Explicando los peligros de las botnets


Las botnets o redes de PCs zombies se están convirtiendo en uno de los problemas más acuciantes de la red, un fenómeno de una elevada incidencia estadística detrás del cual se esconden la gran mayoría de los robos de información, el spam, los ataques de denegación de servicio o el click fraud, controlados por mafias organizadas que obtienen a través de ello elevados beneficios económicos. El mes pasado, el descubrimiento de un repositorio que albergaba los datos de una red de más de 160.000 ordenadores e incorporaba cinco mil nuevas victimas cada día permitió a los investigadores entender un poco mejor cómo funcionan este tipo de redes desde dentro.

ReadWriteWeb dedica esta entrada, Is Your PC Part of a Botnet?, a intentar explicar de manera sencilla el concepto, y lo acompaña con el vídeo introductorio que podéis ver sobre estas líneas, creado por Symantec. ¿Qué hacer para comprobar si tu PC forma parte de una botnet? Siguiendo las instruciones de Prevx, la idea es intentar detectar conexiones entrantes o salientes desde tu ordenador que no han sido gestionadas por una petición tuya: conexiones que se vuelven inexplicablemente lentas en ocasiones cuando intentamos realizar determinadas tareas pueden ser una señal de alarma. En sistemas Windows – para Mac, la incidencia estadística de este tipo de temas es prácticamente nula – la determinación comienza cerrando todos los programas que usen Internet (navegador, correo, gestores de descarga, etc.), abriendo el administrador de tareas (Ctrl+Alt+Supr), y comprobando el uso de recursos de red en la pestaña correspondiente: un porcentaje de uso elevado puede suponer la presencia de alguien que está utilizando la conexión sin tu permiso. El siguiente paso, dado que tu software de seguridad habrá sido ya comprometido, es instalarse un segundo producto alternativo de empresas como AVG, Kaspersky, Panda, Sophos y otras, o utilizar alguna herramienta de diagnóstico online. Como en todo este tipo de temas, lo importante es elevar el nivel de conocimiento acerca del problema, con el fin de desarrollar más la conciencia en este sentido.

26 comentarios

  • #001
    Santana - 17 Marzo 2009 - 03:52

    me ha gustado mucho el “anuncio”.

    Has hablado de Mac y te has olvidado de Lunix….?¿?¿

  • #002
    Anónimo - 17 Marzo 2009 - 08:28

    Por favor, no recomiendes un “virus” como Panda a los usuarios de Windows, luego nos quejamos de que Windows va mal…

  • #003
    kiki - 17 Marzo 2009 - 09:04

    ejercito de zombies, suena a Thrilerrrrrrr de Michael Jackson.
    Esto se soluciona mucho si apagáramos el ordenador y el modem por la noche en vez de dejarlo 24×7 para bajarnos cositas…

  • #004
    Gorki - 17 Marzo 2009 - 09:27

    Lo que se les ha olvidado decir es que si te robamn tus claves, datos bancarios, etc, de nada vale que luego borres los virus, porque esos datos ya los tienen.

    El problema de todos los antivirus es que funcionan a toro pasado, pues igual que los tienes tu, los tienen los hacker y lo primero que se preocupan es de que su virus pase las barreras antivirus.

    Luego mejoran el antivirus y detectan el nuevo virus pero de nada vale ya, esos virus son historia..

    Es por eso que yo propugno tener un ordenador viejo exclusivamente dedicado a conectarte a Internet y trabajar en la “nube” y uno potente y actual para trabajar el “la tierra”,

    En el PC viejo tienes lo solo lo imprescindible, el SO y un navegador y con un disco duro USB pasas los datos que necesites de un ordenador a otro..Aunque montes programas con virus en este ordenador como no se conecta a Internet no te pueden robar datos
    .
    En el ordendor viejo, como los datos los tienes en “la nube”, cuando notas la menor cosa rara, borras todo y vuelves a cargar SO y navegador., (yo lo tengo todo en una carpetadel disco duro ), y cambias las claves. Yo no tomo ninguna precaucion adicional, porque son un latazo tenerlas actualizadas, pero si eres muy desconfiado puedes además hacerlo y poner un firewal y un antivirus y lo que quieras, el problema es que, aunque tengas que reinstalar menos veces, tendrás que reinstalar mas cosas. Yo reinstalo todo en uuna media hora y lo vengo a hacer una vez al año…

    En el Pc moderno es en el que tienes todo aquello que te importa conservar, o que es privado. Yo lo hago así y me va muy bien.

  • #005
    Felipe Alfaro Solana - 17 Marzo 2009 - 10:11

    Enrique,

    A ver cómo le explicas al usuario común y corriente de ordenador, que apenas sabe diferenciar entre el navegador y el sistema operativo, cómo se analizan las conexiones entrantes y salientes del ordenador.

