Los ingredientes para crear una "botnet" son: un virus, un "kit" de programas para manejar "botnets" y uno o más técnicos informáticos. El secreto está en colocar el virus en páginas con muchas visitas: "Una vez vimos una botnet con más de 11.000 páginas web comprometidas. Cada usuario de Windows que las visitaba con un navegador desactualizado quedaba automáticamente infectado. En dos días consiguió más de 90.000 afectados", explica Bernardo Quintero.
El virus puede mandarse también por correo electrónico, aunque la tendencia es ponerlos en páginas web. Después, es cuestión de esperar sentado a que la gente se infecte. Una vez dentro del ordenador, el virus descargará un programa y lo instalará de forma subrepticia: es el "bot", el lazo de unión entre el ordenador infectado y la "botnet", que permite su control remoto. En una hora, afirma Arz, "se pueden reclutar miles de ordenadores".
El "botmaster" lo observa todo desde su panel de "Comando y Control": puede ver en tiempo real los nuevos ordenadores que entran en la "botnet" y los que salen porque sus dueños los han desinfectado, estadísticas por orígenes geográficos, sistemas operativos, contraseñas y datos bancarios recopilados. A través del mismo panel, el "botmaster" manda órdenes a los ordenadores esclavos.
Es una tarea que puede hacer una sola persona desde su casa, con un ordenador y una conexión normales. A veces, un mismo técnico controla dos o tres "botnets" a la vez. "El trabajo duro es desarrollar los programas, la parte de gestión de la botnet es más llevadera", afirma Quintero.
Aún así, es un trabajo "full-time": quince horas diarias o más, asegura David Barroso, "sobre todo cuando están realizando un ataque masivo porque le dedican mucho tiempo y mimo, se lo toman en serio. Antiguamente era algo más 'light' pero ahora es un trabajo profesional".
El programa de "Comando y Control" de la "botnet" puede tener una interfície gráfica o ser una simple ventana de chat, en el caso de los más antiguos: los ordenadores infectados se conectan al canal de chat que se les indica y el "botmaster" les da órdenes a través de comandos de chat.
La segunda generación son los programas que funcionan por web, más difíciles de espiar y desactivar. Las máquinas infectadas se conectan con el "botmaster" a través del protocolo HTTP, que la mayoría de cortafuegos dejan pasar sin problemas. La tercera generación usa el protocolo P2P, sin nodos centralizados y, por tanto, casi imposible de clausurar. Además, se le añaden técnicas de cifrado para el envío de órdenes a los "bots", de forma que nadie las pueda espiar o tergiversar.
Los Negocios de las Botnets
Las "botnets" se usan mayoritariamente para el envío masivo de correo basura y virus, el bombardeo contra empresas y el espionaje, sea de empresas o de la información bancaria de los dueños de los ordenadores infectados. En casos como el envío de "spam", el espionaje o el bombardeo a empresas, para chantajearlas o mermarlas ante la competencia, el cliente contacta con la "botnet" y le encarga el trabajo.
En cuanto al robo de información bancaria a particulares, la "botnet" suele robarla por iniciativa propia y después la vende en el mercado negro. El propio programa de la "botnet" la recopila automáticamente: cada ordenador infectado tiene su ficha con los datos que se le han espiado, como números de cuenta y contraseñas.
Otro popular método de sacar rentabilidad a las "botnets" es el "click fraud", que se aprovecha de los anunciantes que pagan un porcentaje a los propietarios de sitios web, por cada persona que pincha en sus "banners". El fraude consiste en crear una página cualquiera, poner en ella algunos anuncios legales y hacer que todos los ordenadores de la "botnet" los visiten.
"A efectos prácticos, en las estadísticas se verá que los clics provienen de cientos o miles de direcciones IP diferentes, repartidas por todo el mundo, y por tanto parecerá que son usuarios legítimos y no una estafa", explica Bernardo Quintero. Así, el anunciante pagará el porcentaje convenido.
Algo parecido sucede con las empresas que pagan a quien se instale programas que muestran publicidad ("adware"). El "botmaster" los instala a todos los ordenadores de su "botnet" y cobra el dinero. "En muchos casos la empresa contratante, que en una ocasión fue una importante entidad bancaria española, no lo sabe", explica Quintero, aunque en otros, según el "Washington Post", la empresa publicitaria es consciente de ello.
Copyright 2009-2010 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital and no commercial medium, provide this notice is preserved.
