Marta Mª Padilla Foubelo

¿Qué es una botnet? Para empezar, vamos a disociar la palabra botnet. Por un lado, “bot” significa robot y, por otro, “net” significa red. Esto proporciona un significado a la frase, algo así como “red de robots”. Un bot, o robot, sería un sistema infectado por un software malicioso cuyo objetivo está definido en el código del malware. Por tanto, una red de bots sería una red de sistemas infectados por un mismo software malicioso. Una botnet es una red de sistemas infectados por un mismo software malicioso (malware) y gestionados por el mismo BotMaster. A esta red se le llama Botnet. Lo que no está implícito en el nombre es el hecho de que son controlados de forma remota a través de un servidor de Comando y Control común (en adelante, C&C) desde el que el operador de dicha red, también conocido como BotMaster, enviará las instrucciones para desempeñar acciones maliciosas. En las botnets impera la famosa frase de los padres de “y si un amigo tuyo se tira por un precipicio, ¿tú también lo haces?”. Pues si señor, todos van a hacer lo mismo ya que son controlados por un actor de amenazas concreto. Botnets también en dispositivos móviles No son únicamente los ordenadores los afectados, los dispositivos móviles también son objetivo de los BotMaster. Por ejemplo, en un conocido foro de la Dark Web, se ofrece una botnet para el sistema operativo Android, que es uno de los sistemas operativos más utilizados a nivel mundial: En el propio post se incluye toda la funcionalidad y capacidades del mismo: En este caso se trata de la botnet Anubis, cuyo principal objetivo es recopilar información de cuentas bancarias. Pero también podrá ser utilizado para envíos de SMS a los contactos del dispositivo. ¿Cuántas veces hemos visto por internet fraudes en los que se ha recibido un mensaje de una persona conocida solicitando datos, dinero o, simplemente, enviando un link? Obviamente, al provenir de una persona conocida no suele parecer algo sospechoso. Sin embargo, nada más lejos de la realidad. Adicionalmente, y como dato curioso, los nombres de las botnets suelen estar asociados al malware que las une. Debido a la gran cantidad de malware existente en la actualidad, se hace una tarea prácticamente imposible enumerarlas todas. De entre las más conocidas, aunque no siempre sean las más utilizadas, son Emotet, Mirai, Pink, Arkei, Redline o Racoon. Cyber Security Cómo funciona Lokibot, el malware que utiliza Machete para robar información y credenciales de acceso 29 de junio de 2022 Usos y propósitos de las botnets Son infinitos los usos que se le puede dar a una botnet, todo depende de la imaginación de cada actor de amenazas que, está demostrado, es también bastante amplia. Por ejemplo, uno de los usos más habituales que se da de las botnets, son los famosos ataques de denegación de servicio distribuido o DDoS que son orquestados, en la mayoría de los casos, por redes de sistemas infectados. Para los ataques de denegación de servicio distribuido (DDoS) suele hacerse uso de botnets. Sin embargo, no solo se puede utilizar un ordenador infectado para atacar a servicios expuestos, sino que, también, para recopilar las credenciales del usuario afectado, minar criptomonedas, realizar ataques de phishing, incluso, la descarga de otro tipo de malware. Es más, desde la perspectiva del equipo de DFIR se puede afirmar que muchos ataques ransomware empiezan con la inserción de malware de tipo botnet. Estos malware están encargados de descargar más malware con el que se moverán lateralmente en la red, descargar actualizaciones del propio software malicioso o, incluso, directamente, realizan la descarga de la carga útil del propio ransomware. Cómo saber si mi ordenador forma parte de una botnet Dicho esto, suele surgir la pregunta “¿cómo puedo saber si mi ordenador forma parte de una botnet?”. Lo más recomendable es disponer de un EDR, un firewall con reglas definidas o un software potente de detección basado en firmas, de lo contrario, puede pasar totalmente desapercibido para un usuario. Por lo general, las personas infectadas no van a ser elegidas a dedo, es decir, no son ataques dirigidos, si no que, por el contrario, son campañas masivas las que hacen que cualquier persona sea susceptible de ser infectada. Todo el mundo, solo por el hecho de tener un ordenador o un móvil, es susceptible de convertirse en objetivo de una red de bots Mucha gente piensa que no es “nadie” o no es “interesante” como para que el operador de una botnet esté especialmente interesado en atacarle. Nada más lejos de la realidad. Todo el mundo, solo por el hecho de tener un ordenador, es interesante para dicho operador. ¿Quién no accede a su cuenta bancaria desde su ordenador?, ¿quién no accede a plataformas de compra online?, ¿quién no accede a la red interna de su empresa a través de una VPN?, cualquier información de este tipo sigue siendo muy valiosa o aunque seas un trabajador de rango bajo en una empresa, ¡no dejas de tener acceso a esa red privada y tan atractiva para los ciberdelincuentes! Cyber Security Diferencias entre cifrado, hashing, codificación y ofuscación 1 de junio de 2022 Cómo identificar a los operadores de las botnets De igual modo, surge la pregunta “¿es fácil identificar los actores de amenaza que operan las botnets?”