Contacto

¿Qué son los ordenadores zombie o bots? 2 ª - parte

El spam sigue siendo un gran problema incluso hoy en día, donde está considerado en muchos sitios como un delito. Es una experiencia frustrante abrir tu email y encontrarnos con docenas de correos basura que no aportan nada. ¿De donde viene todo ese spam? Según el FBI, se estima que un gran porcentaje de todo ese correo basura viene de redes con ordenadores zombie.

Si el spam viniera de una sola fuente centralizada, sería relativamente fácil seguir el rastro hasta su origen y poner una demanda a la ISP correspondiente para que echaran abajo la conexión a Internet de ese ordenador y poder poner una denuncia al usuario que está haciendo spam. Para evitar que esto ocurra, muchos piratas informáticos delegan en estas redes de bots. El ordenador zombie se convierte en un Proxy, lo cual significa que el hacker está a un salto de distancia del origen de los emails de spam. Un hacker con un botnet grande, puede enviar millones de mensajes todos los días.

Estos hacker pueden configurar una red de botnets para que envíen virus o troyanos a todos los ordenadores que pueda. Estas redes de ordenadores controlados, pueden también mandar los populares mensajes de phishing, los cuales son intentos de engañar al usuario para que compartan información personal, que en el peor de los casos puede ser información bancaria. Hablaremos de esto más tarde.

Cuando se envían anuncios con publicidad de algo, el encargado del botnet configura sus ordenadores para un cliente en particular y puede hacer el envío a ciertas horas del día. Algunas empresas y particulares que quieren promocionar sus productos a toda costa y a los que no les importa si los métodos empleados son intrusitos o incluso ilegales, pagan a estos hacker para que realicen el envío de miles de correos a otras personas. La mayoría de los que reciben estos correos no pueden saber de donde viene esta avalancha de correos publicitarios. Puede que al bloquearlo, solo lo estén haciendo en uno de los ordenadores que compone toda la red “zombie”. Por ello, es algo complicado parar totalmente este flujo de correos spam.

Una persona puede sospechar que su ordenador esta siendo controlado por una tercera persona si recibe correos de personas quejándose de que están recibiendo muchos correos de este tipo de nosotros, o también si detectamos que hay muchos emails que no hemos escrito en la bandeja de salida. De otra manera, el usuario del equipo probablemente no sabrá que su ordenador está manejado por otra persona. Algunos usuarios no parecen importarle que sus máquinas sean utilizadas para enviar correos de spam como si el problema fuera de otro, y no toman las precauciones necesarias para evitar convertirse en parte de un botnet.

Ataques de denegación de servicio

Algunas veces un hacker utiliza una red de ordenadores zombie para sabotear un sitio Web específico o un servidor de Internet. La idea es bastante sencilla un hacker le dice a todos los ordenadores que componen su botnet para que contacten a un servidor específico o a un sitio Web de forma continuada. Este repentino aumento de tráfico puede hacer que la Web o servidor se sobrecargue, impidiendo su funcionamiento correcto para usuarios legítimos. Algunas veces este tráfico provocado, es suficiente para tirar abajo el sitio de forma definitiva. Esto se llama un ataque de denegación de servicio, también llamados ataques DDoS.

Algunos botnet usan ordenadores “limpios” como parte de estos ataques. Así es como funciona: El hacker inicia el comando para empezar el ataque desde su ejército de zombies. Cada ordenador dentro del ejército envía una petición de conexión a un ordenador inocente llamado reflector. Cuando este reflector recibe la petición, no parece que el ataque se haya originado desde los ordenadores zombie, sino desde la última victima del ataque. Estos reflectores envían información al sistema de la victima, y eventualmente el sistema comienza a sufrir y finalmente cae al no poder gestionar tantas peticiones y respuestas de todas estas máquinas a la vez.

Desde la perspectiva de la victima, parece que han sido los reflectores los que han atacado el sistema. Desde la perspectiva de los reflectores, parece que el sistema de la victima ha sido quién ha requerido los paquetes de información. Los ordenadores zombie se mantienen ocultos, y por supuesto el hacker se mantiene en el anonimato.

La lista de victimas de estos ataques DDoS son innumerables, y no se libra de ellos ni siquiera las grandes compañías que operan en Internet. Microsoft sufrió un ataque de este tipo llamado MyDoom. Otras compañías asentadas en la red como Amazon, eBay, CNN o Yahoo también lo han sufrido. Algunos de estos ataques tienen ya su propia definición:

  • Ping de la muerte - Los bots crean paquetes de datos de gran tamaño y los envían a la victima.

  • Mailbomb Los bot envían una masiva cantidad de email tirando abajo los servidores de correo.

  • Ataque Smurf Los bot envían mensajes con paquetes ICMP a los reflectores los cuales reenvían dichos paquetes a la victima.

  • Teardrop Los bot envían partes de un paquete ilegítimo y el sistema de la victima intenta recomponer las partes en un solo paquete  y como resultado el sistema cae.

Una vez que una red de estos ordenadores zombie empieza un ataque contra el sistema de una victima, hay algunas cosas que el administrador del sistema puede hacer para prevenir una catástrofe. Puede elegir limitar la cantidad de tráfico permitida en el servidor, pero esto conlleva restringir también las conexiones legítimas a Internet. Si el administrador puede determinar los orígenes de los ataques, puede filtrar el tráfico. Por desgracia, los ordenadores pueden “disfrazar” sus direcciones con técnicas de spoofing, lo cual complica estos filtros.

« 1ª parte del artículo       3ª parte del artículo  »

Leer mas artículos relacionados