Qué es una botnet

Una botnet es una red de múltiples dispositivos infectados con malware y bajo control remoto del atacante. Cada dispositivo infectado se denomina "bot" o "zombie" y opera siguiendo las órdenes del atacante sin que su propietario lo sepa.

Las botnets pueden alcanzar desde miles hasta millones de dispositivos, y su capacidad colectiva se explota para ataques DDoS, envío masivo de spam, minería de criptomonedas y robo de información personal.

Servidor C&C y mecanismo de control

El núcleo de una botnet es el servidor C&C (Command and Control). El atacante envía órdenes simultáneas a todos los dispositivos infectados a través de él.

Uno o pocos servidores C&C controlan todos los bots. Simple y rápido, pero si se identifica el C&C, toda la botnet queda neutralizada.

Los bots retransmiten órdenes entre sí en red P2P. Sin servidor central, extremadamente difícil de neutralizar.

Los bots generan automáticamente dominios aleatorios basados en la fecha para encontrar el C&C. Dificulta el bloqueo preventivo de dominios.

Principales usos maliciosos

Ataques DDoS: Miles a millones de bots envían solicitudes simultáneas al servidor objetivo. Mirai atacó al proveedor DNS Dyn en 2016, dejando inaccesibles Twitter, Netflix y Reddit durante horas.
Spam y phishing masivo: Usando múltiples IPs de bots para evadir listas negras.
Credential stuffing: Prueba automática de credenciales filtradas en múltiples servicios.
Minería de criptomonedas (cryptojacking): Usa CPU/GPU de dispositivos infectados sin consentimiento para minar criptomonedas.

Mirai - Punto de inflexión en la era IoT

Mirai (2016) es el caso emblemático que reveló la amenaza de las botnets al mundo. Atacó dispositivos IoT (cámaras de red, routers, DVR) en lugar de PCs. Escaneó dispositivos con contraseñas por defecto (admin/admin, root/root) vía Telnet, infectando cientos de miles con apenas unas decenas de contraseñas.

La publicación del código fuente de Mirai generó numerosas variantes, y la amenaza de botnets IoT continúa. Este incidente demostró que la seguridad de dispositivos IoT está directamente vinculada a la estabilidad de internet.

Medidas de prevención

Actualizar OS y firmware: La medida más básica contra infección por vulnerabilidades. Incluir routers y dispositivos IoT.
Cambiar contraseñas por defecto: Lección de Mirai. Cambiar contraseñas iniciales en todos los dispositivos conectados a la red.
Cerrar puertos innecesarios: Cerrar Telnet (23) y SSH (22) si no se necesitan externamente.
Configurar firewall: Detectar y bloquear comunicaciones salientes sospechosas (conexiones al C&C).
Monitorización de red: Detectar patrones de tráfico anómalos (comunicación masiva nocturna, conexiones periódicas a IPs desconocidas).

En entornos empresariales, la segmentación de red para aislar dispositivos IoT de la red corporativa también es efectiva.

Conceptos erróneos comunes

Solo los PCs se infectan con botnets: Desde Mirai, los dispositivos IoT (routers, cámaras, electrodomésticos inteligentes) son objetivos principales. Suelen tener actualizaciones de seguridad deficientes y pueden ser más vulnerables que los PCs.
Si estoy infectado, lo notaré enseguida: Los bots están diseñados para pasar desapercibidos. Mantienen bajo consumo de CPU y red, comportándose normalmente. Solo se activan al recibir órdenes de ataque.
Con antivirus estoy seguro: El antivirus es efectivo para PCs, pero la mayoría de dispositivos IoT no admiten software de seguridad. Son imprescindibles medidas específicas por dispositivo: actualizar firmware y cambiar contraseñas.

Botnet