    En definitiva, lo mejor que puede hacer el usuario es utilizar plataformas de bajo riesgo (Mac OS X, Linux, *BSD) y usar el sentido común: nunca iniciar sesión con una cuenta de administrador (complicado, ya que tanto Windows como Mac se empeñan en que la primera cuenta del sistema tenga dichos privilegios), no abrir archivos adjuntos de fuentes desconocidas, etc, etc, etc.

  • #006
    gonji - 17 Marzo 2009 - 10:41

    Lo que es alucinante es que desde hace una semana no funciona el servicio de realmail de vodafone con las cuentas de telefonica en las PDA. Están dejando dejado sin servicio a miles de personas durante días. Eso si que es un problema de virus, pero de virus estafador.

  • #007
    Albert - 17 Marzo 2009 - 11:24

    Es alucinante, Gorki, que nos hayas contado mil veces orgulloso tu manera de trabajar totalmente segura. Totalmente segura para ti, pero como ya te han dicho alguna vez, tú eres uno de los que está alimentando todas esas botnets, zombies y mil etcéteras. A ti te da igual porque sólo te ensucian el ordenador viejo, el de internet, el tonto… para qué vas a tomar precauciones si “son un latazo”.

    Está bien que lo hagas, cada cuál hace lo que le place. Pero encima hacer apología de ello… qué quieres que te diga. Si todos hiciéramos como tú internet sería un lugar absolutamente intransitable.

  • #008
    npc - 17 Marzo 2009 - 12:02

    #4. A toro pasado? Heurística? Conoces el término? Además, estoy de acuerdo con #7 que no se puede tener una actitud pasiva en temas de seguridad…

  • #009
    Patxi Igandekoa - 17 Marzo 2009 - 12:08

    El problema no está en los virus sino en los troyanos, asi como en los sucesores de estos, unos artefactos que interfieren el flujo de instrucciones y las librerías del sistema operativo a bajo nivel. Traducido al español: esto los hace indetectables. Pasas un dir en línea de comandos y no los ve; pasas un ‘netstat -ano’ en la misma línea de comandos y tampoco ve la conexión abierta ni los puertos utilizados. Pero el rootkit está ahí, haciendo su trabajo, a la espera de órdenes procedentes del exterior.

    Una botnet está formada por unos cuantos troyanos o rootkits. Detectar los primeros es trivial. Yo mismo me he librado de unos cuantos rastreándolos con los mismos comandos del sistema o herramientas forenses. El rootkit es otra cosa. Si no entiendes bien su funcionamiento lo mejor es formatear el disco duro y comenzar desde cero.

    Es conveniente darse cuenta de que en este tema más vale prevenir que curar. Para no entrar en órbita de las bots hay que saber cómo entra un troyano en tu ordenador, o de lo contrario no te quedará sino llegar a los extremos de paranoia del compañero Gorki: poner un ordenador viejo a las puertas de tu casa y tener el nuevo permanentemente desconectado de cualquier red. Puestos a ello, ¿por qué no dar de baja nuestra línea ADSL? Esta sí que sería la solución final.

    Los troyanos entran desde páginas web poco fiables, por correo electrónico o mediante ingeniería social (es decir, el arte del que se sirven los hackers para que un usuario incauto les diga su login y su contraseña). Vale tener un Panda elefantiásico tan grande como el propio Windows chirriando en el disco duro, siempre vigilante y con el archivo de firmas actualizado. Pero también hay que estar al tanto del modus operandi del enemigo.

  • #010
    JulioJED - 17 Marzo 2009 - 12:40

    Yo en el portátil tengo Ubuntu y en el sobremesa Linux Mint. Ni uso antivirus, ni cortafuegos, ni nada ¿puedo tener problemas o es verdad que mi SO es de bajo riesgo?

  • #011
    julio - 17 Marzo 2009 - 12:41

    No hay como la biodiversidad, digo la tecnodiversidad para evitar este tipo de problemas.

    Claro que tienes que ser un “friki”, para no usar el sistema que usa la mayoría…

    Un saludo

  • #012
    Patxi Igandekoa - 17 Marzo 2009 - 14:22

    Si en el portátil tienes Ubuntu y en el sobremesa Mint (por cierto una muy buena distribución internacional – yo también la he probado), no hay de qué preocuparse. Eso sí, por precaución cuando navegues hazlo como usuario normal del sistema y nunca como root. No es que asi te puedan instalar un troyano, sino más bien para protegerte de tí mismo. Con los privilegios del administrador se pueden hacer auténticos estropicios.

