y por tanto estos últimos deberían tomar buena nota y poner los medios para defendernos de esta amenaza, dado que estas redes pueden estar al servicio no solo de delincuentes sino de ciberterroristas o incluso de gobiernos con finalidades mas siniestras.

Pese a lo espectacular de la noticia dado que es una de las mayores redes desmanteladas, cabe destacar que se han detenido a tres personas acusadas de gestionar esta red, pero no a los creadores ni desarrolladores del troyano. Probablemente estos detenidos, que según se informa no tiene conocimientos de informática avanzados, pagaron por el uso de esta red a los creadores para luego obtener un beneficio económico por la explotación de las funcionalidades anteriormente descritas.

La segunda pregunta que surge al usuario común, es la de ¿como me protejo ante este peligro?

Desde aquí lanzo algunas recomendaciones:

1º Instálase un antivirus. Los hay gratuitos como el avg, avira o avast.

2º Emplee un detector de programas espías o troyanos como por ejemplo el adaware en su versión libre.

3º Cambie a un navegador web mas seguro: internet explorer es uno de los mas vulnerables a ataques por lo que recomiendo el cambio a otro mejor como por ejemplo Firefox o Chrome .

4º Mantenga el sistema operativo y sus aplicaciones de navegación y correo actualizadas y evite el uso de software pirata. Es muy común que los creadores de virus infecten programas conocidos para luego colgarlos en sitios de intercambio.

5º Tenga precaución con los correos que reciban y sobre todo los adjuntos. Es una puerta de entrada común a las infecciones. Mi compañero Alex Garcia nos dejó algunas buenas recomendaciones para evitar el SPAM que bien pueden valer para el asunto que nos ocupa.

6º Emplee un sistema operativo mas seguro, como por ejemplo Linux o MacOS. Quizás esto pueda parecer mas complicado para el navegante común por aparente complejidad técnica o coste económico si hablamos de mac pero hoy en día existen algunas distribuciones de linux fáciles de instalar y orientadas hacia usuarios sin conocimientos avanzados. Un ejemplo de ella sería Ubuntu.

Para terminar estas recomendaciones no quiero olvidar a las empresas por lo que para estas y especialmente para los responsables de la informática, añadiría la conveniencia de proteger con un firewall la red corporativa , a ser posible que también contenga funcionalidad de antivirus, e incluso el empleo de IDS para supervisar el trafico de la conexión y detectar canales de comunicación no convencionales, como los que emplean los delincuentes para controlar los ordenadores infectados.

Para aquellos lectores con conocimientos avanzados de comunicaciones y ensamblador les recomiendo el siguiente análisis que describe el funcionamiento de la red desmantelada, y que ha sido elaborado por la organización Defence Intelligence, responsables técnicos de la operación.

También te puede interesar: