Llegamos a ustedes gracias a:



Reportajes y análisis

Qué es una botnet y por qué no van a desaparecer pronto

[08/10/2018] Las redes de bots, o botnet, actúan como un multiplicador de fuerza para atacantes individuales, grupos de ciberdelincuentes y naciones-estados que buscan interrumpir o entrar en los sistemas de sus objetivos. Por definición, son una colección de cualquier tipo de dispositivo conectado a Internet que un atacante haya comprometido.

Comúnmente utilizados en ataques distribuidos de denegación de servicio (DdoS, por sus siglas en inglés), las botnets también pueden aprovechar su poder de cómputo colectivo para enviar grandes volúmenes de correo no deseado, robar credenciales a escala o espiar a personas y organizaciones.

Los actores malintencionados crean botnets infectando los dispositivos conectados con malware, y luego administrándolos mediante un servidor de comando y control. Una vez que un atacante ha comprometido un dispositivo en una red específica, todos los dispositivos vulnerables en esa red corren el riesgo de ser infectados.

Un ataque de botnet puede ser devastador. En el 2016, la red de bots Mirai cerró las principales secciones de Internet, incluyendo Twitter, Netflix, CNN y otros sitios importantes, así como los principales bancos rusos y todo el país de Liberia. La botnet aprovechó los dispositivos no seguros de Internet de las cosas (IoT, por sus siglas en inglés), como las cámaras de seguridad, para instalar malware que luego atacó los servidores DYN que enrutan el tráfico de Internet.

La industria despertó y los fabricantes de dispositivos, reguladores, compañías de telecomunicaciones y proveedores de infraestructura de Internet trabajaron juntos para aislar los dispositivos comprometidos, eliminarlos o aplicarles parches, y asegurarse de que nunca se pudiera construir una botnet como ésta.

Es una broma. Nada de eso sucedió. En cambio, las botnets siguen llegando.

Incluso la botnet Mirai todavía está en funcionamiento. De acuerdo con un informe publicado por Fortinet en agosto de este año, Mirai fue una de las botnets más activas en el segundo trimestre.

Desde el lanzamiento de su código fuente hace dos años, las botnets de Mirai incluso han agregado nuevas características, incluida la capacidad de convertir los dispositivos infectados en enjambres de proxis de malware y cryptominers. También continuaron agregando exploits dirigidos a vulnerabilidades tanto conocidas como desconocidas, según Fortinet.

De hecho, el cryptomining está apareciendo como un cambio significativo en el universo de botnets, señala Tony Giandomenico, estratega de seguridad e investigador de Fortinet. Permite a los atacantes usar el hardware de la computadora y la electricidad de la víctima para ganar Bitcoin, Monero y otras criptomonedas. "Es lo más grande que hemos experimentado en los últimos meses", anota. "Los chicos malos están experimentando con cómo pueden usar botnets IoT para ganar dinero".

Mirai es solo el comienzo. En otoño del 2017, los investigadores de Check Point, dijeron que descubrieron una nueva botnet, conocida como "IoTroop" y "Reaper", que está poniendo en peligro los dispositivos IoT a un ritmo aún más rápido que Mirai. Tiene el potencial de eliminar todo la Internet una vez que los propietarios la pongan a trabajar.

Mirai infectó dispositivos vulnerables que usaban nombres de usuario y contraseñas por defecto. Reaper va más allá, apuntando al menos a nueve vulnerabilidades diferentes de casi una docena de diferentes fabricantes de dispositivos, incluidos los principales jugadores como D-Link, Netgear y Linksys. También es flexible, ya que los atacantes pueden actualizar fácilmente el código botnet para hacerlo más dañino.

De acuerdo con la investigación realizada por Recorded Future, Reaper fue utilizada en ataques a bancos europeos este año, incluyendo ABN Amro, Rabobank e Ing.

Por qué no podemos detener a las botnets

Los desafíos para cerrar las botnets incluyen la disponibilidad generalizada y las compras constantes de dispositivos inseguros, la casi imposibilidad de simplemente bloquear las máquinas infectadas fuera de Internet, y la dificultad para rastrear y enjuiciar a los creadores de botnets. Cuando los consumidores van a una tienda a comprar una cámara de seguridad u otro dispositivo conectado, miran las características, buscan marcas reconocidas y, lo más importante, miran el precio.