    Un saludo,

  • #013
    Gorki - 17 Marzo 2009 - 19:33

    Está demostrado hasta el aburrimiento que los antivirus no sirven de nada, si sirvieran ya habrían desaparecido los virus.
    Esta demostrado que es el mismo usuario quien abre la puerta a los virus y eso no se puede evitar.. Claro está, puedes poner altas muralla, pero eso desde la Guerra de Trota que se vió que no vele para nada. ¿Cuantas ciudades siguen amuralladas?
    Fueron los troyanos quienes introdujeron en troya el caballo de madera y así sigue siendo ahora. .

    Me llaman paranoico y lo unico que hago es es utilizar la defensa típica de los pacifistas y los yudocas, vencer aprovechando la el ímpetu fuerza del contrario. De nada les vale vencer, porque no hay premio al vencedor, ¿para qué les voy a poner trabas?..

    Si todos hicieramo igual, (algo totalmente utópico), dejarían de haber ladrones, si todos contestaramos al Span con un pedido falso, dejaría de haber Span. Hay que defenderse utilizando sus mismas armas, si quieres taza, taza y media..

    Yo no me privo de probarr programas que pueden serme útiles, pero que pueden ocultar troyanos. no me privo de entrar en sitios que potencialmente pueden ser peligrosos, o de abrir correos con adjuntos, logicametne tomo las trecauciones habituales en estos casos, pero si cometo un error, que de tarde en tarde lo cometo como todos, con media hora deshago el entuerto.

    ¿Puede que escriba algún Spam? Puede, pero no leen mis datos bancarios, ni entran en lo que me importa, y cuando lo detecto puedo facilmente evitarlo. Quien confía en sus defensas está tan expuesto como yo y cuando se infecta le sacan lo que tiene en el ordenador.

    Vosotros quereis seguir los consejos de un fabricante de antivirus como es Symatec, estáis en vuestro perfecto derecho. Qué esperáis que diga ¿ Que no vale para nada su producto?
    Lógicamente no lo va a decir, pero pedirle un contrato con cláusula de indemnización si os entra un virus con su antivirus ¿A ver si os lo firma?.

    Este sistema de defensa no es mío, es planeado por un experto para defender una empresa, de los riesgos. de los PC que conectan con Internet, ponerlos fuera de la Intranet,

    Simplrmente a mi me convenció y la experiencia me dice que da buen resultado, pero me es indiferente si lo seguie o no.

    Así de sencillo, hacer lo que os plazaca, exactamente igual que hago yo, pero por favor no insulteis.. .

  • #014
    LT - 17 Marzo 2009 - 19:57

    Lo más preocupante es que los antivirus no pillan a estos troyanos y no reconocen su fracaso por motivos comerciales. Cuando me llega un PC ‘tocado’ no pierdo el tiempo con antivirus, lo formateo y reinstalo el sistema.
    Ubuntu es la mejor solución que conozco para navegar traquilo y tiene una instalación desde Windows sin ningún riesgo para los novatos.
    Si se supiese el calado del problema se acabaría el comercio electrónico y lo único que hacen los bancos es añadir más claves a las Visa para que los datos capturados dejen de ser utilizables.

  • #015
    Albert - 17 Marzo 2009 - 20:57

    @Gorki, ¿no insultéis? Puedo haber leído algo en diagonal, pero yo no he visto ningún insulto hacia ti hoy.

    Respecto al argumento que muchas veces también has esgrimido de contraatacar al spam con pedidos falsos… la verdad es que nunca he querido entrar, pero el caso es que aunque como idea parece ingeniosa, es un atropello. Me explico: si todos hiciéramos eso (o simplemente si lo hiciera un % significativo de usuarios), ¿qué impediría a una empresa hacer spam bajo el nombre de su competidora para así poblarla de pedidos falsos?

    No sé, tus argumentos me recuerdan a esa tiendecita de barrio que decide que en lugar de comprar una máquina detectora de billetes falsos, simplemente no los revisará y hará circular todo billete falso que a ella le llegue. Puede convertirse en la ‘botnet’ del barrio porque por ahí entrarán todos los billetes falsos que después irán a parar a los bolsillos de todos los vecinos.

  • #016
    Patxi Igandekoa - 17 Marzo 2009 - 23:03

    Que conste que lo mío iba medio en broma y sin ninguna intención de ofender. Es más, reconozco que en ese método hay algunas virtudes. Pero yo lo haría de otra manera. No necesitas dos ordenadores, sino uno, con un disco duro dividido en dos particiones. Tras instalar el sistema operativo (e.g. Windows XP) y los programas en una de ellas -dejando la otra para datos-, con todo funcionando, antivirus, firewall y la configuración de Internet completa, haces una imagen bit por bit en un disco duro USB y la guardas.

