Hablamos casi cada semana sobre botnets, y me da la impresión de que no somos conscientes de las implicaciones que esto tiene a nivel de la complejidad que suponen y de los retos a los que la tecnología debe enfrentarse.
Las botnets al uso apenas tienen una década de historia, y nacieron presumiblemente con respuesta a un escenario cada vez más conectado que no había sido creado de base con el objetivo de ofrecer una capa de seguridad a nivel de infraestructura.
Una botnet es, como ya hemos explicado en más de una ocasión, un grupo de dispositivos que, mediante un centro de control, se les insta a realizar una serie de acciones a expensas del conocimiento de sus dueños. Es decir, que en sí la creación de una botnet no es más que un primer paso dentro del negocio de los cibercriminales: infectar dispositivos de terceros para hacer con ellos algo (otros ataques) que les repercutirá, presumiblemente, beneficios económicos.
Y son efectivas porque como decíamos, la amplia mayoría de dispositivos conectados a la red no cuentan ni siquiera con las medidas de seguridad adecuadas. Hablamos de millones de ordenadores y móviles que corren versiones anticuadas (e incluso piratas) del sistema operativo, con una capa de software de aplicaciones y herramientas que tampoco está actualizada a la última versión (y por ende es susceptible de convertirse en un posible vector de ataque), y son utilizados por usuarios que, salvando contadas excepciones, no tienen los conocimientos mínimos sobre riesgo y fraude digital necesarios para enfrentarse a un territorio tan hostil como es el Internet de nuestros días.
Junte ahora todo esto a la siguiente frontera: el Internet de las Cosas. Si la seguridad de los dispositivos “tradicionales” queda en entredicho por una mala praxis por parte de los usuarios, imagínese si en la ecuación incluimos a miles de millones de nuevos dispositivos en los que ya no es solo que el usuario no haya querido/podido configurar adecuadamente, sino que de base (en su fase de diseño) no se ha tenido ni siquiera en consideración la implementación de medidas de seguridad básicas.
Un nuevo ejército de productos anteriormente ajenos a la pseudointeligencia que ofrece la conectividad que de pronto acaban teniendo un procesador y una salida a Internet, que se venden a precio de coste sin haber considerado los riesgos a los que ahora deben enfrentarse.
Era simplemente cuestión de tiempo que surgiera una botnet como Mirai. Una herramienta maliciosa encargada de sistemáticamente buscar dispositivos IoT expuestos sin seguridad alguna en la Red para hacerse con el control de los mismos.
¿Que el router de casa, o mi lavadora inteligente, no les va a servir de nada a unos ciberdelincuentes? Gracias a todos esos dispositivos conectados sin medidas de seguridad Mirai fue capaz de probar los límites que tiene la Red, tumbando en cuestión de horas la mayoría de grandes servicios que utilizamos a diario, como es el caso de Twitter y Netflix.
Ahora imagínese qué hubiera ocurrido si en vez de ser servicios digitales, hubiera atacado infraestructuras críticas de un país, como puede ser la depuradora de agua que se encarga de potabilizar el agua que le llega a su casa, o la central de suministro energético que le permite a usted poner la calefacción en invierno. O, por qué no, el sistema de circulación de la ciudad donde vive.
Índice de contenido
¿Para qué puede llegar a utilizarse una botnet?
Conocido el riesgo, ahora toca preguntarse qué negocio puede haber tras de sí.
1.- Botnets publicitarias
La primera parada es obvia. Proliferan, y de qué manera, botnets cuyo cometido es transformar nuestro dispositivo en un terminal zombie que bajo demanda haga peticiones a páginas o servicios web monetizados con publicidad.
Como seguramente ya sepa, la industria publicitaria sigue siendo hoy en día el principal modelo de negocio de los negocios digitales. Una industria basada, como ya he explicado en alguna otra ocasión, en la más absurda de las bases: los números brutos. Básicamente, si un medio donde se muestra la publicidad recibe 1000 impresiones (ergo, 1000 conexiones por parte de usuarios), y otro 10000, el segundo cobrará (más o menos, que esto depende también de otros factores) 10 veces más que el primero. Indistintamente de la calidad de esas impresiones.
De ahí que muchas páginas y servicios digitales apuesten por intentar atraer el mayor número de visitantes. Cosa que por ejemplo se puede conseguir primando cantidad de contenido frente a calidad (más vectores de interés tienen potencialmente más capacidad de atracción que menos, aunque estos sean quizás de mayor calidad), o utilizando estrategias de clickbaiting que han demostrado por activa y por pasiva ser útiles (“vea este vídeo y se sorprenderá lo que va a ocurrir después”, “las 10 cosas que todo emprendedor debe conocer para ganar 10000 dólares al mes desde casa”,…).
Una botnet en este caso puede redirigirnos de forma sencilla cientos, miles o incluso millones de peticiones de conexión a servicios monetizados por publicidad. Cientos, miles o incluso millones de visitas que vienen de “usuarios reales” (no son bots, son conexiones de un dispositivo real al servidor donde está alojado el servicio), y por tanto, inflan sobremanera los beneficios que obtienen los cibercriminales por medio de la publicidad, bien sea de forma totalmente opaca al usuario (como mucho éste se dará cuenta que su dispositivo le dura dramáticamente menos la batería), como de forma activa (el dispositivo empieza a mostrar muchísima más publicidad que el propio usuario debe cerrar).
2.- Botnets de evasión de filtros de spam
Otro uso muy habitual por parte de estas herramientas es la creación de un número alto de potenciales vectores para el envío de publicidad considerada spam por parte de los gestores de correo o sistemas de comentarios en servicios digitales.
