Año 2016. La pequeña República de Liberia, un país de apenas 111.000 kilómetros cuadrados al este de África, se encuentra con un grave problema: sus comunicaciones acaban de colapsar. La mayoría de sus 4,3 millones de habitantes se han quedado sin internet y la operadora que controla gran parte de la red del país, Lonestar, no comprende qué ha pasado, solo sabe que su red está totalmente caída.
Con el tiempo llegan las explicaciones: el culpable de todo es Daniel Kaye, un ciberdelincuente británico que, supuestamente contratado por un directivo de Cellman (la principal competidora de Lonestar en Liberia), se ha encargado de atacar su seguridad informática hasta hacerla caer y provocar un corte de red en casi todo el país. Kaye, por cierto, ya ha pasado a disposición judicial y acumula varios delitos de este tipo en varios países.
Kaye provocó esta caída él solo pero, a la vez, muy bien acompañado, ya que desplegó una completa estrategia en la que un sinfín de botnets atacaron al operador telefónico de manera continuada y simultánea hasta hacer caer su ciberseguridad.
Así funcionan los ataques de botnets
Los ataques de redes de bots o botnets son cada vez más frecuentes, como hemos visto a lo largo de 2018. La estrategia consiste en que el principal ciberdelincuente (bots master) consiga acumular el mayor número posible de robots que, desde los dispositivos infectados en los que se encuentren, lleven a cabo un ataque simultáneo y coordinado con un objetivo concreto: romper la ciberseguridad de uno o varios sistemas.
Los bots pueden tener varias puertas de entrada: el software ilícito, el malware que se cuele en un dispositivo por un mal uso de la red, la entrada de archivos maliciosos a través de un documento adjunto en un correo electrónico, etc. La finalidad, básicamente, es tener varios puntos de ataque que, coordinados, sean capaces de hacer el mayor daño posible.
Las consecuencias de este ataque
Cuando una empresa recibe un ataque de botnets, se arriesga a sufrir varias posibles consecuencias:
1.- Caída de la red. Los bots pueden ejecutarse para lanzar, de manera masiva, un sinfín de peticiones a una página web, consiguiendo colapsarla mediante un ataque de denegación de servicio distribuido (DDoS). Es lo que pasó en el caso de la red de Liberia o, sin necesidad de irnos tan lejos, en el ciberataque que la web de la SGAE sufrió en 2010.
2.- Infección de la red. Un ataque de botnets puede no tener como objetivo la web de una empresa, pero sí sus sistemas informáticos. Así, el ataque puede contar con varios puntos de entrada en un mismo sistema, pero tampoco es necesario: si consigue colarse en uno solo (el ordenador de un empleado que se bajó un archivo malicioso de un correo electrónico, por ejemplo), ese bot podría empezar a infectar de manera automática el resto de equipos que estén conectados a la misma red, afectando de lleno a la ciberseguridad empresarial de la compañía.
3.- Robo de información. La infiltración en la seguridad informática de una empresa puede provocar que los responsables del ciberdelito consigan no solo acceder a material y documentos confidenciales, sino también robarlos y distribuirlos a terceras personas, con el consiguiente perjuicio para el negocio de la compañía.
4.- Robo de recursos. En los últimos años, y ante la explosión de las criptomonedas, cada vez son más los ciberdelincuentes que recurren a botnets para conseguir que los equipos de una empresa dediquen parte de sus recursos al minado de bitcoins.
¿Cómo evitar ataques de botnets?
Para protegerse de este tipo de ciberataques, las compañías deben tomar medidas que mantengan a salvo su ciberseguridad empresarial:
1.- Política segura de navegación. A menudo, los empleados de una institución son la mayor puerta de entrada para un ciberdelincuente. Por eso, los trabajadores deben seguir una estricta política de navegación desde sus dispositivos, evitando entrar en páginas web conflictivas, en algunas redes P2P o en cualquier otra plataforma que pueda incluso introducirle malware sin fichero.
2.- Monitorizar los procesos. Hay ocasiones en que, por su funcionamiento, los ataques de botnets no levantan sospechas para algunos programas de seguridad tradicional, con lo que se hace imprescindible hacer una vigilancia más preventiva que curativa. Panda Adaptive Defense se encarga de monitorizar todos los procesos que tengan lugar en el sistema informático de la compañía, de modo que cualquier comportamiento anómalo de los recursos queda reflejado al momento. Tener visibilidad de todo lo que sucede en los dispositivos de la organización contribuye a reducir al mínimo los posibles vectores de ataque.
3.- Cuidado con el correo electrónico. El email de los empleados puede ser una buena puerta de entrada cuando el atacante pretende que sea una sola persona la que infecte a sus compañeros. Por ello, cualquier empleado debe mantenerse alerta ante cualquier sospecha (incluso el supuesto email de un jefe puede ser un peligro) y no descargarse ningún archivo adjunto cuando tenga la más mínima duda sobre su contenido y fiabilidad.
Y es que si algo caracteriza a los ataques de botnets es su sigilo y silencio… Hasta que la guerra se desata. Por ello, la prevención y el contraataque también deben ser proactivos, vigilando cualquier proceso del sistema informático de la compañía para proteger su ciberseguridad empresarial.