Botnet

Integrantes: Espino, Julio

Mosquera, Elvis
Contenido por Temas
• Introducción
• En que consiste
• Funcionamiento
• Mecanismos para minimizar este tipo de ataque
• Ejemplos
• Infografía
Actividad para verificar que los compañeros
comprendieron el tema
Introducción

Botnet es un término que hace referencia a un conjunto o red de robots

informáticos o bots, que se ejecutan de manera autónoma y automática. El artífice
de la botnet puede controlar todos los ordenadores/servidores infectados de forma
remota. Esta modalidad permite al hacker controlar múltiples equipos para la
creación de sus delitos.
¿Qué es un botnet?
Una botnet es una red de equipos informáticos que han
sido infectados con software malicioso que permite su
control remoto, obligándoles a enviar spam, propagar
virus o realizar ataques de denegación de servicio
distribuido (DDoS) sin el conocimiento o el
consentimiento de los propietarios reales de los equipos
¿Cómo infecta al equipo?
Los hackers usan dos métodos para infectar los ordenadores y estos
formen parte de un botnet: ataques drive-by downloads y email.

En el primer caso, el proceso requiere de diferentes pasos y el atacante

debe encontrar una página web con una vulnerabilidad que pueda
explotar. Entonces, el hacker carga su código malicioso en la página y
explota la vulnerabilidad en un navegador web. El código redirige el
navegador del usuario a otro sitio controlado por el delincuente donde
el código bot se descarga e instala en el equipo.

En el segundo caso, el proceso es más simple, El atacante envía una

gran cantidad de spam, donde se adjunta un archivo Word o PDF con
un código malicioso o un enlace a la página que aloja el código. Una vez
el código está en el equipo, el ordenador se convierte en parte del
botnet. El atacante puede manejar los comandos de forma remota,
cargar datos en el PC o hacer lo que realmente desee con la máquina.
 Usos habituales de las botnets
• Capturar contraseñas y datos
personales. Recopilan las contraseñas de los
servicios de banca, redes sociales, correo web
(Gmail, Outlook, etc.) que utilizan los usuarios
del ordenador infectado para después
venderlas.

• Enviar spam y propagar virus. Los

ordenadores zombis pueden estar organizados
para enviar spam, a miles de direcciones de
correo que han sido recopiladas previamente
de e-mails en cadenas y bulos, por
ejemplo. Estos correos spam, pueden adjuntar
ficheros que descargan virus en el ordenador
del usuario al abrirlos o incluir enlaces a
páginas que suplantan la identidad de
servicios (phishing), descargan otros virus en
el ordenador, instalan toolbars no deseados en
el navegador, etc.
• Ataques de denegación de
servicio distribuidos DDoS. El
ciberdelincuente que tenga el control
de la botnet, indicará a todos sus
zombis que accedan a la vez a una
determinada página web para saturarla
y provocar que deje de funcionar
correctamente con el objetivo de
chantajear al propietario o empresa
responsable de la misma.

Minería y robo de Bitcoins. Con la

aparición de esta criptomoneda, se ideó un
nuevo empleo para las botnets: usarlas para
generar bitcoins. Un ejemplo de esta utilidad la
ejemplifica ZeroAccess, un troyano que
infectaba los PCs haciendo que estos formaran
parte de una red de bots, unos ordenadores que
los delincuentes aprovechaban para realizar las
distintas operaciones para generar esta
moneda, sin gastar electricidad ni hardware.
Llevar a cabo desde tu ordenador
otro tipo de fraudes. Acceder a
páginas web cuyo contenido es
denunciable o ilegal: pedofilia,
prostitución, drogas, armas,
manipulación de encuestas, etc.
Almacenar y compartir ficheros con
copyright, suplantar tu identidad para
publicar anuncios falsos, etc.
Mecanismos para minimizar este tipo de ataque
• Tener instalado un software de seguridad, preferentemente con
características de soluciones completas (spam, phishing,
antivirus, firewall, etc.)
• Estar al pendiente de las últimas actualizaciones del software
que ejecute nuestra computadora.
• Aumentar las configuraciones de seguridad en nuestros
programas como son los navegadores web o cualquiera que
realice una conexión a Internet.
• Limitar la información que compartimos en la red y los
privilegios de la misma al compartirla.
• Evitar abrir o visualizar archivos adjuntos de remitentes
desconocidos.
• Seguir buenas prácticas de seguridad en general.
 Detección
Aunque a veces los antivirus no sean capaces de detectar que el computador
ha sido capturado como parte de una botnet, hay algunos indicios que pueden
indicar esto:

• Su equipo y sistema son inusualmente lentos, se bloquean o se detiene con

frecuencia al responder los comandos.
• La red o conexión a internet es inusualmente lenta con los procesos de
carga.
• Hay actividad de red totalmente desconocida cuando nadie más está
usando Internet.
• El ordenador no puede acceder a algunas o varias características de sitios
web.
• La cantidad de SPAM (correo basura) que recibe, aumenta dramáticamente
pudiendo provocar fallas y retrasos durante el procesamiento del sistema en
algunos casos.
• El firewall alerta sobre programas o procesos desconocidos que tratan de
acceder desde Internet con fines maliciosos hacia su computadora.
 Ejemplos de Botnet
RUSTOCK
Año de descubrimiento: 2006
Origen: Rusia
Número estimado de máquinas
infectadas: Entre 150,000 y 2,400,000.
Tipo de Botnet: Spammer
Estado actual: Desarticulado por la Ley
de EEUU en cooperación con Microsoft,
FireEye, y la Universidad de Washington.
Rustock se propagó como un troyano,
infectando documentos descargados desde
Internet o como adjunto de emails. Las
máquinas infectadas enviaban más de
20.000 mensajes basura por hora cuando
estaba activo.
COFICKER
Año de descubrimiento: 2008
Origen: Puede ser Alemán, por su nombre, o
Ucraniano, por su servidor primario.
Número estimado de máquinas infectadas:
Entre 9,000,000 y 15,000,000.
Tipo de Botnet: DoS y spammer
Estado actual: Prácticamente desarticulado pero
siguen existiendo máquinas infectadas.
Conficker es el único que se descarga
actualizaciones por sí solo, utilizando los binarios
firmados y encriptados para ayudar a evitar
cualquier acción de desinfección. Una vez que la
versión E está activa, se descarga e instala
Waledac para enviar spam.
MARIPOSA
Año de descubrimiento: 2008
Origen: España
Número estimado de máquinas
infectadas: Entre 1,000,000 y
12,000,000.
Tipo de Botnet: Cyber-estafa y DDoS.
Estado actual: Desarticulada gracias a los
esfuerzos de la fuerzas de seguridad
españolas, Defense Intelligence y Panda
Security.

Mariposa es un keylogger, software que

monitoriza y graba en un registro la
actividad de teclado del usuario para
capturar credenciales en sitios bancarios,
credenciales con la que realizar envió
masivos de spam y tomar el control del
equipo para su utilización en ataques
DDoS.
KELIHOS
Año de descubrimiento: 2010
Origen: Rusia
Número estimado de máquinas
infectadas: Hasta 150,000 sistemas.
Tipo de Botnet: Spammer y DDoS, con la
última versión disponible para extraer y
robar bitcoins.
Estado actual: Desarticulado, gracias a
los esfuerzos de Microsoft y agencias de
seguridad de EEUU.
Kelihos incluía funciones de control peer-
to-peer tanto en la consola de comando
central como en los elementos de control y
podía propagarse a través de links a
documentos y a través de la red social de
Facebook.
ZEROACCESS
Año de descubrimiento: 2011
Origen: Desconocido
Número estimado de máquinas
infectadas: 9,000,000.
Tipo de Botnet: Extracción de bitcoins y
ciberestafa.
Estado actual: Desarticulado, pero con
posibilidades de reactivarse, Debido a que se
perdió una parte de las consolas de mando y
control, estos elementos peer-to-peer
podrían lanzar nuevos ataques en el futuro.
ZeroAccess puede comprometer un sistema
infectando tanto el MBR del disco duro
como drivers críticos y es capaz de
deshabilitar tanto el firewall de Windows
como software de antivirus.
Infografía
• https://www.danysoft.com/los-12-peores-botnets/
• https://www.genbeta.com/seguridad/que-son-las-botnets-y-por-que-se-usaron-
en-el-ataque-ddos-del-viernes
• https://revista.seguridad.unam.mx/numero-05/botnets
• https://www.softzone.es/2018/04/21/botnet-protegernos/
• https://www.avast.com/es-es/c-botnet#academy
• https://www.kaspersky.es/blog/que-es-un-botnet/755/