Es decir, en este caso los cibercriminales viven de ofrecer a terceros, o monetizar ellos mismos, contenido que publican desde los terminales de las víctimas que forman parte de la botnet.
Algunas veces se trata del envío de spam bypaseando los filtros que tienen grandes plataformas de email como es GMail o Outlook, al venir esos emails realmente de cientos o miles de fuentes distintas. Otras el negocio se basa en publicar de forma automática comentarios, presumiblemente con enlaces incluidos a páginas monetizadas con publicidad o con malware, de forma masiva en páginas webs, con la esperanza de que los filtros anti-spam que habitualmente tenemos los administradores de servicios digitales no consigan localizar dichos comentarios como lo que son. En otras ocasiones, son utilizados para el envío de campañas de phishing, amparándose como en casos anteriores en que el envío realmente viene de tantísimas fuentes distintas que lo mismo hace que éste pase así los controles de seguridad del software utilizado por la víctima objetivo.
3.- Botnets de denegación de servicio
Los ataques DDoS o de denegación de servicio son un modelo de negocio alternativo, y que sigue siendo tan lucrativo como hace unos años.
En este caso, los cibercriminales dueños de una botnet ofrecen a terceros la capacidad de tumbar un servicio digital durante X horas, ya sea mediante contratación directa (el cliente les contrata para que lo hagan), o ya sea mediante modelos de pago por servicio (es el propio cliente quien entra en el centro de control de la botnet y realiza mediante una interfaz que no requiere conocimientos técnicos el bloqueo del servicio objetivo, presumiblemente la competencia o una organización/país/entidad enemiga).
Habitualmente este tipo de acuerdos se pagan en base al tiempo y la dificultad (potencia necesaria) que el cliente pide para tumbar un servicio específico. En el ataque, todos los terminales zombies de la botnet se encargan de realizar peticiones de conexión al servidor donde está alojado el servicio. Como realmente son peticiones legítimas (dispositivos de diferentes usuarios que piden acceder al contenido suministrado por ese servidor), éste intenta resolverlas adecuadamente, pero al ser tantas, tiende a bloquearse y dejar fuera de red el contenido, que no podrá ser accesible ni por los terminales de la botnet, ni por las peticiones que realmente están haciendo los clientes legítimos.
A veces esto se realiza con el objetivo de extorsionar a las víctimas objetivo. Otras, simplemente para censurar contenido que resulta molesto a nivel social, político, religioso o económico. Y otras, incluso, como Caballo de Troya para realizar el verdadero ataque (mantener entretenidos al equipo encargado de solucionar el DDoS mientras por otro lado se compromete la seguridad de la organización con la idea de robar información confidencial, instalar malware en sistemas desprotegidos, espionaje industrial…).
4.- Botnets as a service
Amparándose en ese modelo de negocio as a service que tan bien está funcionando en la industria, también existen botnets cuyo objetivo es ofrecer terminales comprometidos a clientes.
Es decir, que una persona pueda contratar X terminales que ya forman parte de una botnet para los objetivos que desee, y que habitualmente pasan por robar credenciales de usuario de las víctimas, espiarlas haciendo uso del micrófono y/o la cámara del dispositivo, y por supuesto instalarles malware.
En este caso la víctima de la botnet es también el objetivo final, por lo que el impacto en la víctima es directo.
5.- Botnets de minado de datos
Para terminar, algunas botnets tienen como objetivo no tanto utilizar el dispositivo como una fuente más de peticiones a servicios de terceros, sino por su propio hardware.
Bajo este prisma, el negocio habitualmente pasa porque el terminal se transforma en un dispositivo de minado de datos, presumiblemente para monetizarlo mediante bitcoins o cualquier otra plataforma lucrativa de minado de datos.
Por si no lo sabe, todo aquel que colabora ofreciendo procesamiento a la red descentralizada de una moneda virtual como es el bitcoin recibe como recompensa un pequeño pago en especie.
Gracias a todos los terminales que además de albergar carteras de clientes, ofrecen su procesamiento para emitir transacciones, el sistema funciona. Si somos capaces de crear un grupo de terminales cuyo objetivo es minar datos, estaremos intercambiando electricidad y cómputo a cambio de dinero.
Esto cada vez es menos rentable (el beneficio económico de este trabajo lleva tiempo no correspondiéndose con el gasto eléctrico y la inversión necesaria de tener decenas o cientos de ordenadores en funcionamiento 24/7), pero, ¿y si quien pone la electricidad y el hardware no somos nosotros sino miles de víctimas?
La cosa cambia, ¿verdad? :P.
Quería, para terminar, dejar claro que una misma botnet puede servir para uno o varios de estos objetivos.
La idea por tanto es aprovechar al máximo todos esos dispositivos comprometidos, por lo que quizás mientras una botnet no es contratada por un cliente, puede estar minando bitcoins, haciendo peticiones masivas a páginas monetizadas con publicidad, o lanzando campañas de phishing con el objetivo de infectar a más dispositivos.
Y la principal defensa es la que ya le he comentado:
- Dispositivos siempre actualizados.
- Medidas de seguridad básicas implementadas (cambiar credenciales de acceso por defecto, revisar configuración inicial, antivirus o herramientas de protección activas…).
- Hacer un uso sensato de la Red (tener cuidado de por dónde navegamos y qué descargamos o hacemos click).
________
Puede ver más artículos de esta serie en #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital.
Y si el contenido que realizo le sirve en su día a día, piense si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.