. No es fácil. De hecho, las labores de investigación se complican ya que los actores de amenazas, a parte de ser grupos de varias personas, suelen operar a través de la red Tor. Además, los operadores utilizan algoritmos de generación de dominios (DGA, por sus siglas en inglés) con lo que generan una gran cantidad de nombres de dominio. De esta forma consiguen evadir una posible detección del servidor de C&C, ya que solo alguno de esos dominios resolverá a un servidor de C&C real. Por ejemplo, si se deniega el acceso a una dirección IP concreta o un dominio concreto mediante una regla de firewall, el BotMaster contará con tantos dominios que podrá cambiar dinámicamente el nombre de dominio de su C&C. De este modo mantiene el contacto con el bot ya que este, continuamente, estará generando la misma lista de dominios por DGA. Otro método de evasión utilizado es hacer uso de una red Fast Flux en la que, básicamente, se asignarían muchas direcciones IP distintas a un mismo nombre de dominio. Estas direcciones IP serán cambiantes y, asumiendo que se utilizarán muchos nombres de dominio distintos, las direcciones IP posibles de conexión con el C&C aumentarían de forma exponencial. Por estos motivos desmantelar una organización dedicada a la gestión de botnets requiere años de investigación, dedicación y, en algunas ocasiones, cooperación entre cuerpos de seguridad de varios países. Cyber Security Los ataques más comunes contra las contraseñas y cómo protegerte 22 de junio de 2022 Ventas en la Dark Web de malware y botnets Por supuesto, y como con cualquier cosa, también hay malware disponible a la venta en la Dark Web, tal y como ya se comentó en el post sobre este tipo de Markets. Los actores de amenaza también tienen la posibilidad de sumar sistemas a sus botnets a través de la venta o alquiler del malware concreto por foros y Markets de la Dark y la Deep Web. Por ejemplo, a continuación, podemos ver una venta de Redline de por vida (¡y con un descuento de 300 euros!). En este otro post reciente de un Market muy conocido en la Dark Web se ofrece a la venta el malware Arkei por 210 dólares: No solo se encuentra malware de pago, sino que, irónicamente, también existen versiones “piratas” gratuitas de malware, como se puede ver a continuación con el malware Arkei. Si bien la apertura del post data de 2018, se puede ver que el hilo ha estado bastante activo durante todos los años hasta 2022 acumulando, aparentemente, muchas descargas. Como otro dato curioso, y siguiendo el dicho “si quieres algo bien hecho, hazlo tú mismo”, se ofrecen tutoriales a la venta, y en ocasiones gratis, para aprender a montar tu propia botnet. Ventas en la Dark Web de credenciales y cookies de sesión Una de las capacidades de los malware que infectan a los sistemas es la del robo de credenciales de acceso o robo de cookies de sesión de servicios web. Es algo común ver la venta de credenciales en los principales Markets de la Deep y la Dark Web. Es tan común como preocupante ya que, no solo afecta a credenciales de acceso a servicios personales (Amazon, banca online, supermercados, plataformas de streaming, etc.), sino que afecta también a accesos a servicios profesionales tales como accesos a herramientas de trabajo, acceso a redes VPN, al correo profesional. La venta de credenciales en Markets de la Deep y la Dark Web es tan común como preocupante Lo que empezó siendo el compromiso de un único ordenador, acaba siendo el compromiso de una red empresarial entera y puede llegar a desembocar en un grave incidente de seguridad, como ya se ha comentado anteriormente. Con el objetivo de ofrecer un dato real y obteniendo datos para todos los países del mundo y de las ventas de los principales Markets de la Dark Web, se ha podido comprobar que, únicamente en el último mes, se han ofrecido a la venta al menos 311 credenciales de accesos a servicios Citrix, 2000 accesos a la intranet de distintas empresas, 105 accesos VPN, entre otros muchos. A nivel empresarial, como poco, preocupa. Conclusión Como se ha podido ver, cualquier persona es un objetivo de una botnet y las consecuencias pueden ser nefastas. El factor humano es uno de los principales interventores en la infección por botnets por lo que, llegados a este punto, no se puede hacer nada más que recomendar tener mucho cuidado con dónde hacemos clic o de dónde descargamos software, ¡cuidado con software gratuito o con descargas fuera de la plataforma adecuada! De esta forma, ya tendremos muchas menos probabilidades de acabar “convertidos” en bots.

