| Artículos | 01 FEB 2007

Redes Zombi: el ataque con control remoto

Tags: Histórico
Malware instalado en nuestro pc para cometer actividades delictivas
Arantxa Herranz.
Nuestro ordenador puede estar enviando mensajes de correo electrónico publicitarios no deseados (spam) o ataques de denegación de servicio sin que nosotros queramos ni seamos conscientes de ello. Somos, pues, parte de una red zombi (también conocidas como botnet), que no son fáciles de detectar y suponen una herramienta multiuso para los delincuentes. Para algunos, es el mayor reto de seguridad al que tenemos que hacer frente y el paraíso para los piratas de la Red.

Si con anterioridad los atacantes informáticos buscaban la mayor publicidad posible de sus “hazañas”, puede decirse que ahora se persigue justamente lo contrario: ser silenciosos, no hacer mucho ruido para conseguir infectar el mayor número de máquinas posibles durante el máximo tiempo permitido. Pues bien, las denominadas redes zombi (o botnet) son el aliado perfecto para estos atacantes, puesto que consiguen tener controlado un gran número de ordenadores a través de los cuales lanzar todo tipo de ataques sin que, además, el usuario de esos PC sea consciente del uso que se le está dando a su equipo.

Qué es un botnet
Un botnet, red robot o red zombi, consiste en un cierto número de ordenadores infectados con determinado código maligno y que, sin el conocimiento de sus propietarios, se utilizan para enviar programas maliciosos, como spam y spyware e incluso ataques de denegación de servicio, hacia otros PC conectados a Internet. A cada uno de estos ordenadores afectados se les conoce como bot y de ahí la denominación de botnet. Al “administrador” de estas redes zombi se le denomina botmaster.
Estas redes son la herramienta más deseada por los delincuentes cibernéticos ya que, por decirlo de alguna manera, son multiusos: los ordenadores infectados pueden utilizarse para diversos propósitos, desde un ataque de denegación de servicio, ingeniería social y otros relacionados, como el envío masivo de spam, ataques remotos o a través de keyloggers (ladrones de contraseñas), así como espías del tráfico de la red (traffic sniffers).
El peligro de estas redes es que tienen el potencial y la capacidad de llevar a cabo una gran variedad de ataques y contra un gran número de objetivos, y es por ello por lo que son una herramienta tan “jugosa” para estos criminales. Por si fuera poco, hay que apuntar que estos botnets continúan creciendo en número, sofisticación y capacidad de ejecución.
Aunque en un primer momento estas redes se utilizaron sobre todo para ataques de denegación de servicio, lo cierto es que, en estos momentos, el principal uso que se les da es el envío de spam, dado que, tal y como constatan expertos en seguridad, las víctimas no pueden rastrear el spam desde la fuente para tomar acciones legales. A esto habría que añadir que algunos de estos mensajes de correo no solicitados también incluyen código que explota vulnerabilidades de software lo que, a su vez, genera nuevos daños.

Economía sumergida
Como decimos, estas redes zombi se emplean en estos momentos para, sobre todo, enviar spam, aunque tampoco son ajenas a otro tipo de actividad delictiva, como los ataques tipo phishing. Las posibilidades, pues, de estas herramientas delictivas son tales que se ha llegado a crear todo un mercado negro alrededor de las botnet. De hecho, en internet se pueden localizar páginas en las que se vende o alquila estas redes zombi (estando su precio en función del número de ordenadores que se llegan a controlar).
Por todo esto, las redes zombi son en este momento la mayor amenaza a la que tiene que hacer frente la industria de seguridad, según diversos responsables en esta materia. El aumento de este tipo de peligros parece imparable a tenor de los datos que facilitan las empresas de seguridad. Así, por ejemplo, Symantec contabilizaba más de 4,5 millones de ordenadores zombi durante los seis primeros meses del pasado 2006, además de constatar que este tipo de malware es cada vez más atractivo para los criminales cibernéticos. Sin embargo, apenas seis meses más tarde, McAfee, y según se desprende de un estudio realizado en colaboración con diversos cuerpos de seguridad de diversos países, habla de 12 millones de ordenadores sujetos a este tipo de malware.
Además, estos mismos expertos no dudan en asegurar que las redes zombi están cambiando la economía del cibercrimen: se han convertido ya en la primera fuente emisora de spam (ya que este tipo de atacantes pueden obtener un ancho de banda casi ilimitado gracias a estos zombis). Dado, además, que los spammers no tienen que pagar por los mensajes que envían, pueden adjuntar documentos de cierto peso, como imágenes. Por otro lado, al utilizar estas redes distribuidas, resulta más complicado para los fabricantes de antivirus identificar y bloquear a los ordenadores emisores de spam.
Se calcula que, en estos momentos, hay cerca de 50.000 ordenadores enviando spam y contenido maligno en cualquier momento (algunas fuentes aseguran que entre el 50 y el 80 por ciento del spam enviado procede de estas redes zombi), aunque para varios expertos en seguridad, la mayoría de estos ordenadores zombi tiene un patrón de conducta por el que “trabajan” durante 45 minutos, transcurridos los cuales dejan de trabajar, lo que dificulta aún más las labores de identificación.
Por todo esto, para muchos la motivación de este tipo de redes es claramente económica, puesto que los botmanager de estas redes venden sus servicios a terceros, “siendo más valorables estos servicios cuanto mayor sea la capacidad de la red zombi a la hora de generar correos publicitarios abusivos u otros ataques”, en palabras de Miguel López, director de canal de Aladdin España.

Cómo se comporta un zombi
Bien, pero, ¿cómo se comporta un ordenador zombi? ¿Cómo podemos detectar que hemos sido infectados? Pues, como hemos mencionado anteriormente, resulta complicado detectar estas redes zombi puesto que suelen ser silenciosas y, aunque el rendimiento de nuestro PC puede verse alterado, según la mayoría de los consultados por esta redacción estas variaciones son mínimas. Además, para muchos, parte del problema también reside en que, debido a la popularización de la banda ancha, el consumo que llega a hacer este programa zombi de nuestros recursos puede no apreciarse con total claridad. En cualquier caso, si detectamos cualquier tipo de merma en el rendimiento, observamos envíos de correo no deseados, desaparición de archivos, modificación de documentos o acciones no solicitadas, entonces se deberían encender las primeras alarmas y sospechar que nuestro PC está infectado.
En cualquier caso, Eusebio Nieva, director técnico de Check Point para España y Portugal, sí que ofrece algunos consejos prácticos. Así, y además de recomendar la utilización de programas detectores de código malicioso como spyware, rootkits o virus, podemos intentar la detección a través del uso no autorizado de recursos. Por ejemplo, uno de los usos más extendidos de las redes zombis es el de ser generadores de spam, por lo tanto “si observamos un tráfico no adecuado desde nuestro PC (en este caso SMTP) es una indicación de que algo anómalo se está produciendo en nuestro equipo. Es decir, debemos estar atentos a los protocolos y usos no debidos de la red por parte de nuestro equipo. Para ello, los cortafuegos personales que determinan el tráfico que puede ser generado por cada

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información