Llegamos a ustedes gracias a:



Reportajes y análisis

¿Qué es una botnet? Y por qué no van a desaparecer pronto

[15/01/2018] Las botnets actúan como un multiplicador de fuerza para atacantes individuales, grupos de ciberdelincuentes y estados que buscan interrumpir o ingresar en los sistemas de sus objetivos. Por definición, son una colección de cualquier tipo de dispositivo conectado a Internet que un atacante haya comprometido. Comúnmente utilizadas en ataques distribuidos de denegación de servicio (DDoS), las botnets también pueden aprovechar su poder de cómputo colectivo para enviar grandes volúmenes de correo no deseado, robar credenciales a escala o espiar a personas y organizaciones.

Los actores malintencionados crean botnets infectando los dispositivos conectados con malware, y luego administrándolos mediante un servidor de comando y control. Una vez que un atacante ha comprometido un dispositivo en una red específica, todos los dispositivos vulnerables en esa red corren el riesgo de ser infectados.

Un ataque de botnet puede ser devastador. El año pasado, la red de bots Mirai cerró las principales secciones de Internet, incluyendo Twitter, Netflix, CNN y otros sitios importantes, así como los principales bancos rusos y todo el país de Liberia. La botnet aprovechó los dispositivos no seguros de Internet de las cosas (IoT, por sus siglas en inglés), como cámaras de seguridad, para instalar malware que luego atacó los servidores DYN que enrutan el tráfico de Internet.

La industria se despertó y los fabricantes de dispositivos, reguladores, compañías de telecomunicaciones y proveedores de infraestructura de Internet, trabajaron en conjunto para aislar los dispositivos comprometidos, eliminarlos o aplicarles parches, y asegurarse de que una botnet nunca se pueda construir nuevamente.

Es una broma. Nada de eso sucedió En cambio, las botnets siguen llegando.

De acuerdo con un informe de seguridad en Internet de Akamai, lanzado el mes pasado, las botnets no solo siguen vivas, sino que se han vuelto más inteligentes y más difíciles de combatir. Por ejemplo, los atacantes ahora usan Fast Flux DNS, cambiando la información de DNS tan rápidamente, que los defensores tienen dificultades para rastrearlos e interrumpirlos.

Mientras que Akamai fue parte de la batalla para controlar los ataques Mirai del año pasado, Mirai aún está presente, con dos ataques DDoS que superan los 100Gbps en el último trimestre, informó Akamai. Además, están apareciendo nuevas botnets.

A fines del año pasado, los investigadores de Check Point, dijeron que habían descubierto una nueva botnet, conocida como "IoTroop" y "Reaper", que está comprometiendo los dispositivos de IoT a un ritmo aún más rápido que Mirai. Tiene el potencial de eliminar todo la Internet, una vez que los propietarios las ponen a trabajar.

Mirai infectó dispositivos vulnerables que usaban nombres de usuario y contraseñas por defecto. Reaper va más allá, apuntando al menos a nueve vulnerabilidades diferentes de casi una docena de diferentes fabricantes de dispositivos, incluidos los principales jugadores como D-Link, Netgear y Linksys. También es flexible, ya que los atacantes pueden actualizar fácilmente el código botnet para hacerlo más dañino.

Por qué no podemos detener las botnets

Los desafíos para cerrar las botnets incluyen la disponibilidad generalizada y las compras constantes de dispositivos inseguros, la casi imposibilidad de simplemente bloquear las máquinas infectadas fuera de Internet, y la dificultad para rastrear y enjuiciar a los creadores de botnets. Cuando los consumidores van a una tienda a comprar una cámara de seguridad u otro dispositivo conectado, miran las características, buscan marcas reconocibles y, lo más importante, miran el precio.

La seguridad rara vez es una consideración importante. "Como los dispositivos IoT son tan baratos, la probabilidad de que exista un buen plan de mantenimiento y actualizaciones rápidas es baja", señala Ryan Spanier, director de investigación de Kudelski Security.

Mientras tanto, a medida que las personas continúan comprando dispositivos inseguros de bajo costo, la cantidad de puntos finales vulnerables sigue aumentando. Gartner estimaba que habría 8.400 millones de dispositivos conectados en uso para fines del año pasado, y que se duplicará con creces en el 2020, a 20.400 millones.

No hay mucha motivación para que los fabricantes cambien, señala Spanier. La mayoría de los fabricantes no tienen ninguna consecuencia en la venta de dispositivos inseguros. "Aunque eso está empezando a cambiar en el último año", añade. "El gobierno de los EE.UU. ha multado a un par de fabricantes".

Por ejemplo, en enero, la FTC demandó a D-Link por vender routers y cámaras IP llenas de defectos de seguridad conocidos y prevenibles, como las credenciales de inicio de sesión codificadas. A principios del otoño (septentrional) pasado, sin embargo, un juez federal desestimó la mitad de las quejas de la FTC, porque la FTC no pudo identificar ninguna instancia específica en la que los consumidores hubieran sufrido daños.