La seguridad rara vez es una consideración importante. "Como los dispositivos IoT son tan baratos, la probabilidad de que exista un buen plan de mantenimiento y actualizaciones rápidas es baja", señala Ryan Spanier, director de investigación de Kudelski Security.

Mientras tanto, a medida que las personas continúan comprando dispositivos inseguros de bajo costo, la cantidad de puntos finales vulnerables sigue aumentando. La firma de investigación IHS Markit estima que la cantidad total de dispositivos conectados aumente de casi 27 mil millones en el 2017 a 125 mil millones en el 2030.

No hay mucha motivación para que los fabricantes cambien, anota Spanier. La mayoría de los fabricantes no tienen ninguna consecuencia en la venta de dispositivos inseguros. "Aunque eso está empezando a cambiar en el último año", añade. "El gobierno de los EE. UU. Ha multado a un par de fabricantes".

Por ejemplo, la FTC demandó a D-Link en el 2017 por vender routers y cámaras IP llenas de defectos de seguridad conocidos y prevenibles, como las credenciales de inicio de sesión codificadas. Sin embargo, un juez federal desestimó la mitad de las quejas de la FTC, porque la FTC no pudo identificar ninguna instancia específica en la que los consumidores sufrieran daños.

Detección de botnet: Dirigiendo el tráfico

Las botnets son típicamente controladas por un servidor de comando central. En teoría, derribar ese servidor y luego seguir el tráfico de vuelta a los dispositivos infectados para limpiarlos y asegurarlos debería ser un trabajo sencillo, pero es todo menos fácil.

Cuando la botnet es tan grande que tiene un impacto en Internet, los ISP se pueden unir para descubrir qué está pasando y frenar el tráfico. Ese fue el caso con la botnet Mirai, anota Spanier. "Cuando es más pequeño, algo así como el correo no deseado, no veo que los ISP se preocupen demasiado", indica. "Algunos ISP, especialmente para usuarios domésticos, tienen formas de alertar a sus usuarios, pero es una escala tan pequeña que no va a afectar a una red de bots. También es muy difícil detectar el tráfico de botnets. Mirai fue fácil debido a cómo se estaba propagando, y los investigadores de seguridad compartían información lo más rápido posible".

Los problemas de cumplimiento y privacidad también están involucrados, señala Jason Brvenik, CTO de NSS Labs, Inc., así como aspectos operativos. Un consumidor puede tener varios dispositivos en su red que comparten una sola conexión, mientras que una empresa puede tener miles o más. "No hay forma de aislar lo que se ve afectado", indica Brvenik.

Las botnets intentarán disfrazar sus orígenes. Por ejemplo, Akamai ha estado rastreando una botnet que tiene direcciones IP asociadas con compañías Fortune 100 -direcciones que, según sospecha Akamai, probablemente sean falsificadas.

Algunas empresas de seguridad están tratando de trabajar con los proveedores de infraestructura para identificar los dispositivos infectados. "Trabajamos con Comcast, Verizon, todos los ISP del mundo, y les decimos que estas máquinas están hablando a nuestro pozo, y tienen que encontrar a todos los propietarios de esos dispositivos y remediarlos", comenta Adam Meyers, vicepresidente. de inteligencia en CrowdStrike, Inc.

Eso puede involucrar a millones de dispositivos, a los que se les tiene que instalar parches. A menudo, no hay una opción de actualización remota. Muchas cámaras de seguridad y otros sensores conectados están en ubicaciones remotas. "Es un gran desafío arreglar esas cosas", señala Meyers.

Además, es posible que algunos dispositivos ya no sean compatibles, o que se creen de tal forma que no sea posible parcharlos. Los dispositivos generalmente siguen haciendo el trabajo incluso después de que están infectados, por lo que los propietarios no están particularmente motivados para tirarlos y obtener otros nuevos. "La calidad del video no baja tanto que necesitan reemplazarlo", dice Meyers.

A menudo, los propietarios de los dispositivos nunca descubren que han sido infectados y son parte de una botnet. "Los consumidores no tienen controles de seguridad para monitorear la actividad de botnets en sus redes personales", señala Chris Morales, jefe de análisis de seguridad de Vectra Networks, Inc.

