¿Qué son las botnets? Un recorrido por el malware, la inteligencia de ciberamenazas y la OSINT

Redazione RHC : 16 julio 2025 11:26

Internet ofrece un mar de información. En RHC, hablamos a menudo de Inteligencia de Fuentes Abiertas (OSINT) e Inteligencia de Ciberamenazas (CTI), es decir, las disciplinas de inteligencia que se encargan de la investigación, recopilación y análisis de datos y noticias de interés público extraídos de fuentes abiertas, cerradas o semicerradas.

OSINT (Inteligencia de Fuentes Abiertas), por ejemplo, es una disciplina muy antigua, introducida durante la Segunda Guerra Mundial por Estados Unidos tras el bombardeo sorpresa de la flota en Pearl Harbor por parte del ejército japonés. Si quieres entender mejor qué es, te recomendamos uno de nuestros videos.

Es una disciplina de inteligencia que se ocupa de la investigación, recopilación y análisis de datos y noticias de interés público de fuentes abiertas y públicas. Esta práctica se basa en el uso de fuentes de información pública como noticias, revistas, sitios web, redes sociales, foros de discusión, blogs y cualquier otra fuente de información accesible al público.

La inteligencia de ciberamenazas (CTI), por otro lado, se refiere a un conjunto de procesos que se encargan de recopilar, analizar e interpretar información sobre ciberamenazas para identificar y mitigar los riesgos de ciberseguridad. CTI se basa en la recopilación de datos de diversas fuentes, como fuentes de inteligencia, informes de analistas, datos de telemetría, foros clandestinos, redes sociales y otros canales de comunicación en línea. Estos datos se analizan luego utilizando inteligencia artificial, aprendizaje automático y técnicas de minería de datos para identificar patrones y tendencias en el comportamiento cibercriminal.

En este artículo, profundizaremos en el mundo de las Botnets para comprender mejor cómo funcionan técnicamente y su estrecha conexión con Cyber Threat Intelligence y el mundo de OSINT.

¿Qué es una botnet?

Una botnet es una red de computadoras infectadas con malware, controlada por un individuo llamado bot master. El bot master es la persona que administra la infraestructura de la botnet y utiliza computadoras comprometidas para lanzar una variedad de ataques, como inyectar malware, recolectar credenciales o realizar tareas que consumen mucho CPU. Cada dispositivo dentro de la red de bots se denomina bot.

La primera generación de botnets operaba con una arquitectura cliente-servidor, donde un servidor de comando y control (C&C) gestionaba toda la botnet. Debido a su simplicidad, la desventaja de usar un modelo centralizado en lugar de un modelo P2P es su susceptibilidad a un único punto de fallo.

Los dos canales de comunicación C&C más comunes son IRC y HTTP:

• Botnets IRC (Internet Relay Chat): Las botnets IRC se encuentran entre los primeros tipos de botnets y se controlan remotamente mediante un servidor y un canal IRC preconfigurado. Los bots se conectan al servidor IRC y esperan las órdenes del bot maestro.
• Botnet HTTP: Una botnet HTTP es una botnet web a través de la cual el bot maestro utiliza el protocolo HTTP para enviar comandos. Los bots visitan el servidor periódicamente para obtener actualizaciones y nuevos comandos. El uso del protocolo HTTP le permite disfrazar sus actividades como tráfico web normal.

Los tipos de botnets son los siguientes:

• Botnets DDoS: Los bots infectados se pueden usar para lanzar poderosos ataques DDoS contra un objetivo específico. Los propietarios de estas botnets pueden alquilarlas como servicios DDoS.
• Botnets de Descubrimiento de Red: Los bots pueden escanear internet y encontrar otros equipos vulnerables para infectarlos con malware, que luego podría transformarse en un bot. Este tipo de bot suele buscar objetivos específicos (como servidores) para obtener el control total. Control total significa acceso a datos, software y recursos de hardware;
• Botnets de puerta trasera: Los bots se utilizan para infectar otros ordenadores y añadirlos a la lista de bots que el atacante puede controlar con diversos fines;
• Botnets de robo de información: Los bots se utilizan para recopilar información personal de sus víctimas mediante diversos medios (registradores de pulsaciones de teclas, capturas de pantalla, etc.). Los datos recopilados se envían al servidor de comando y control y se revenden en redes clandestinas a cambio de dinero. Estos tipos de malware pueden instalarse en los ordenadores de las víctimas manualmente (engañándolas para que instalen software malicioso) o automáticamente (mediante ataques de descargas no autorizadas).
• Botnets de spam: Mucha gente cree que el spam es cosa del pasado, pero prácticamente todos nos hemos topado con él al menos una vez en la vida, incluso accidentalmente. Estos tipos de malware están diseñados para enviar millones (o incluso miles de millones) de mensajes no solicitados desde ordenadores infectados de todo el mundo a sus posibles víctimas. Las direcciones de correo electrónico utilizadas por estas botnets pueden recopilarse en sitios web públicos o por otros medios (por ejemplo, infectando otros ordenadores).

Cómo funciona una botnet

Una botnet, como hemos visto, puede utilizarse para muchos propósitos, pero para profundizar en este análisis, primero debemos entender cómo funciona una infección de botnet.

El siguiente dibujo muestra un esquema de una infección clásica. El correo electrónico de phishing es un ejemplo, ya que el vector de ataque inicial puede ser diferente.