Detección de botnets: Dirigiendo el tráfico

Por lo general, las botnets son controladas por un servidor de comando central, por lo que, en teoría, derribar ese servidor y luego seguir el tráfico hasta los dispositivos infectados para limpiarlos y asegurarlos, debería ser un trabajo sencillo. Pero es cualquier cosa menos que fácil.

Cuando la botnet es tan grande que tiene un impacto en Internet, los ISP pueden unirse para tratar de descubrir qué está pasando y frenar el tráfico. Ese fue el caso con la botnet Mirai, señala Spanier. "Cuando es más pequeña, algo así como correo no deseado, no veo que los proveedores de servicios de Internet se preocupen tanto", afirma. "Algunos ISP, especialmente para usuarios domésticos, tienen formas de alertar a sus usuarios, pero es una escala tan pequeña que no va a afectar a una red de bots. También es muy difícil detectar el tráfico de botnets. Mirai fue fácil debido a cómo se estaba propagando, y los investigadores de seguridad compartían información lo más rápido posible".

Los problemas de cumplimiento y privacidad también están involucrados, señala Jason Brvenik, CTO de NSS Labs, Inc., así como aspectos operativos. Un consumidor puede tener varios dispositivos en su red que comparten una sola conexión, mientras que una empresa puede tener miles o más. "No hay forma de aislar lo que se ve afectado", indica Brvenik.

Las redes de bots intentarán disfrazar sus orígenes. Por ejemplo, Akamai ha estado rastreando una botnet que tiene direcciones IP asociadas con las compañías Fortune 100 -direcciones que los sospechosos de Akamai probablemente hayan falsificado.

Algunas empresas de seguridad están tratando de trabajar con los proveedores de infraestructura para identificar los dispositivos infectados. "Trabajamos con los Comcast, los Verizons, todos los ISP del mundo, y les decimos que estas máquinas están hablando a nuestro pozo y tienen que encontrar a todos los propietarios de esos dispositivos y remediarlos", anota Adam Meyers, vicepresidente de inteligencia en CrowdStrike, Inc.

Eso puede involucrar a millones de dispositivos, donde alguien tiene que salir e instalar parches. A menudo, no hay una opción de actualización remota. Muchas cámaras de seguridad y otros sensores conectados están en ubicaciones remotas. "Es un gran desafío arreglar esas cosas", añade Meyers.

Además, es posible que algunos dispositivos ya no sean compatibles, o que se creen de tal forma que no sea posible parcharlos. Los dispositivos generalmente siguen haciendo el trabajo incluso después de que están infectados, por lo que los propietarios no están particularmente motivados para tirarlos y obtener nuevos. "La calidad del video no baja tanto como para necesitar reemplazarlo", indica Meyers.

A menudo, los propietarios de los dispositivos nunca descubren que han sido infectados y son parte de una botnet. "Los consumidores no tienen controles de seguridad para monitorear la actividad de botnets en sus redes personales", señala Chris Morales, jefe de análisis de seguridad de Vectra Networks, Inc.

Las empresas tienen más herramientas a su disposición, pero detectar botnets no suele ser una prioridad, agrega Morales. "Los equipos de seguridad priorizan ataques dirigidos a sus propios recursos, en lugar de ataques que emanan de su red a objetivos externos", comenta.

Los fabricantes de dispositivos que descubren un defecto en sus dispositivos de IoT que no pueden parchar pueden, si están lo suficientemente motivados, retirarlos, pero incluso así, es posible que no tengan mucho efecto. "Muy pocas personas realizan un retiro a menos que haya un problema de seguridad, incluso si hay un aviso", indica Brvenik de NSS Labs. "Si hay una alerta de seguridad en su cámara de seguridad en su camino de entrada, y recibe una notificación, podría pensar: '¿Y qué? ¿Pueden ver mi entrada?'".

Los dragnets de Botnet tienen cierto éxito

Ha habido progreso en cerrar botnets y arrestar a sus creadores, señala Meyers de CrowdStrike. Por ejemplo, la primavera (septentrional) pasada, las autoridades arrestaron a Peter "Severa" Levashov, el hacker detrás de las botnets de spam de Waledac y Kelihos. "Fue arrestado mientras estaba de vacaciones en España", indica Meyers. "Exigió la coordinación entre el Departamento de Justicia, el FBI y la policía española. Hubo mucha cooperación internacional. Además, se requería experiencia técnica para interrumpir la botnet, lo que implicó el envío de algunos expertos técnicos a Alaska para ayudar al FBI con el derribo".

Dependiendo de cómo esté configurada la botnet, su interrupción puede ser más o menos difícil. Los investigadores pueden aprovechar los defectos criptográficos u otros y cerrarla. Sin embargo, si los creadores aún están sueltos, pueden arreglarla y ponerla en funcionamiento nuevamente.