Las empresas tienen más herramientas a su disposición, pero detectar botnets no suele ser una prioridad, añade Morales. "Los equipos de seguridad priorizan ataques dirigidos a sus propios recursos en lugar de ataques que emanan de su red a objetivos externos", anota.

Los fabricantes de dispositivos que descubren un defecto en sus dispositivos de IoT que no consiguen parchar pueden, si están lo suficientemente motivados, retirarlos, pero incluso así, es posible que no tengan mucho efecto. "Muy pocas personas realizan un retiro a menos que haya un problema de seguridad, incluso si hay un aviso", comenta Brvenik de NSS Labs. "Si hay una alerta de seguridad en su cámara de seguridad en su camino de entrada, y recibe una notificación, usted podría pensar: '¿Y qué? ¿Pueden ver mi entrada?'".

Los dragnts de Botnet tienen cierto éxito

A finales del 2017, la red de bots de Andrómeda fue eliminada por el FBI, trabajando junto con las fuerzas del orden en Europa. En los últimos seis meses, se detectó la botnet bloqueada en un promedio de más de un millón de máquinas cada mes.

De acuerdo con Fortinet, sin embargo, la botnet Andromeda aún estaba activa en el segundo trimestre de este año; de hecho, era la segunda más grande por volumen, infectando dispositivos en más del 20% de las compañías. Es difícil derribarlos, señala Giandomenico de Fortinet. "¿Quién es responsable? ¿Es el gobierno el responsable de salir y limpiarlo?"

Y está a punto de hacerse aún más difícil, agrega.

Con una botnet controlada por servidores centrales, una vez que se eliminan los servidores, la botnet se vuelve inactiva. Pero las botnets están comenzando a funcionar en forma de malla, con comunicaciones de igual a igual que pueden hacer que las botnets sean extremadamente resistentes, anota Giandomenico. No es solo un problema teórico, agrega, con algunas botnets que ya se sabe que funcionan en modo mallado descentralizado. "Es una tendencia lenta pero creciente", añade. "Algunos de las más famosas son Hajime, Hide N 'Seek y The Mooon".

Además de derribar los servidores de comando y control, las autoridades también pueden atacar botnets yendo tras sus clientes. Los proveedores de DDoS como servicio, por ejemplo, usan botnets para lanzar ataques masivos en nombre de cualquier persona con algo de dinero extra en sus billeteras de PayPal o Bitcoin.

Esta primavera, las autoridades del Reino Unido y los Países Bajos se unieron en Operation Power Off para derribar uno de los mayores operadores de DDoS como servicio, webstresser.org, y fueron arrestados los administradores de plataformas ubicados en el Reino Unido, Croacia, Canadá y Serbia.. El servicio tenía 136 mil usuarios registrados y era responsable de cuatro millones de ataques, según Europol, con servicios que se ejecutaban por tan solo 15 euros al mes.

Webstresser.org es solo uno de muchos de esos sitios, según un informe de Akamai publicado este invierno. Hasta el momento, no ha habido signos de una caída en los ataques DDoS como resultado.

Las autoridades también persiguen a los creadores que construyen las botnets en primer lugar, según Adam Meyers, vicepresidente de inteligencia de CrowdStrike, Inc. Por ejemplo, en el 2017, las autoridades arrestaron a Peter "Severa" Levashov, el hacker detrás de los spams Waledac y Kelihos botnets "Fue arrestado mientras estaba de vacaciones en España", anota Meyers. "Exigía la coordinación entre el Departamento de Justicia, el FBI y la policía española. Hubo mucha cooperación internacional. Además, se requería experiencia técnica para interrumpir la botnet, lo que implicó el envío de algunos expertos técnicos a Alaska para ayudar al FBI. con el derribo".

Cerrar los servidores de una botnet no es suficiente para resolver el problema si los creadores todavía están por ahí. "Con Kelihos, eso fue interrumpido cinco veces más o menos", indica Meyers. "Pero debido a que el autor de esa red zombi no fue capturado, pudo volver a generarla, en algunos casos horas después de la interrupción. Después de un par de veces, la gente se dio cuenta de que esto no iba a ir a ningún lado hasta que sacáramos a este chico de la calle".