¿Que son los Dark Markets o Black Markets? Pues un hecho tan simple como traducirlo al español, ya nos dará una gran idea de qué será. Black Market se traduce en Mercado Negro. Este concepto viene sonando ya en los informativos desde hace muchísimo tiempo como consecuencia de las ventas clandestinas. Los mercados de la droga y fármacos o de armas de fuego, por ejemplo. Así como la venta ilegal de animales, tarjetas de crédito, pornografía infantil, documentación, permisos, licencias, dinero falso, contratación de operaciones de estética, la contratación de sicarios, y un largo etcétera. Casi cualquier cosa que se pueda llegar a pensar ahí estará, en los mercados negros. En la era de la digitalización, y esto viene ocurriendo ya desde hace unos cuantos años, todo se moderniza, hasta el mercado negro. Mientras que antiguamente era necesario conocer a alguien, que ese alguien conociera a otro que tuviera un contacto en alguna banda que operase en el mercado negro, vamos el boca a boca de toda la vida, ahora ya no es necesario. Ahora, únicamente, se necesita un ordenador, conexión a internet y, en el peor de los casos, un “amigo informático” que te explique cómo conectarte a la red del mercado negro online. Aunque, disculpad la broma, nuestros nietos, hijos y sobrinos van a saber casi más que cualquiera de nuestros amigos. Pero el caso es: un ordenador, conexión a internet y alguien que te ayude y ya tienes vía libre para buscar, pagar y conseguir lo que realmente quieras. Qué son la Deep Web y la Dark Web Con el objetivo de dar valor a la parte en la que interviene el “amigo informático” y para que se entienda el funcionamiento, queremos explicar de manera muy resumida este proceso. Cierto es que no es tan fácil como parece el acceso a algunos de los mercados negros, porque sí, hay muchos sitios, muchas bandas y mucha demanda, de ahí tanta oferta. Para poder entender mínimamente cómo se puede acceder y cual es esa parte en la que el “amigo que sabe de ordenadores” te va a ayudar, hay que saber en qué parte de internet se encontrarían esos mercados negros. Esa parte es la conocida como Deep Web y Dark Web. Aunque los términos Deep Web y Dark Web tienen “mala fama” no todo en ellas es malo o ilegal Por hacer una pequeña aclaración, el término de Deep Web fue acuñado en 2001 por Michael K. Bergman. Así como el de Dark Web no tiene un claro origen, únicamente se puede decir que las primeras veces que se utilizó este término se remontan al año 2009. Ambas tienen la “mala fama” de ser sitios donde únicamente se pueden cometer actos ilegales. Sin embargo, nada más lejos de la realidad. ¿Qué pasaría si os dijéramos que absolutamente todos nosotros, hasta mi madre, utilizamos la Deep Web a diario? A continuación, se ofrece una aproximación de lo que uno se puede llegar a encontrar en las tres partes diferenciadas de la web: Surface web: son las que sí están indexadas en los principales buscadores de internet. Todas las páginas que aparecen tras una simple búsqueda de Google, Bing, Yahoo, etc. Todas, comprenden parte de la Surface web. A estas páginas se puede acceder desde cualquier navegador convencional como Google Chrome, Firefox, Opera, Safari, etc. Deep Web: son las que no están indexadas en los principales motores de búsqueda. Por ejemplo, nuestra área privada en el banco, en Amazon, en nuestra tienda de ropa favorita, la bandeja de entrada de nuestro correo, incluso servicios de mensajería como puede ser WhatsApp. Eso es Deep Web. Cierto es que hay otros servicios y Markets no indexados en los principales motores de búsqueda, y que sí formarían parte de la Deep Web, que llevan a cabo actividades ilícitas. Como veis, no todo en la Deep Web es malo o ilegal. A estas páginas también se puede acceder desde cualquier navegador