"Con Kelihos, fue interrumpida cinco veces más o menos", señala Meyers. "Pero debido a que el autor de esa red zombi no fue capturado, pudo volver a generarla, en algunos casos horas después de la interrupción. Después de un par de veces, la gente se dio cuenta de que esto no iba a ir a ningún lado hasta que atrapáramos al autor".

En otro signo de progreso, las agencias de aplicación de la ley que trabajan con Eset y Microsoft eliminaron 464 botnets en noviembre pasado, asociadas con 1.214 dominios de comando y control y 80 familias de malware. El desmontaje resultó en un arresto de una persona en Bielorrusia.

Según Eset, este grupo en particular ha existido desde el 2011, con kits de botnets listos para usar que se venden en la web oscura, conocidos como Andromeda, Gamarue y Wauchos. Estas botnets fueron responsables de infectar a más de 1.1 millones de sistemas por mes.

Los grupos de aplicación de la ley comenzaron a trabajar para eliminarlos en el 2015, comenta Jean-Ian Boutin, investigador senior de malware de Eset, LLC. "Este tipo de operación lleva tiempo", añade. Durante ese tiempo, los equipos de seguridad analizaron miles de muestras de Andromeda. "En base a esto, creemos que esta operación provocó la interrupción de todas las botnets de Andromeda actuales". Sin embargo, dado que el kit se vende en foros subterráneos, alguien más podría comenzar una nueva botnet de Andromeda desde cero, agrega.

Otro equipo de investigadores, en Recorded Future, Inc., también es pesimista sobre el hecho de que la botnet se haya ido para siempre. "Varios grupos independientes participaron en la distribución de Andrómeda", señala Alex Solad, analista de seguridad de Recorded Future. "Creemos que en el corto plazo la botnet seguirá operando, aunque la ausencia de apoyo continuo obstaculizará significativamente su proliferación".

Solad agrega que a pesar de que Bielorrusia mantiene fuertes lazos con Rusia, recientemente ha aumentado su participación en investigaciones criminales internacionales. También tiene las sentencias más estrictas para los delitos informáticos en cualquier parte de la Commonwealth, que incluye a Rusia y las ex repúblicas soviéticas aliadas.

Recorded Future también identificó al hombre detrás de la botnet como Jarets Sergey Grigorevich, también conocido como "Ar3s". Además de ser el cerebro de Andrómeda, también es un administrador de larga data del foro DamageLab. Boutin de Eset dice que su empresa no puede confirmar que Grigorevich fue arrestado, y las agencias policiales involucradas tampoco han divulgado el nombre.

Un largo camino hacia una solución permanente a las botnets

El problema es que no ha habido tantos arrestos, señala Meyers. "El hacker ruso Evgeniy Bogachev fue señalado en junio del 2014 en los ataques de Gameover Zeus, y todavía está prófugo en algún lugar de Rusia", señala. "Muchos de estos tipos no tienen que preocuparse por los arrestos. Si trabajan en Rusia y no atacan a los sistemas rusos, pueden actuar con impunidad".

La solución permanente del problema de las botnets requiere un enfoque global del delito cibernético, además de los desafíos técnicos, indica Daniel Miessler, director de servicios de asesoramiento de IOActive, Inc. Eso no sucederá en el futuro previsible. "Las botnets son una enfermedad emergente que existe debido a las vulnerabilidades e incentivos que existen dentro de la sociedad", señala. "Hasta que los arreglemos, deberíamos esperar botnets y otras intersecciones emergentes entre la malicia y la vulnerabilidad, para ser co-pasajeros permanentes".

Además de crear un sistema común para la aplicación de la ciberdelincuencia en todo el mundo, también es necesario que existan regulaciones estándar para los fabricantes, lo que requiere un cierto nivel de seguridad mínima en los dispositivos IoT. "Cualquier regulación también debe aplicarse a todos los fabricantes, ya que muchos mercados tienden a inundarse con dispositivos muy baratos producidos en regiones donde las leyes de Internet son muy laxas o inexistentes", indica Rod Soto, director de investigación de seguridad de Jask, un emprendimiento de ciberseguridad de inteligencia artificial (IA, por sus siglas en inglés).

Es difícil imaginar que todas las naciones del mundo y las industrias afectadas se unan y acuerden un enfoque común, y luego lo apliquen, añade Igal Zeifman, evangelista de productos de Incapsula, Inc. "Todas las iniciativas para combatir el crecimiento de redes de bots a través de estándares industriales y legislación, probablemente continúen ocurriendo solo a nivel regional o nacional", señala.

Eso significa que incluso si los países individuales pueden ralentizar el crecimiento de botnets en sus regiones, todavía habrá muchos otros lugares donde puedan crecer. "Teniendo en cuenta la naturaleza global de Internet, esto significa que los ataques de botnet seguirán representando una amenaza para los negocios digitales y la comunidad en línea durante muchos años", finaliza Zeifman.

Puede ver también