Analizar el modelo de
negocio de las redes de dispositivos infectados permite saber cuánto cuesta
crear una y cuánto se puede ganar con los distintos tipos de ataques que
ofrecen. Un adelanto: lanzar un ataque DDoS con una botnet es la opción menos
rentable
Las botnets (redes de
bots) son oscuros ejércitos de dispositivos controlados por actores maliciosos
y vinculados a todo lo que está mal en internet. Las botnets han estado
implicadas en ataques distribuidos de denegación de servicio (DDoS), campañas
masivas de envíos de correo no deseado, fraudes de clics y fraudes bancarios,
por nombrar solo algunas de las opciones más desagradables del delito
cibernético. Claramente, alguien, en alguna parte, está haciendo una fortuna
como cerebro de este tipo de actividad criminal.
¿Cuánto
dinero generan las botnets y modelo de negocio que respalda la actividad?
Hoy sabemos la
respuesta gracias al trabajo del investigador de la Universidad de Twente
(Países Bajos) C.G.J. Putman y un par de comañeros. "No es ninguna
sorpresa que el motivo principal para usar una botnet sea el beneficio
económico", afirma su investigación, que ha analizado los costes y las
fuentes de ingresos de los ataques controlados por estos ejércitos de
disopositivos.
Básicamente, una botnet
es una red de ordenadores, smartphones o cualquier otro dispositivo inteligente
conectado a internet, que puede ser controlada en remoto por un atacante no
autorizado. La red se crea al infectar cada dispositivo con malware que se
comunica con el controlador y el resto de dispositivos de la red a través de
protocolos estándar de internet. El controlador puede manipular los
dispositivos dentro de la red zombi de varias formas indignantes.
Crear una botnet es bastante caro. Primero hay que
hacer I+D para encontrar lagunas en los sistemas operativos de las que se
puedan aprovechar. Luego toca escribir el código capaz de explotar estas
lagunas para hacerse con el control del aparato.
Esta es una tarea
altamente especializada. Putnam y su equipo sugieren que diseñar y ejecutar una
botnet capaz de atacar la infraestructura de internet a escala nacional o
internacional requiere un conjunto importante de expertos, incluidos analistas
de vulnerabilidades, explotadores, probadores y administradores. Para intentar
configurar una botnet para que sea capaz de atacar a EE. UU., probablemente
harían falta muchos cientos de expertos que tardarían alrededor de dos años
para planificar y ejecutar este tipo de sistema.
Una vez que el
malware ha sido desarrollado, debe expandirse por la red. Curiosamente, muchos
de los servicios requeridos se pueden adquirir fácilmente online. Por ejemplo,
los potenciales maestros de las botnets pueden usar un servicio de pago por
instalación para configurar la red. Estos se pueden comprar en la dark web por
entre dos y diez céntimos de euro por dispositivo infectado.
Es probable que este
servicio se ejecute mediante otras botnets que ya existen. Eso podría explicar
qué cuando un ordenador se infecta con malware generalmente tarda muy poco en
contraer otra infección informática distinta.
Algunos operadores de
alojamiento web también ofrecen un servicio "a prueba de balas", que
básicamente consiste en almacenar datos de clientes sin hacer preguntas, lo que
les da mucha libertad de acción. Eso sin duda sería algo muy útil para los
posibles maestros de las botnets.
Luego está el coste
de mantener la red una vez que se ha establecido. El malware se eliminará de
los dispositivos a cierta velocidad, tal vez porque han puesto un parche al
sistema operativo o han instalado un programa antimalware para combatirlo. Pero
otros aparatos menos sofisticados, como los aparatos de IoT, deben reiniciarse
para poder deshacerse del malware.
Así que el maestro de
las botnets debe combatir estas bajas constantes consiguiendo nuevos soldados a
un ritmo similar. En el caso de dispositivos simples, este proceso podría ser
tan fácil como verificar las direcciones IP y volver a infectar las que han dejado
de responder. Pero las cosas se complican en aparatos con parches de software,
ya que el propio malware debería actualizarse para sortear la actualización de
seguridad.
Esto puede llegar a
ser muy costoso, Putman y su equipo explican: "los costes de reinfección
se han estimado en alrededor de 0,0792 euros por dispositivo".
Con toda esta
información, los investigadores han estimado cuánto cuesta crear una botnet a
escala nacional o internacional. Para una botnet compuesta por 10 millones de
dispositivos, Putnam y su equipo estiman un coste alrededor de alrededor de 13
millones de euros. Aunque está claro que este precio podría ser
significativamente menor para ejércitos de aparatos zombi más pequeños.
Puede parecer una
inversión enorme, pero se vuelve insignificante cuando se compara con las
recompensas que se ofrecen. Putman y su equipo han estudiado cuatro modelos de
negocios diferentes para ver cuántos ingresos podría generar una botnet. Estos
son ataques distribuidos de denegación de servicio, publicidad spam, fraude
bancario y fraude de clics.
El equipo dice que
los DDoS que usan una red de 30.000 bots pueden generar alrededor de 22.000
euros al mes. La publicidad spam con 10.000 bots genera cerca de 250.000 de
euros al mes, y el fraude bancario con 30.000 bots puede ofrecer más de 15
millones de euros mensuales. Pero lo más rentable es el fraude de clics, que
genera más de 16 millones de euros al mes en ganancias.
El creador de una
botnet puede realizar esta actividad directamente o dejar que otras personas
controlen la red; luego estas personas se llevan la mayor parte de las
ganancias (y presumiblemente el riesgo).
Se trata de unas
cifras astronómicas. No cabe duda de que las botnets son un negocio muy
rentable para aquellos que llegan a tener éxito. Pero también hay grandes
riesgos. Quizás el más obvio sea el de ser atrapado y procesado. Gran parte,
pero no toda, de la actividad descrita aquí es ilegal en muchas partes del
mundo.
Por otro lado, Putman
y su equipo hacen referencia al menos a un trabajo que sugiere que los
gobiernos son uno de los principales clientes de este tipo de redes. Por lo
tanto, acabar con las botnets no siempre es lo mejor para un país.
También hay otro
problema. Cuando las botnets funcionan bien, generan grandes cantidades de
dinero. Pero los investigadores dicen que hay indicios de que ciertos tipos de
actividad cuestan más de lo que se puede compensar con los ingresos. Los
ataques DDoS son los menos rentables, y los costes de mantenimiento de una
botnet a veces pueden exceder los ingresos que esto genera.
Así que los creadores
de botnets no lo tienen todo se su parte. Ejecutar este tipo de red de malware
no puede comprar la felicidad, pero sí que puede pagar por un tipo de
sufrimiento aceptable por la mayoría.
Fuente: MIT Technology
Review