En el amplio universo de la ciberseguridad, ciertos términos como malware, phishing y botnet han saltado a la palestra debido a su impacto en el ámbito digital. Entre estos, las botnets representan una de las amenazas más destructivas. Una botnet, derivada de las palabras robot y network (red), es una red de ordenadores infectados por malware que permite a un atacante controlarlos de forma remota. Estas máquinas zombis pueden ser utilizadas para realizar una variedad de actividades ilegales, como enviar spam masivo, lanzar ataques de Denegación de Servicio Distribuidos (DDoS), robar datos sensibles o difundir más malware.
Los equipos privados, comúnmente conocidos como zombis (o bots), combinados con el sistema del ciberdelinciente (desde donde se controlan todos los demás sistemas) se conocen como la red maestra de zombis o «red de bots». Una red de robots puede ofrecer un ataque DDoS a gran escala, enviar millones de correos electrónicos no deseados, retirar sitios web para obtener un rescate o dañar a la víctima financiera y emocionalmente. Debido a su eficiencia, siguen siendo las favoritas entre los ciberdelincuentes. A lo largo de los años, varias botnets han dejado una huella imborrable en el mundo digital. Este artículo presenta una descripción general de nueve de los ataques de botnets más importantes del pasado reciente y que causaron grandes perjuicios económicos y reputacionales en los afectados.
EarthLink Spammer (2000)
EarthLink Spammer es la primera red de bots reconocida por el público en el año 2000. Fue creada para enviar correos electrónicos de phishing en grandes cantidades, enmascarados como comunicaciones de sitios web legítimos. Se enviaron más de 1,25 millones de correos electrónicos maliciosos para recopilar información confidencial, como datos de tarjetas de crédito, en el intervalo de un año. Estos correos electrónicos descargaban virus en las computadoras de las víctimas cuando hacían clic en los enlaces, y el virus enviaba la información recopilada al remitente de forma remota. Más tarde, EarthLink demandó al creador por 25 millones de dólares por enviar spam a su red, lo que le hizo ganar casi 3 millones.
Cutwail (2007)
Cutwail, un malware que se dirige al sistema operativo Windows a través de correos electrónicos maliciosos, se descubrió en 2007. Se distribuyó a través del troyano Pushdo para convertir el sistema infectado en un spambot. Message Labs, una organización de seguridad, identificó que Cutwail había comprometido entre 1.5 y 2 millones de sistemasy que podía enviar 74 mil millones de correos electrónicos no deseados por día, representando el 46,5% de la distribución mundial de spam. Aunque el FBI, Europol y otras agencias de aplicación de la ley intentaron derribar a Cutwail en 2014, la red de bots permanece activa incluso hoy en día.
Storm (2007)
Storm puede que no sea el malware más malicioso en la historia de una botnet, pero está en camino de ser el más exitoso, con más de 1 millón de sistemas infectados. Esta es una de las primeras botnets peer-to-peer que pueden controlarse desde varios servidores diferentes. Se activa en los sistemas de las víctimas mediante el envío de mensajes que los alientan a visitar un sitio web malicioso donde se descarga el malware en el sistema. La red se hospedó en la dark web, lo que la llevó a colaborar en una amplia gama de actividades delictivas. La mayoría de los servidores de Storm fueron derribados en 2008 y no es muy activa en la actualidad.
Grum (2008)
Grum es un robot masivo de spam farmacéutico que se identificó en 2008 y parecía ser más complejo y grande de lo que los expertos imaginaban. Durante la desaparición de Grum en julio de 2012, pudo enviar 18 mil millones de correos electrónicos no deseados por día y la policía descubrió 136.000 direcciones de Internet que enviaban spam para Grum.
Kraken (2008)
¿Recuerdas la botnet Storm? Ahora imagina una botnet que sea el doble de poderosa. Ese es el tamaño de Kraken. Damballa, una compañía de seguridad de Internet, fue la primera en reportar a Kraken, la cual utiliza servidores de comando y control ubicados en diferentes partes del mundo. Esta botnet infectó 50 de las 500 infraestructuras de la compañía Fortune. Damballa afirmó que las máquinas infectadas con la botnet enviaban más de 500.000 mensajes de spam por día. Aunque Kraken está inactiva en la actualidad, los sistemas de seguridad detectaron sus restos y podrían invocar esta botnet nuevamente en el futuro.
