La culpa de que el ordenador de Paco no sea tan suyo como él cree reside en que su ordenador se encuentra infectado y controlado por un «bot». De forma general se puede definir un bot (termino proveniente de la palabra robot), como un programa que contiene instrucciones para actuar de forma independiente y autónoma, pudiendo realizar una diversidad de comandos o acciones de forma automática o controlada remotamente.
Este pequeño programa se queda residente en el sistema, y se ejecutará de forma invisible y automática, cuando reciba una orden desde otro sistema que lo controla. De ahí que podamos decir que un ordenador infectado con un bot deje de ser totalmente de su dueño, para ser también de aquel que controla el bot de forma remota.
En la actualidad, los bots resultan un peligro invisible para muchos usuarios. En muchos casos, esta forma de control y posesión del sistema infectado, da lugar a que estos ordenadores sean conocidos o denominados como «zombies».
El ordenador «poseído» por el bot tan solo está a la espera de que desde otro sistema anfitrión se le envíen las instrucciones de lo que debe realizar. No solo eso, sino que generalmente los bots suelen infectar múltiples equipos y todos ellos pasan a formar una red que se denomina «botnet».
Toda la red esta bajo el control de un operador que puede usar y controlar todos los ordenadores de forma coordinada, lo cual otorga un gran poder a la botnet, y también a su administrador o «botmaster».
Una vez que un bot toma el control de un equipo, y pasa a formar parte de una botnet, generalmente suelen emplearse con fines maliciosos para realizar tareas automatizadas de diverso tipo. Entre los usos más habituales suelen estar el envío de spam, virus o software espía; robo de información privada y personal para enviársela al controlador del bot, como números de tarjeta de crédito o credenciales bancarias; ataques de denegación de servicio distribuido (DDoS) contra un objetivo específico; aumento de la facturación de la publicidad web al hacer clic en ciertos banners de manera automática…
El control de una botnet
Una botnet puede estar formada por unos pocos sistemas comprometidos, hasta incluso cientos de miles. De tal forma que una red de estas características, puede tener una gran capacidad de proceso «distribuido». El botmaster, por su parte, tiene un control total de su red de bots, y puede llevar a cabo un gran número de acciones maliciosas empleando tan solo un grupo segmentado de equipos o incluso todos ellos.
Es tal el poder que puede desarrollar una botnet, que incluso los operadores alquilan sus servicios a redes de delincuencia para llevar a cabo sus acciones malignas.
Cuando un ordenador se infecta con un malware de este tipo, se convierte en un bot y pasa a formar parte de la botnet. Dentro de ese proceso invisible en primer lugar se realiza una comunicación al «Centro de Comando y Control» (conocido como C&C) de la red, desde el cual el administrador controla todos los equipos zombies encendidos. A partir de este momento, el atacante ya posee privilegios de administración del sistema infectado desde su C&C.
El botmaster envía las instrucciones a los equipos zombis desde el C&C, para lo cual emplea diferentes comandos y protocolos: desde los métodos más clásicos que emplean el protocolo HTTP a los métodos más modernos que utilizan comandos en redes sociales o redes P2P, pasando por otras metodologías como canales de chat IRC.
La forma más avanzada de control de botnets se lleva a cabo mediante redes P2P, que como gran ventaja permiten al administrador de la botnet cambiar de servidor fácilmente siempre que lo desee, lo que dificulta la investigación de la red. Además también dificulta su rastreo y dada la gran cantidad de nodos y distribución de las redes P2P, puede llegar a hacer casi imposible su desactivación. Esta forma de control es lo que puede calificarse como la ultima tendencia en control de botnets, aun están poco extendidas, pero sin duda representan el futuro de este tipo de control de redes de bots.
Las botnets más extendidas
Las principales botnets son conocidas, al igual que las familias de malware que suelen emplearse para «reclutar» zombies. A pesar de todo ello sigue siendo complicado el frenar su acción. Entre las principales y más extendidas redes se encuentran:
- Zeus: es la botnet más extendida, integrada por cientos de miles de sistemas infectados principalmente por diferentes versiones del malware conocido como Zbot, que es realmente el bot encargado de infectar los sistemas. El uso más extendido de esta red es la realización de ataques de phishing.
