Las botnet representan una de las amenazas cibernéticas más persistentes y complejas del panorama actual. Aunque a menudo invisibles para el usuario común, estas redes automatizadas son, según Josep Albors, director de investigación y concienciación de ESET España, «un conjunto de dispositivos que son controlados de forma maliciosa», puesto que los dispositivos se ven comprometidos sin el conocimiento o consentimiento de sus propietarios.

¿Cómo funciona una botnet?

Una botnet se compone de un «bot header» o «controlador» (individuo o grupo que controla la red) y los «bots» (dispositivos infectados). Estos bots pueden ser ordenadores personales, dispositivos IoT (Internet de las Cosas) como cámaras de seguridad o routers, e incluso servidores. Una vez que un dispositivo es infectado, el controlador puede enviar comandos a los bots para realizar diversas tareas maliciosas.

Eusebio Nieva, director técnico de Check Point Software para España y Portugal, explica que «tu ordenador al final puede ser parte de una botnet sin ser consciente» porque toman el control de los dispositivos que hay conectados a la red. Esta vulnerabilidad se ve agravada por la falta de actualizaciones de seguridad y las configuraciones predeterminadas en muchos dispositivos. Nieva advierte que los dispositivos IoT son particularmente vulnerables, ya que «generalmente tiene una configuración por defecto y no se cambia cuando se pone en marcha», lo que hace que esos dispositivos son uno de los principales vectores de ataque».

Usos maliciosos

Las botnets se utilizan para una amplia gama de actividades ilícitas. Uno de los usos más comunes es el ataque de denegación de servicio distribuido (DDoS), donde la botnet inunda un servidor o red con tráfico malicioso, dejándolo inaccesible para los usuarios legítimos. Albors explica que «se utilizan miles, incluso en algunos casos, decenas de miles de dispositivos» para realizar peticiones a una página web y dejarla totalmente fuera de juego. Este sería un ataque de los más sencillos que se pueden hacer.

Además de los ataques DDoS, las botnets también se utilizan para el envío masivo de spam y para orquestar campañas de «phishing», intentando engañar a usuarios para que revelen información sensible. También se emplean en la minería de criptomonedas, aprovechando la potencia de cálculo de los dispositivos infectados, y en el robo de datos, accediendo a información confidencial almacenada en los dispositivos comprometidos. Finalmente, son una herramienta para la distribución de malware, propagando virus, troyanos y otro software malicioso.

La pregunta de quiénes están detrás de las botnets es compleja y varía según el caso. Albors señala que «podemos ver entramados criminales que son cada vez más avanzados», pero también «pocas personas que lo están haciendo para ganarse un dinero de forma sencilla». Nieva coincide en que «últimamente, lo que estamos detectando es que detrás hay un grupo cibercriminal».

En algunos casos, estos grupos pueden tener conexiones con estados o gobiernos, lo que añade una dimensión geopolítica a la amenaza.

¿Cómo podemos protegernos de las botnets?

►La prevención es clave. Algunas medidas que se pueden tomar incluyen mantener el software actualizado, utilizar contraseñas seguras, tener cuidado con los correos electrónicos sospechosos y emplear un software antivirus. Además, es importante cambiar las contraseñas predeterminadas de los dispositivos IoT.

Además, los ciberdelincuentes están utilizando la Inteligencia Artificial (IA) para automatizar y mejorar sus ataques, de manera que reducen el número de personas implicadas. Por otro lado, la IA también se está utilizando para detectar y combatir las botnets, gracias a la recopilación, análisis y la clasificación de datos, que permiten detectar y paralizar determinados ataques.