En resumen, podemos dividir la infección en 6 fases que son:

1. El bot maestro envía a la víctima un correo electrónico de phishing, obligándola a hacer clic en el archivo adjunto mediante diversas formas de ingeniería social. Para más información, puede leer cómo funciona BazarCall/BazarLoader, un malware precursor ampliamente utilizado en actividades de ransomware, que explica estas formas avanzadas de ingeniería social. Además del phishing clásico, el malware que permite la entrada a una botnet a menudo se inserta en ejecutables (por ejemplo, keygens) o software pirateado;
2. Una vez que el usuario ejecuta el software en la estación de trabajo, este comienza a funcionar enviando información al sistema de comando y control C2. Generalmente comienza enviando datos tales como cookies de sesión de sitios visitados, datos confidenciales del usuario almacenados en el disco duro, capturas de pantalla o videos de lo que sucede en el PDL y pulsaciones de teclas, como un keylogger normal;
3. El usuario, sin darse cuenta del malware, continúa con sus actividades, como visitar los sitios web de la organización para la que trabaja, realizar transacciones bancarias, etc…
4. Obviamente, toda esta valiosa información se envía al sistema de comando y control controlado por el atacante;
5. Ahora el atacante puede acceder a estos datos, analizarlos y entender cómo beneficiarse de esta información;
6. En este punto, el maestro del bot puede revender esta información a otros delincuentes que pueden realizar actividades ilícitas simulando y suplantando al usuario final en el que se ha instalado el malware.

Sistemas de inteligencia de amenazas cibernéticas y fuentes oscuras

Existen varios sistemas que permiten escanear la red oscura en busca de información sobre fugas de datos, posibles dominios o sitios web en los que los ciberdelincuentes están organizando ataques, correlacionando la información con la red clara, produciendo informes y alertas para analizar manualmente.

En el caso de las botnets, hay sitios en el clandestinos (como el más conocido Genesis) que se crearon para vender acceso a bots a otros ciberdelincuentes, para que luego puedan realizar ataques dirigidos, quizás con conocimiento previo de las actividades de las víctimas.

Algunos sistemas de inteligencia pueden tener acceso a los sistemas de comando y control o directamente a los PDL de las víctimas, lo que permite a los analistas realizar consultas específicas sobre el contenido exfiltrado por los bots.

Esto se debe a que los propios cibercriminales ponen a disposición feeds y API que pueden integrarse en sus sistemas, proporcionando así acceso en tiempo real a las ciberamenazas que se desarrollan bajo tierra.

Al analizar esta información, realizar búsquedas por dominio o correo electrónico dentro de estos feeds producidos por estas herramientas, es posible entender cuáles son las amenazas reales y qué bots están instalados en las estaciones de trabajo que acceden a un dominio específico.

¿Qué se entiende por un sistema de inteligencia de ciberamenazas?

Un sistema de inteligencia de ciberamenazas es un conjunto de tecnologías, procesos y recursos humanos que permiten a las organizaciones identificar, Analizar y mitigar las ciberamenazas. El sistema se basa en la recopilación y el análisis de información sobre las actividades de los ciberdelincuentes, incluyendo sus técnicas, herramientas y motivaciones.

Normalmente, el sistema de inteligencia sobre ciberamenazas incluye:

1. Recopilación de datos: Esto puede incluir el análisis de fuentes abiertas o cerradas, la recopilación de datos de sus propios sistemas de seguridad, la colaboración con otros expertos en seguridad y la participación en comunidades de seguridad en línea.
2. Análisis de datos: Los datos recopilados deben procesarse para identificar posibles amenazas y tendencias de ciberdelincuencia. Esto requiere el uso de herramientas avanzadas de análisis de datos, como aprendizaje automático e inteligencia artificial.
3. Difusión de inteligencia: una vez analizada la inteligencia, debe difundirse a todas las partes interesadas dentro de la organización, incluidos los equipos de TI y seguridad.
4. Acción: finalmente, la organización debe tomar medidas para mitigar las amenazas identificadas a través de la inteligencia. Esto puede incluir la implementación de medidas de seguridad adicionales, la instalación de parches para software vulnerable o la denuncia de actividades delictivas a las autoridades pertinentes.

En resumen, un sistema de inteligencia sobre amenazas cibernéticas ayuda a las organizaciones a prevenir y mitigar las amenazas cibernéticas al proporcionar información oportuna y detallada sobre los ciberdelincuentes y sus actividades.

No hace falta decir que tener información sobre lo que los ciberdelincuentes están discutiendo actualmente con su empresa proporciona una ventaja estratégica significativa para gestionar una amenaza.

Cómo protegernos de las botnets

Para protegernos de botnets, debemos poner en práctica una serie de recomendaciones que muchas veces son las mismas que solemos dar para protegernos del malware en general. Algunas de estas se pueden resumir de la siguiente manera:

1. Instala y mantén actualizado un software antivirus de calidad.
2. Evita abrir correos electrónicos sospechosos y hacer clic en enlaces o archivos adjuntos de fuentes desconocidas.
3. Mantén actualizado el sistema operativo y el resto del software de tu ordenador.
4. Utiliza una contraseña segura y cámbiala periódicamente.
5. No use la misma contraseña para varias cuentas.
6. Use una conexión segura y encriptada al realizar transacciones en línea sensibles, como operaciones bancarias.
7. No comparta información personal o sensible en sitios web no seguros.
8. Use un firewall para bloquear el acceso no autorizado a su computadora.
9. Supervise periódicamente la actividad de su computadora e informe cualquier anomalía o actividad sospechosa.
10. Utilice herramientas de seguridad adicionales, como software de seguridad de Internet, un filtro antispam y un sistema de detección de intrusos para aumentar su protección contra botnets.