Una red zombi es un tipo de malware que tiene el potencial de afectar prácticamente todos los aspectos de la vida de una persona sin que se dé cuenta, sobre todo si es usuaria de internet, use o no dispositivos del internet de las cosas (IoT, por sus siglas en inglés).
Según la firma Cloudflare, puede desde enviar correos electrónicos, spam o robar información de tarjetas de crédito hasta lanzar un ataque DDOS para tirar sitios, pedir rescates a las víctimas de estos, atacar a los proveedores del servicio de internet o llevar a cabo fraudes de clics.
También conocidas como botnets, en la actualidad representan una de las mayores amenazas para la ciberseguridad en México. Hasta 2021, la campaña Mirai era la que registraba mayor actividad en todos los países de América Latina.
Cada botnet es singularmente diferente en la forma en que se configura, cómo crece y por qué existe. Esto provoca que sea difícil de detectar, puesto que no existe una plantilla general que permita reconocer una red zombie. Además, uno de sus propósitos es que las víctimas no sepan que sus dispositivos están infectados.
Sin embargo, pueden prevenirse y, por supuesto, mitigar sus daños.
¿Qué es una red zombi?
En informática, un zombi es una computadora con conexión a internet que ha sido comprometida por un cibercriminal, a través de un virus, un gusano o un troyano, a fin de usarse para realizar tareas maliciosas bajo una dirección remota.
Estas máquinas infectadas se convierten en “zombis” bajo el control del atacante, quien puede utilizarlos para llevar a cabo diversas actividades ilegales sin ser detectado.
Cuando se habla de una red zombi, se refiere a una colección de computadoras comprometidas por un software malicioso, controlado por un ciberdelincuente sin el conocimiento de los propietarios de dichas computadoras.
¿Qué es un archivo zombie?
¿Cómo se crea una red zombi?
La creación de una red zombi requiere de una habilidad técnica mínima, advertían investigadores de la División CERT del Instituto de Ingeniería de Software desde 2005. Además, con algunas excepciones, la comunidad de atacantes está lista y dispuesta a compartir su conocimiento con casi cualquier persona interesada en aprender.
Generalmente, comienza con la infección de una computadora y sus dispositivos conectados mediante malware, como virus informáticos, troyanos o gusanos.
Estos programas maliciosos suelen propagarse a través de correos electrónicos no deseados, archivos adjuntos, sitios web comprometidos o descargas de software infectado. Una vez que el malware se instala en una máquina, se conecta a un servidor de comando y control (C&C, por sus siglas en inglés) controlado por el cibercriminal.
El servidor de C&C actúa como el centro de operaciones de la red zombi. El atacante puede enviar comandos a través del servidor, lo que hace que las computadoras infectadas realicen diversas tareas sin el conocimiento de sus propietarios.
Estas tareas pueden incluir ataques de denegación de servicio (DDoS), envío masivo de spam, robo de información confidencial o incluso participación en actividades de criptominería ilegal.
Tipos de ataques con una red zombie
Una vez que un adversario tiene el control de una red zombie en los ordenadores infectados, las posibilidades maliciosas son amplias. Una red de bots se puede utilizar para realizar muchos tipos de ataques, entre ellos:
1. Suplantación de identidad
Se pueden utilizar para distribuir malware a través de correos electrónicos de phishing. Debido a que las botnets están automatizadas y consisten en muchos bots, completar una campaña de phishing es bastante sencillo.
2. Ataque DDoS
Mientras se lleva a cabo un ataque DDoS, la red zombie envía una cantidad abrumadora de solicitudes a un servidor o aplicación objetivo, lo que hace que se bloquee.
Los ataques DDoS de la capa de red utilizan inundaciones SYN, inundaciones UDP, amplificación de DNS y otras técnicas diseñadas para consumir el ancho de banda del objetivo y evitar que se atiendan solicitudes legítimas. Estos ataques se aprovechan de vulnerabilidades en el protocolo de transmisión UDP, debido a su falta de verificación de conexión, lo que lo hace ideal para amplificar el tráfico malicioso.
Los ataques DDoS en la capa de aplicación utilizan inundaciones HTTP, ataques Slowloris o RUDY, ataques de día cero y otros ataques que tienen como objetivo las vulnerabilidades en un sistema operativo, aplicación o protocolo para bloquear una aplicación en particular.
3. Bots de spam
Los spambots recolectan correos electrónicos de sitios web, foros, libros de visitas, salas de chat y cualquier otro lugar donde los usuarios ingresen sus direcciones de correo electrónico.
Una vez adquiridos, los correos electrónicos se utilizan para crear cuentas y enviar mensajes de spam. Se cree que más del 80 por ciento del spam proviene de botnets.
Riesgos y consecuencias
La existencia de una red zombi plantea una serie de riesgos y consecuencias tanto para los propietarios de los millones de ordenadores infectados como para el conjunto de internet en general. Algunas de las amenazas asociadas con las redes zombi son:
1. Robo de información personal
Los ciberdelincuentes pueden utilizar los zombis para robar datos confidenciales, como contraseñas, números de tarjetas de crédito o información bancaria, lo que puede dar lugar a fraudes financieros y robo de identidad.
2. Distribución de malware
Las redes zombi también pueden servir como plataforma para la distribución de malware adicional. Los atacantes pueden utilizar los recursos de las máquinas infectadas para propagar nuevos virus y expandir su red zombi.
Protección contra redes zombi
Para protegerse contra las redes zombi, es fundamental seguir buenas prácticas de seguridad en línea. La firma Crowdstrike recomienda a las organizaciones
Para evitar que sus dispositivos se conviertan en parte de una red de bots, recomendamos que su organización considere las siguientes siete medidas:
- Un programa regular de formación sobre seguridad que enseñe a las y los empleados a identificar enlaces maliciosos.
- Mantener siempre actualizado el software para disminuir las posibilidades de que se explote una vulnerabilidad.
- Utilizar la autenticación de dos factores para evitar que el malware de botnet ingrese en dispositivos y cuentas si se ha comprometido una contraseña.
- Actualizar las contraseñas en todos los dispositivos, especialmente las opciones de privacidad y seguridad en aquellos que se conectan de dispositivo a dispositivo o a internet.
- Una solución antivirus de calidad que se mantiene actualizada y escanea la red regularmente.
- Implemente un sistema de detección de intrusos (IDS, por sus siglas en inglés) en toda su red.
- Una solución de protección de terminales que incluye la capacidad de detección de rootkits y que puede detectar y bloquear el tráfico de red malicioso.