Página de inicio de INTECO-CERT, Centro de Respuesta a Incidentes en TI para PYMEs y Ciudadanos

  • Utiles gratuitos
  • Formación seguridad pymes
  • Gestión de incidencias
  • Suscripción RSS/Boletines

Amenazas

Enlace a la red social de Facebook Enlace a la red social de Twitter Enlace al canal de Inteco-Cert en el portal de videos YouTube

Enlace al canal de Inteco-Cert en Scribd Enlace al canal de Inteco-Cert en Slideshare

Encuesta de Calidad de INTECO-CERT

  • 1.- ¿Ha encontrado en el portal de INTECO-CERT la información que buscaba? *
  • 2.- ¿Dicha información le ha resultado útil / interesante? *

Botnets - Características

El potencial de estas redes recae en su infraestructura distribuida, y es que numerosas computadoras controladas por un mismo atacante, ofrecen ventajas a la hora de cometer actividades ilegitimas respecto a los medios más tradicionales, como son:

Anonimato: La actividad se produce desde muchos ordenadores a la vez. Localizar estos ordenadores puede ser muy complicado, tanto a nivel técnico, como a nivel judicial, ya que pueden utilizar ordenadores de varios países, y la legislación no es igual en todos ellos. Por lo tanto, llegar a descubrir al atacante resulta muy complicado.

Coste: La inversión solo se realiza en el desarrollo del software malicioso, en ordenadores y comunicaciones. Es muy bajo para la efectividad del mismo, ya que se utilizan ordenadores y líneas de comunicación que pagan los propietarios de los ordenadores infectados y la capacidad de proceso y de comunicaciones es enorme.

Las primeras redes zombi partían de los IRC (un tipo de protocolo de mensajería instantánea), y se controlaban mediante comandos sencillos desde el servidor del IRC, ya que era muy sencillo de utilizar. No obstante, hoy se utilizan otros protocolos en los cuales es más complicado hacer el seguimiento o restringir su uso, como son HTTP, DNS, ICMP. Protocolos que son difíciles de restringir o de filtrar. También hay software malicioso que trabajan en los programas de mensajería instantánea o a través de la Web.

"Las primeras redes zombi se crearon a partir del IRC"

En la actualidad se están empezando a utilizar redes distribuidas (tipo p2p) en el que no existe un servidor central, y cada máquina infectada está en contacto con varias, de tal modo que si cae alguna, la red zombi sigue operativa.

La importancia de una red zombi va en función de la capacidad que tiene para realizar sus funciones y en general, se mide por:

Número de equipos: Es el objetivo principal de la red zombi, cuantos más equipos infectados posea, mayor capacidad de cálculo y ancho de banda tendrá.

Anonimato: Cuanto más inadvertida pase mejor, ya que si no se aprecia en el sistema nada raro, no se buscan posibles infecciones, con lo que el software malicioso que permite la manipulación del ordenador permanece más tiempo en este.

Actualización: Este característica indica que el que controla (o quienes controlan) la red zombi tienen capacidad de reaccionar cada vez que la red pierde eficacia, introduciendo mejoras para dificultar su detección