Mariposa (2008)
Originada en España en 2008, la botnet Mariposa secuestró alrededor de 12,7 millones de ordenadores en todo el mundo en 2 años de duración. La palabra “mariposa” significa butterfly en inglés y obtuvo su nombre porque fue creada con un software llamado Butterfly Flooder, que fue escrito ilegalmente por Skorjanc. Mariposa infectó computadoras en más de 190 países a través de varios métodos, como mensajes instantáneos, intercambio de archivos, dispositivos de disco duro y más. La red de bots también usó publicidad maliciosa, utilizando anuncios digitales para difundir el malware que era capaz de robar millones de dólares de usuarios insospechados al tomar sus números de tarjeta de crédito y contraseñas de los sitios web bancarios.
Methbot (2016)
Methbot es el mayor programa publicitario digital que haya adquirido direcciones IP con ISP de EE. UU. Para esto, los operadores primero crearon más de 6.000 dominios y 250.267 URL distintas que parecían ser de editores premium, como ESPN y Vogue. Más tarde, se publicaron anuncios de video de anunciantes maliciosos en estos sitios web, que enviaron a sus robots a “ver” alrededor de 30 millones de anuncios diariamente. White Ops desarraigó a Methbot en 2015, pero la red de bots podría volver a aparecer en el futuro.
Mirai (2016)
Mirai infecta dispositivos digitales inteligentes que se ejecutan en procesadores ARC y los convierte en una botnet, que a menudo se usa para lanzar ataques DDoS. Si el nombre y la contraseña predeterminados del dispositivo no se cambian, Mirai puede iniciar sesión en el dispositivo e infectarlo. En 2016, los autores del software Mirai lanzaron un ataque DDoS en un sitio web que pertenecía a la compañía proveedora de servicios de seguridad. Poco después de una semana, publicaron el código fuente para ocultar los orígenes del ataque, que luego fueron replicados por otros ciberdelincuentes que crearon variantes para atacar al proveedor del servicio de registro de dominios, Dyn, en el mismo año. En su punto máximo, Mirai infectó más de 6 millones de dispositivos.
3ve (2018)
3ve botnet dio origen a tres suboperaciones diferentes pero interconectadas, cada una de las cuales fue capaz de evadir la investigación después de perpetrar hábilmente el fraude publicitario. Google, White Ops y otras compañías de tecnología se coordinaron para cerrar las operaciones de 3ve, la cual infectó alrededor de 1.7 millones de computadoras y una gran cantidad de servidores que podían generar tráfico falso con bots. El malware también falsificaba 5.000 sitios web para hacerse pasar por editores web legítimos junto con 60.000 cuentas de compañías de publicidad digital para que los estafadores pudieran ganar con los anuncios recibidos. El único objetivo de este malware era robar la mayor cantidad de dinero posible de la industria publicitaria global mientras no fuera detectada.
Lecciones de España y la caída de Mariposa
En diciembre de 2009, gracias a una operación conjunta entre la Guardia Civil española, la empresa de seguridad Panda Security y otras organizaciones, los servidores de comando y control de Mariposa fueron desactivados. Este esfuerzo concertado permitió identificar y arrestar a los creadores de la botnet, conocidos como los Mariposa Working Group.
Los arrestos fueron un hito en la lucha contra el cibercrimen. Los responsables, tres ciudadanos españoles, operaban bajo los alias Netkairo, Ostiator y Jonyloleante. Su detención no solo desmanteló Mariposa, sino que también envió un mensaje claro a otros ciberdelincuentes sobre las consecuencias de sus acciones.
Las botnets representan una amenaza significativa en el ámbito de la ciberseguridad debido a su capacidad para coordinar ataques masivos utilizando redes de dispositivos comprometidos. Estas redes de dispositivos zombis pueden ser utilizadas para una variedad de actividades delictivas, incluyendo el envío de spam, la ejecución de ataques de Denegación de Servicio Distribuidos (DDoS), el robo de información sensible y la propagación de malware.
El peligro radica en la capacidad de las botnets para operar de manera oculta y en la escala masiva de los ataques que pueden ejecutar. Un solo individuo puede controlar millones de dispositivos infectados, lo que les permite lanzar ataques devastadores que pueden derribar infraestructuras críticas, comprometer la seguridad financiera y personal de millones de personas, y causar pérdidas económicas significativas. Además, la evolución constante de las técnicas utilizadas por los ciberdelincuentes hace que las botnets sean cada vez más difíciles de detectar y neutralizar.
La lucha contra las botnets requiere una colaboración internacional, avances continuos en tecnología de seguridad, y una mayor conciencia y educación en ciberseguridad entre los usuarios. A medida que la tecnología avanza, también lo hacen las capacidades de los atacantes, lo que subraya la necesidad de mantenerse siempre alerta y proactivo en la protección contra estas amenazas cibernéticas.