convencional. Dark Web: Estas páginas tampoco están indexadas en los principales motores de búsqueda. Sin embargo, sí que suelen estar asociadas a actividades ilícitas, aunque no siempre. De igual modo, yo misma, podría montarme un foro en Dark Web y proveer acceso única y exclusivamente a las personas que yo considere oportunas. Únicamente podrían acceder las personas a las que yo comparta mi dirección URL y el foro puede tratar, únicamente, de temas del horóscopo, por poner un ejemplo. Y no estaría asociado a ninguna actividad ilegal. Cierto es que nadie quiere ser “invisible” y no aprovecharse de ello y sacarle ventajas. Por ejemplo, un tema bastante candente es el hecho de que el Islamic State of Iraq and Syria (ISIS) utiliza la Dark Web para comunicarse internamente. Este seguimiento se hace casi imposible por estar tan protegidos por los protocolos utilizados en este tipo de navegación. Cómo acceder a los Dark Markets Como ya se ha comentado, las páginas de la Dark web serán accesibles, únicamente, a través de protocolos o servicios que anonimizan a sus usuarios, como Tor (The Onion Router), Freenet, I2P, Zeronet y otro largo etcétera. Aquí se menciona Tor porque es el más utilizado y conocido por la mayoría. Este tipo de navegadores ofrecen capas de seguridad para poder evitar o entorpecer al máximo, ser identificados durante la navegación, es decir, la gorra con las gafas de los famosos cuando salen por el centro de una gran ciudad, y las páginas, en vez de tener acabar en “.com”, “.es”, “.org”, etc. Acaban en “.onion”. Una vez se tiene acceso a estos navegadores, se necesita saber qué pagina es la del Market al que nos queremos conectar. A veces, esas páginas se pueden encontrar en buscadores como podría ser DuckDuckGo, incluso, en el propio buscador de Google se pueden encontrar artículos en los que se comparten las últimas direcciones de los principales Markets de la Dark Web. Sin embargo, en otras ocasiones, es necesario tener esa página a través de contactos y, aquí sí que volveríamos al boca a boca, pero por Telegram, Discord, o cualquier otro tipo de plataformas de mensajería. Una vez se haya conseguido esa dirección URL concreta, únicamente se tiene que entrar a través del navegador que sea, dependiendo de la web, y, lo que comentábamos antes, buscar lo que a uno le interese en ese mercado concreto. Vigilancia policial en los Dark Markets ilegales Estos Markets, y ya hablando del concepto central del artículo, ofrecen de todo. Si bien es cierto que unos están especializados en drogas, otros en armas, otros en documentos, etc. siempre va a haber un Market, como muy poco, que pueda satisfacer las necesidades de quien lo busca. Cabe destacar que esta práctica es tan ilegal y punible como cuando se lleva a cabo a la antigua usanza. Hay que mencionar que la labor policial se complica en este sentido mucho ya que es muy difícil y, en ocasiones, imposible atribuir un acto delictivo dentro de este tipo de navegación. De este modo, al igual que antiguamente había policías infiltrados en las bandas para poder identificar todos los detalles de las actividades ilegales, ahora ocurre lo mismo, pero en las bandas que operan en los Markets de esta parte de la web. Igual que hay policías infiltrados en las bandas para identificar actividades ilegales, ocurre lo mismo en las bandas que operan en los Markets de esta parte de la web De igual modo, una parte de la labor policial centrada en la Dark Web consiste en poner trampas a las personas que quieran consumir cierto tipo de comercio ya que, únicamente con el acceso supone un delito, como sería el claro ejemplo del consumo de pornografía infantil. Esto consiste en páginas de tipo honeypots. Una honeypot es un señuelo ubicado, en este caso, en internet, para ser