    Si alguna vez tienes un problema de troyanos y no lo puedes solucionar, arrancas el ordenador con la misma distribución live de Linux con la que hiciste la imagen (yo suelo utilizar SystemRescueCD o Knoppix), y la vuelcas sobre la partición del sistema. Todo quedará en el mismo sitio que al principio, y lo mejor de todo: el ordenador arranca como si tal cosa, sin necesidad de tirar del CD de instalación. Esto es cosa de 40 minutos como máximo, pero no requiere interacción con el usuario. El sistema queda como nuevo, sin fragmentación, y todos los virus y troyanos habrán muerto.

    Naturalmente el disco duro portátil debe tener una capacidad superior a la partición de la cual se quiere hacer la imagen, y algo muy importante: el sistema de archivos no podrá ser VFAT (pues el tamaño máximo de archivo que admite es solo 4GB). Lo más práctico es formatear el soporte con ext2, ext3 o ReiserFS con la ayuda del propio CD autoarrancable de Linux. Desde hace poco las particiones NTFS también son accesibles desde Linux en modo escritura, pero no tengo experiencia con los controladores que se emplean.

    Disculpad por la profusión de terminología no-microsoft, pero os juro que esta es la manera más sencilla de decirlo.

  • #017
    Ricardo - 18 Marzo 2009 - 00:13

    Genial, y entonces se enteran de todo lo que tenemos en el ordenador, como las películas, la música, documentos personales… Esto sí que es peligroso y no que tu ordenador vaya lento.

  • #018
    Julio Gordón - 18 Marzo 2009 - 07:26

    Sólo quería puntualizar que el administrador de tareas no se activa mediante (Ctrl+Alt+Supr) sino a través de la combinación Crtl + Shift + Esc.

  • #019
    Carlos Arias - 18 Marzo 2009 - 11:26

    #2 estaría bien que a la hora de hacer críticas expusieras argumentos… Desde el equipo de Panda trabajamos duramente para ofrecer el mejor servicio a nuestros usuarios, y una crítica constructiva siempre será muy bien recibida para ayudarnos a mejorar.

  • #020
    Patxi Igandekoa - 18 Marzo 2009 - 14:18

    Ya que estás ahí, podrías explicar brevemente por qué Panda consume tantos recursos, y cuál es el valor añadido de utilizar vuestro producto con respecto a otros más livianos o bien gratuitos. Gracias por adelantado y un saludo desde Bilbao.

  • #021
    El Observador - 18 Marzo 2009 - 14:47

    Pues te dejo la mia Carlos Arias.

    1) Estaria muy bien que el ordenador no bajara de rendimiento alarmantemente por estar Panda activo.

    2) Estaria aun mejor que detectara realmente virus minimante recientes.

    3) Seria ya la pera que para algo que detecta, realmente sepa borrarlo y eliminarlo sin que aparezcan mensajes del estilo “no es posible borrarlo porque el archivo esta en uso” etc etc…

    Al comentario #3: un consejo muy grande… tambien reduciriamos accidentes de transito si solo usamos el coche una vez al año, pero que quieres que te diga, hay gente que se compra el ordenador para usarlo, fijate tu que curioso.

    Saludos

  • #022
    Teresa - 18 Marzo 2009 - 15:54

    Crítica constructiva:
    Por Dios, haced el antivirus menos pesado para Vista…consume demasiados recursos.

  • #023
    Francisco Hizo - 18 Marzo 2009 - 23:01

    Enrique
    Interesante reporte, no tenia conocimiento acerca de las botnets. Creo que existe mucho pan por rebanar en cuanto a medidas de regulacion y control en el mundo del internet.

    Saludos
    Francisco

  • #024
    Santi C - 21 Marzo 2009 - 15:59

    Las botnets no son Pc’s Zombies, son infectados xDD

  • #025
    cualquiera - 22 Marzo 2009 - 20:57

    A veces pensais que todo el mundo le encanta el mundo de los ordenadores. Yo me pongo en la piel de un usuario corriente (que son la mayoría de las personas, nosotros somos la minoria) y en serio no se entera ni la misa la mitad, principalmente porque no le interesa.

    No sé imaginaros que todas estas cosas las tuviese que controlar en cualquier otro electrodomestico de mi casa o en el coche.

  • #026
    LJ - 28 Abril 2009 - 04:04

    Hola una consulta, soy nueva en esto he instale un antivirus panda pro, en una notebook con vista, que hasta ese entonces compartia recursos con una pc de escritorio con XP, la pregunta es, el panda causaria eso?
    Quien me pueda ayudar, muchas gracias.

Dejar un Comentario

Los comentarios están cerrados