Revisa tu computador puedes haberse convertido en un Zombie de una BotNet

BotNet es un concepto que hace referencia a “bots” o “software robots” que corren de manera independiente, de tal forma que el “creador” de la BotNet puede manejar todos los equipos (PC’s) y redes que se encuentren infectadas, teniendo acceso a claves, información privada como documentos, fotos, textos. Los equipos infectados quedan actuando como “zombies” y de allí el nombre con el que también se les conoce a estas redes infectadas.

En un primer momento los expertos de la industria antivirus estimaron que el tiempo promedio que un computador permanecía infectado era de seis semanas. Sin embargo, un reciente informe de seguridad Trend Micro pone de manifiesto que esta estimación no es tan exacta.

El término BotNet o red zombie se utiliza para designar a los computadores que forman parte de una red robot tras haber sido infectados por algún tipo de código malicioso. Estos equipos pueden ser controlados por terceras personas con fines ilícitos (distribuir spam, robo de identidad, robo de información confidencial) sin que el usuario sea consciente de ello.

Según las estadísticas de Trend Micro, el 80% de todos los equipos comprometidos han estado infectados durante más de un mes. Lamentablemente las noticias no consiguen mejorar. Pues mientras que el 75% de las direcciones IP comprometidas analizadas en el estudio han sido identificadas con usuarios particulares, el 25% restante pertenece a dominios de empresas. Debido a que una dirección IP para estos usuarios está generalmente identificada con un único gateway puede que, a su vez, esté conectada a varias máquinas en una red interna, lo que hace que el porcentaje actual de equipos empresariales afectados pueda ser más alto que las direcciones IP sugeridas en los datos, es decir, el porcentaje de PCs infectados en empresas es probablemente mucho más alto que ese 25%.

Una vez que el equipo pasa a estar comprometido, no es raro encontrar que se ha convertido en parte de una BotNet más amplia. Las redes zombies con frecuencia causan daño en la forma de los ataques de malware, fraude, robo de información y otros crímenes. En lo que va de 2009, casi todo el malware rastreado por los expertos está siendo utilizado por los cibercriminales para robar información (credenciales, etc.) principalmente.

Hasta ahora, las tres redes zombies que son más peligrosas en relación con el robo de identidad, información financiera y de cualquier otro tipo son: Koobface,

ZeuS/Zbot, Ilomo/Clampi.

100 millones de PCs en el mundo controlados por ciberdelincuentes

En general, las BotNet controlan más PCs comprometidos de lo que se pensaba hasta ahora. Sólo un “puñado” de delincuentes, probablemente unos cientos, tienen el control de más de 100 millones de equipos. Esto supone que los cibercriminales tienen mayor potencia de procesamiento a su disposición que todos los supercomputadores del mundo. De ahí que no resulte asombroso que el 87% de todos los correos electrónicos del mundo sea spam en la actualidad.

Al día de hoy, no hay una correlación exacta de 1 a 1 entre los 10 países con más equipos infectados y los 10 principales países emisores de spam, sin embargo, sí es cierto que existen ciertas similitudes.

¿Cómo nos infectamos?

Puede ser de muchas maneras. Una forma habitual es al descargar software (por torrents,  redes P2P en general o de distintos sitios webs “no oficiales” o de “hackers”), generalmente los “cracks” de programas que queremos instalar pueden tener un troyano y/o virus camuflado en su interior.

 

¿Qué hacer si se está infectado?

Si se encuentra infectado lo primero que se debe hacer es instalar un antivirus y actualizarlo, así como un software anti-spyware actualizado.

Se desconecta el equipo de la red, reiniciamos a prueba de errores y ejecutamos el antivirus y el software anti-spyware al sistema completo. Una vez finalizado el escaneo, reiniciar y mantener activo el antivirus de manera permanente a la vez que un firewall. Cabe la posibilidad de que aún así no sea detectado el programa responsable del ataque.  Lo ideal en estos casos es consultar con un experto, algunos virus evitan la instalación de software antivirus evitando que el computador sea liberado.

 

¿Cómo saber si estamos infectados?

Normalmente cuando nuestro equipo está infectado empieza a trabajar más lento, esto pasa en mayor proporción cuando se trabaja en red o se navega en Internet, aunque esto no quiere decir que sea un BotNet, pues puede tratarse de solo un virus o troyano,  “poco dañino”, además es posible encontrar procesos en ejecución que sean sospechosos.

Otra manera de saberlo es cerrar nuestros navegadores y todos los programas que puedan acceder o funcionar con la red o Internet y ejecutar el comando netstat –an y ver si hay conexiones entrantes.  Esto puede dar un gran indicio para detectar si el computador pertenece a una red BotNet.

Direcciones IP

Los equipos se comunican a través de Internet mediante el protocolo IP (Protocolo de Internet). Este protocolo utiliza direcciones numéricas denominadas direcciones IP compuestas por cuatro números.  Por ejemplo, 194.153.205.26 es una dirección IP en formato técnico. Los equipos de una red utilizan estas direcciones para comunicarse, de manera que cada equipo de la red tiene una dirección IP única.