objetivo de visita y llamar la atención de las personas a las que se quiere identificar consultando cierto tipo de información. La Dark Web está llena de honeypots para poder rastrear las actividades ilegales. Uno de los Markets más activos en los últimos meses se ha podido confirmar que no está especializado en la venta de una mercancía ilegal en concreto, sino que es un mercado general que brinda muchos servicios, tal y como se puede ver en el panel de navegación situado a la izquierda de la página web. Lo que sí se puede afirmar es que la oferta mayoritaria se centra en la venta de drogas. Uno de los Markets más activos en los últimos meses Lo mismo ocurre con otro de los Markets con más oferta en los últimos meses. Este Market protagonizó la ciber-redada más grande de la historia en el mercado de la Dark Web cuando el administrador del sitio fue arrestado. Sin embargo, este ha resurgido de sus cenizas como el ave fénix y vuelve a estar entre los Markets más cotizados. Este es uno de los Markets con más oferta en los últimos meses. Tal y como se muestra, ofrece más de lo mismo que el anteriormente expuesto. Sobre todo, se centraría en la venta de drogas. Profundizando aún más en los mercados negros de la Dark Web, encontramos otro que está empezando fuerte. En este caso ya podemos ver ofertas de armas, venta de artículos robados e, incluso, se puede ver una sección catalogada como: “órganos para trasplantes”. Tal y como se ha encontrado este tipo de Markets, se pueden encontrar muchos más. Sin embargo, mejor parar en este punto ya que considero que nos podemos hacer una idea lo suficientemente importante de lo que “se cuece” por estos lares. Por qué los expertos en ciberseguridad deben monitorizar la Dark Web Actualmente trabajo en uno de los equipos dedicados a la ciberseguridad en Telefónica Tech. Desde el servicio frecuentamos este tipo de sitios web, principalmente, para hacer análisis de la compraventa de accesos a servicios, así como ventas de información privilegiada y vulnerabilidades asociadas a los activos expuestos de nuestros clientes. CYBER SECURITY La historia de la Dark Web 10 de enero de 2018 Por ejemplo, podremos encontrar ventas de usuario y contraseña para accesos a servicios de VPN, accesos a escritorios remotos expuestos a Internet e, incluso, ventas de exploits, es decir, programas que aprovecharían vulnerabilidades de los servicios expuestos y podrían permitir, por ejemplo, la ejecución de código remota en los sistemas de la empresa víctima. Cualquier tipo de venta que pudiera resultar en una intrusión en sistemas de nuestros clientes estaría cubierto con este tipo de búsquedas. De aquí solo nos quedaría dar algunos consejos obvios: Si se necesita algún fármaco, lo mejor es ir al médico y que los recete. Para obtener alguna licencia, estudiar o hacer los trámites necesarios, debemos utilizar siempre la vía legal. Si estás pensando en una operación de estética especial, mejor nos remitimos a la bella y la bestia: ¡la belleza está en el interior! En caso de querer acabar con alguien, la mejor idea es contar hasta 10 y enfocar el “asunto” de una forma que no sea extrema. En términos generales, los elementos que encontramos en estas páginas suelen ser ilegales o de uso poco ético, en el mejor caso. Si fuera mercancía legal, los podríamos adquirir en portales legítimos. Debemos pensarnos muy bien cualquier actividad en este tipo de entornos. Antes de terminar el post, debemos recordar que las compras en este tipo de portales están siempre al margen de la fiscalidad que aplique y que —en casi todos los casos— los elementos o servicios a adquirir será ilegales a nivel internacional siendo el mismo proceso de compra (o de intento de uso posterior) delito penal en la jurisdicción correspondiente.