Botnet de IoT

Una botnet IoT es una red de dispositivos de Internet de las cosas comprometidos o infectados que pueden ser controlados a distancia por ciberdelincuentes con fines maliciosos, como ataques de denegación de servicio distribuido (DDoS), propagación de malware, robo de datos y otros tipos de ciberataques. El dispositivo comprometido puede incluir cualquier dispositivo que se conecte a Internet y comunique datos: electrodomésticos inteligentes, cámaras, routers, etc. El gran número de dispositivos que pueden incluirse en una botnet IoT la convierte en una herramienta atractiva para que los ciberdelincuentes lancen ataques.

Evaluación de riesgos DDoS Protector de Quantum

¿Cómo funciona?

Una botnet IoT se construye utilizando malware IoT. Los ciberdelincuentes suelen apuntar a los dispositivos de IoT cuando construyen botnets porque suelen tener una seguridad deficiente. Por ejemplo, se han creado grandes redes de bots de IoT intentando iniciar sesión con credenciales predeterminadas o explotando vulnerabilidades no parcheadas en el software de los dispositivos de IoT. Estos agujeros de Seguridad de IoT permiten a un atacante acceder al dispositivo y ejecutar el malware botnet.

Una vez instalado el malware botnet en un dispositivo de IoT, éste puede ser controlado a distancia para que cumpla las órdenes del atacante. Por ejemplo, un bot de IoT puede recibir instrucciones para participar en un ataque DDoS contra una dirección en particular.

¿Cuáles son las amenazas de las botnets de IoT?

La red de bots IoT puede utilizarse en diversos ataques que requieren potencia de cálculo o ancho de banda de red, entre ellos:

Ataques DDoS: Los ataques DDoS son uno de los usos más comunes de una botnet de IoT. Se ordena a todos los sistemas infectados de la red que envíen peticiones al objetivo, saturándolo.
Credential Stuffing: Un ataque de relleno de credenciales consiste en intentar iniciar sesión en las cuentas de los usuarios con contraseñas comunes o vulneradas. Las botnets de IoT se utilizan comúnmente para esto, ya que cada bot puede trabajar a través de una lista de servicios de destino, nombres de usuario y contraseñas.
Phishing: Los botnets pueden utilizarse para enviar spam o correos electrónicos a phishing. Esto permite al atacante lograr un volumen más alto y evitar los filtros basados en direcciones IP.
Cryptojacking: El malware Cryptojacking utiliza la potencia de cálculo de un ordenador infectado para minar criptomonedas. Los bots de una red de bots IoT pueden hacerlo utilizando el dispositivo de IoT que infectan.
Creación de botnets: Las botnets crecen distribuyendo el malware de la botnet. Los robots pueden buscar e infectar automáticamente dispositivos vulnerables mediante el escaneado de vulnerabilidades, credenciales predeterminadas y otros vectores de ataque.

¿A qué sectores pueden afectar las botnets de IoT?

Las botnets de IoT pueden afectar a empresas de cualquier sector. Si una empresa utiliza un dispositivo de IoT -una práctica cada vez más común en los sectores de la sanidad, el transporte, la fabricación, la energía, los servicios financieros y otros-, su dispositivo de IoT puede ser reclutado por una botnet. Incluso si una empresa no utiliza dispositivos de IoT, puede ser el objetivo de ataques DDoS u otros ataques impulsados por redes de bots.

Tipos de modelos de botnets

Las botnets están diseñadas para recibir y ejecutar comandos del operador de la botnet. Esta infraestructura de comando y control (C2) se puede organizar de diferentes maneras, entre las que se incluyen:

Botnets centralizadas: Un único servidor C2 gestiona directamente los bots de la botnet.
C&C escalonados: Existen varios niveles de servidores C2 con diferentes propósitos, lo que hace que sea más difícil derribar una botnet.
Redes de bots descentralizadas: Los bots se comunican a través de una red peer-to-peer (P2P) en la que cada bot retransmite las órdenes que recibe a otros bots.

Ejemplos de botnets de IoT

Actualmente hay numerosas botnets en funcionamiento. Algunos de los más significativos incluyen:

Mirai: Mirai es una red de bots IoT que se propaga iniciando sesión en dispositivos utilizando credenciales predeterminadas. Generó muchas botnets nuevas después de que su código fuente se hiciera público.
Qbot: Qbot es una botnet de IoT que surgió por primera vez en 2008, pero que sigue activa en la actualidad. Al igual que muchas otras redes de bots, Qbot incluye código para eliminar otro malware de la red de bots de un dispositivo infectado.
Kaiten: La base de código de Kaiten ha sido de código abierto desde 2001, lo que permite a muchos delincuentes menos hábiles operar botnets. Kaiten se propaga mediante la fuerza bruta de contraseñas a Telnet.
La muerte: Reaper, también conocida como IoTroop, es una botnet que se descubrió por primera vez en 2017. Este malware botnet se propaga explotando vulnerabilidades conocidas en una serie de dispositivos.

Cómo protegerse contra las botnets de IoT

Las botnets de IoT representan una amenaza significativa para las organizaciones, ya que son capaces de lanzar ataques masivos contra los sistemas de una organización, abrumándolos con más tráfico del que pueden manejar.

Obtenga más información sobre la vulnerabilidad de su organización a los ataques DDoS con una exploración gratuita del analizador de bots DDoS. A continuación, para obtener más información sobre cómo proteger a su organización contra los ataques DDoS, consulte este libro electrónico Cómo elegir la solución DDoS adecuada. Check Point también ofrece recursos sobre cómo gestionar un ataque aleatorio de denegación de servicio (RDoS).

Check Point Quantum DDoS Protector y Quantum Protector Cyber Controller ofrecen una sólida protección contra los ataques DDoS y otro tráfico malicioso de bots. Check Point Quantum Protector dispone de soluciones dimensionadas y adaptadas a las necesidades de organizaciones de cualquier tamaño.