En el caso de la botnet de Andrómeda, incluso arrestar al creador no fue suficiente. Las agencias internacionales de aplicación de la ley y los proveedores de tecnología y seguridad requirieron un esfuerzo cooperativo masivo para acabar con la red, que incluía 464 botnets, 1.214 dominios de comando y control, y 80 familias de malware.

Andromeda ha existido desde el 2011, con kits de botnets listos para usar que se venden en la web oscura, también conocidos como Gamarue y Wauchos. Fue responsable de infectar a más de 1,1 millones de sistemas por mes. Los grupos de aplicación de la ley comenzaron a trabajar para eliminarlos en el 2015, señala Jean-Ian Boutin, investigador principal de malware de ESET, LLC, uno de los grupos que trabajan en el derribo. "Este tipo de operación lleva tiempo", añade. Durante ese tiempo, los equipos de seguridad analizaron miles de muestras de Andromeda. "En base a esto, creemos que esta operación provocó la interrupción de todos las botnets de Andromeda actuales".

Sin embargo, Andromeda no solo sigue allí, y sigue siendo grande, sino que el creador que fue arrestado en el derribo, también está de vuelta en la calle. Sergei Yarets fue liberado este invierno por las autoridades de Bielorrusia después de seis meses de prisión y una multa relativamente pequeña, el equivalente a unos 5.500 dólares.

"Este caso es otro ejemplo de un doble estándar para enjuiciar a los ciberdelincuentes en los países postsoviéticos, donde tratan a sus propios ciberdelincuentes de manera diferente, lo que les permite evitar un castigo justo y luego usarlos en interés del estado, neutralizando los esfuerzos de la comunidad para combatir los ciberdelitos", señala Alexandr Solad, investigador de Recorded Future, en un informe de agosto del 2018.

Un largo camino desde una solución permanente a las botnets

Incluso arrestar a los piratas informáticos es difícil. El problema es que no ha habido tantos arrestos, señala Meyers. "El hacker ruso Evgeniy Bogachev fue identificado en junio del 2014 en los ataques de Gameover Zeus, y todavía está prófugo en algún lugar de Rusia", anota. "Muchos de estos tipos no tienen que preocuparse por los arrestos. Si trabajan en Rusia y no atacan a los sistemas rusos, pueden funcionar con impunidad". Bogachev se encuentra actualmente en la lista de los más buscados del FBI.

La solución permanente del problema de las botnets requiere una solución global para el delito cibernético, además de los desafíos técnicos, señala Daniel Miessler, director de servicios de asesoramiento de IOActive, Inc. Eso no sucederá en el futuro previsible. "Las botnets son una enfermedad emergente que existe debido a las vulnerabilidades e incentivos que existen dentro de la sociedad", anota. "Hasta que los arreglemos, deberíamos esperar botnets y otras intersecciones emergentes entre la malicia y la vulnerabilidad, para ser co-pasajeros permanentes", añade.

Además de crear un sistema común para enfrentar la ciberdelincuencia en todo el mundo, también es necesario que existan regulaciones estándar para los fabricantes, lo que requiere un cierto nivel de seguridad mínima en los dispositivos IoT. "Cualquier regulación también debe aplicarse a todos los fabricantes, ya que muchos mercados tienden a inundarse con dispositivos muy baratos producidos en regiones donde las leyes de Internet son muy laxas o inexistentes", anota Rod Soto, director de investigación de seguridad de Jask, un emprendimiento de ciberseguridad de inteligencia artificial.

Es difícil imaginar que todas las naciones del mundo y las industrias afectadas se unan y acuerden un enfoque común, y luego lo apliquen, indica Igal Zeifman, evangelista de productos de Incapsula, Inc. "Todas las iniciativas para combatir el crecimiento de botnets a través de normas y legislación industrial, es probable que continúen ocurriendo solo a nivel regional o nacional", añade.

Eso significa que incluso, si los países pueden ralentizar el crecimiento de botnets individualmente en sus regiones, todavía habrá muchos otros lugares donde puedan crecer. "Teniendo en cuenta la naturaleza global de Internet, esto significa que los ataques de botnet seguirán representando una amenaza para los negocios digitales y la comunidad en línea durante los años venideros", finaliza Zeifman.