Transformation in die Cloud - welche Cloud darf es sein?
Perspective Security

Guerra a las botnets

27-jun-2018

Las botnets están compuestas por millones de dispositivos y se comportan como monstruos invencibles. Combatirlas no es tan fácil como parece. Elimina una y en su lugar aparecerán miles.
Botnetze lassen sich nur mühsam bekämpfen.
De repente, una parte de Internet se desvaneció. Un lluvioso día de octubre de 2016, gigantes de Internet como Amazon, CNN, the Guardian, Netflix, Spotify y Twitter parece que habían sido eliminados de la red durante horas. La causa: un ataque al proveedor de servicios de Internet Dyn, que gestiona el acceso a los servidores de red de estas empresas. El atacante: la botnet Mirai, una combinación de alrededor de 600000 ordenadores y dispositivos conectados como enrutadores o cámaras habilitadas con un IP.

Sobrecarga por ataques DDoS 

Fueron denominados ataques DDoS (Distributed Denial of-Service o denegación de servicio distribuido) en los cuales los ciberdelincuentes utilizaron dispositivos pirateados para enviar de manera simultánea tantas solicitudes a los servidores de Dyn durante un periodo de horas que simplemente se sobrecargaron y colapsaron. Además, incluso si se “rescata” dispositivos individuales de la botnet, en poco tiempo hace aparecer miles y miles de nuevos dispositivos infectados con malware, igual que haría una hidra con sus cabezas.

Tanteando las vulnerabilidades de seguridad

Las redes informáticas delictivas son difíciles de combatir. Los detectores de virus convencionales o programas antivirus están sobrecargados manteniendo altas las defensas frente a la botnet. Con tantos dispositivos pirateados, es virtualmente imposible eliminar todos los virus mediante un antivirus. Además, los ciberdelincuentes, por lo general, desarrollan rápidamente malware y utilizan una y otra vez cualquier brecha a la seguridad. La botnet Mirai afectó principalmente a dispositivos mal configurados sin una contraseña definida por el usuario. Desde entonces, esta brecha se ha cerrado pero el sucesor de Mirai, Satori, ha estado utilizando otras puertas traseras.

Localizando servidores infectados

Sin embargo, hay una manera de combatir la amenaza de las redes zombi. Cada botnet tiene uno o más servidores que permiten el control remoto y que continúe la infección. Mediante el análisis preciso del malware y el tráfico de datos que genera un dispositivo infectado se puede localizar y apagar estos servidores. Sin embargo, no es tan fácil como parece. En 2015, fue necesaria una acción coordinada por parte de proveedores de seguridad e Interpol para destruir una botnet de más de 770000 ordenadores zombi y varios servidores en 14 países.

Honeypots y trampas para piratas informáticos

No es tarea fácil: el primer paso es analizar el tráfico de datos del software de la red zombi. Para asegurar que no se inflijan daños serios, expertos en seguridad informática usan honeypots; ordenadores que pueden simular dispositivos con vulnerabilidades de seguridad para tentar a los cibercriminales. Este trabajo necesita mucho tiempo y las habilidades de expertos en la lucha contra la ciberdelincuencia. Es un poco más sencillo con una red de sensores que distribuye honeypots en tantas subredes vulnerables como sea posible y reenvía los datos a un servidor central. Este es el enfoque que utiliza el proyecto Honeysens, desarrollado por la Universidad Técnica de Dresde, Alemania, en colaboración con T-Systems para la administración estatal del estado federado de Sajonia, en Alemania.

Atrayendo a los piratas informáticos

La trampa para los piratas informáticos consiste en una caja discreta con dos antenas en la parte superior. Las cajas se distribuyen de igual manera en una LAN o una WLAN pero sin estar conectadas. Su finalidad es únicamente atraer a los piratas informáticos a través de su conexión a Internet. Como resultado, una gran cantidad de información, que interesa a los expertos en seguridad, fluye permitiéndoles identificar, rápidamente, los métodos y servidores de control que utilizan los piratas informáticos. De esa manera, hasta se puede arrebatar a los ciberdelincuentes el acceso a los servidores de control.

Aprendiendo de los ciberdelincuentes

Para hacer eso, los expertos en seguridad utilizan algunos de los trucos que han aprendido de los piratas informáticos. Redirigen los datos de control desde y hacia los bots para que no puedan seguir realizando actividades ilegales. Sin embargo, para tener éxito finalmente es importante identificar a los propios delincuentes. Es una tarea que necesita mucho tiempo porque los operadores de las botnets son anónimos y se pueden necesitar incluso meses de investigación concienzuda para identificarlos. Fueron necesarias semanas para identificar a las personas detrás de la botnet Mirai: se trataba de tres estudiantes americanos. Fueron condenados a cinco años de cárcel.