- Bahama: Esta red zombi roba tráfico de Google y falsifica la publicidad de los adsenses, generando fraude por clic, en el que la misma Google se está viendo afectada al perder tráfico e ingresos publicitarios. En otras ocasiones el fraude no llega a detectarse y es el propio anunciante final el afectado que termina pagando por un anuncio (clic) que nunca fue realmente visitado. El exótico nombre de Bahama viene de que originalmente el tráfico de esta botnet se redirigía a través de dominios web de las Bahamas, aunque en la actualidad ya utiliza sitios de otros países.
- Asprox: es una red de ordenadores hackeados que ha vuelto a operar, infectando sitios y atacando los PC de sus víctimas después de algunos meses de inactividad. Asprox funciona colocando un bit de código JavaScript en el sitio web hackeado. Este código genera un elemento HTML invisible denominado iFrame, que a su vez lanza el código de ataque.
- Mega-D (también conocida como Ozdok) y Srizbi: son botnets que se reparten el dudoso honor de enviar la mayor parte del spam que circula diariamente en Internet. En estos dos últimos años las estadísticas han variado con frecuencia, según aparecían nuevas redes o se cerraban servidores, pero ambas han alcanzados picos de hasta un 35% y un 50% (respectivamente) del spam diario. Con cifras que alcanzaban hasta los más de 60.000 millones de mensajes de spam diarios.
Las cifras son preocupantes
Resulta complicado tener datos fiables del nivel actual de sistemas zombis o los pertenecientes a una botnet concreta. A pesar de ello se ha llegado a detectar hasta más de 100 millones de equipos en todo el mundo infectados por bots, por lo que incluso se puede presuponer que más de 150.000 sistemas se ven infectados diariamente y se incorporan alguna botnet.
Para complicarlo más, es habitual en análisis de equipos infectados detectar patrones de poli-infección, es decir infectado por múltiples familias de malware, de tal forma que incluso un mismo ordenador puede pertenecer a más una botnet.
Otro dato preocupante, es el tiempo que un sistema puede llegar a alcanzar integrado en una botnet, que puede llegar a superar hasta los dos años, aunque el tiempo medio de infección se sitúa en torno a los diez meses. Pero incluso se puede afirmar que un 80% de los equipos han llegado a estar infectados durante más de un mes.
Si bien estos tiempos pueden variar mucho en función del país en que se aloje el sistema infectado, lógicamente es un tiempo que varía en función de la cultura informática del usuario, su disponibilidad para instalar un antivirus o para actualizarlo periódicamente.
El problema de los bots y las infecciones por este tipo de malware no es algo que sólo deba preocupar a los usuarios domésticos (según los estudios un 75% de los sistemas comprometidos pertenecen a usuarios particulares), porque el 25% restante son direcciones pertenecientes a dominios corporativos. Sin embargo hay que tener en cuenta que generalmente en estos casos la dirección visible es el gateway empleado como salida a la red, único para toda la empresa, por lo que resulta complicado estimar el número total de sistemas infectados que pueden encontrarse dentro, lo que sin duda puede elevar ese índice de infección esponencialmente.
No todos los bots son maliciosos
Aunque pueda parecer que hay multitud de bots asociadas a botnets con propósito malicioso, no todos los bots que se crean o que circulan en Internet son malware o tienen un fin malintencionado.
Los bots tienen su origen en el IRC, y en estas redes de chats su fin no tenía ningún fin malicioso, sino que se pensaron como una forma de mantener un usuario automático (o robot) capaz de mantener un canal abierto y evitar que fuera cerrado o tomado por otros usuarios ajenos a los habituales usuarios del canal. Así, estos bots se crearon específicamente para el IRC y poder mantener canales, nombres de usuarios y otras funcionalidades propias de cada red IRC.
También son conocidos las «arañas» que emplean los buscadores para indexar las nuevas páginas. Un ejemplo es Googlebot, el robot que utiliza Google para recorrer de forma automática todas las páginas web, e indexar su contenido.
No son los únicos, otros sitios como Wikipedia emplean bots para realizar automáticamente funciones de edición. Y en videojuegos, especialmente en los juegos on-line multijugador, es habitual encontrar bots que son capaces de jugar automáticamente y por sí mismos mientras el jugador se toma un descanso. Y también hay bots conversacionales, capaces de atender sistemas de atención a usuarios en los call centers, mantener una conversación y responder las dudas que el usuario plantea.
Pero dicho lo cual, no está de más extremar la prudencia cuando nos encontremos en uno de estos entornos, y sobre todo tener permanentemente actualizados nuestros sistemas de control y seguridad.
Por Luis Corrons, director Técnico de PandaLabs