Universidad Nacional Autónoma de México
Dirección General de Servicios de Cómputo Académico
Año 7 Núm. 74, Publicación Mensual, 27 de Noviembre de 2008

ARTÍCULOS

 

Año 4, Número 35, Enero de 2005

Redes zombi¿por qué deberían preocuparnos?

Juan Carlos Guel López

 

En los últimos meses, la técnica zombi de ir conquistando equipos de cómputo de forma transparente para el usuario final se ha incrementado de manera notable; se le considera una de las grandes amenazas y una nueva forma de delito cibernético, que ha llegado a ser un producto intercambiable que crece, día con día, entre la comunidad underground para ampliar sus dominios, en tanto que las formas para explotarla también han evolucionado.

¿Qué son las redes zombi?

En términos informáticos, un programa zombi dentro de un equipo de cómputo, es aquel que se controla de forma remota y comúnmente se instala en los equipos sin el consentimiento del usuario, además, en la mayoría de las ocasiones, se utiliza para propósitos maliciosos. Cuando este programa se instala, proporciona al intruso un control absoluto del equipo, que ahora se encuentra en estado zombi.

Las redes zombi son un conjunto de equipos en Internet, comúnmente llamadas botnets, que se encuentran prisioneras e infectadas por programas tales como caballos de Troya, spyware o gusanos de propósito específico, que afectan a equipos de cómputo desprotegidos o no actualizados en sus sistemas de seguridad. Estas redes zombi son usadas, por lo general, para enviar correo no solicitado o, de forma sincronizada, transmitir ataques de negación de servicio distribuido a través de la red, provocando saturación, redes lentas y, en consecuencia, un impacto operacional y económico a cualquier organización.

Los equipos de cómputo sin protección antivirus, o algún programa anti-spyware, son los equipos favoritos para almacenar este tipo de programas; desafortunadamente, esa tendencia ha evolucionado en los últimos meses, ya que inclusive, equipos protegidos con algún antivirus pero que no contaban con las recientes definiciones de virus, gusanos y códigos maliciosos, se han vuelto blancos fáciles para expandir e instalar programas zombi dentro de los equipos.

Un poco de historia de las redes zombi

Inicialmente, los programas zombi fueron usados para obtener acceso a los equipos, instalar servidores, así como para establecer recursos de cómputo y anchos de banda gratuitos en equipos de terceros. Esta metodología se perfeccionó de tal manera, que llegó a contar con programas automáticos que le permitían a los operadores de los servidores, la instalación automática en diversos equipos alrededor del mundo, con un mínimo de esfuerzo.

Los usuarios se conectaron, y en los servidores IRC (grupos de servidores en contacto unos con otros) aumentó el número de usuarios para “chatear”, obligando a los operadores de los mismos a controlarlos y administrarlos respectivamente. Conocimos entonces el término bannear, o expulsar a un usuario, en este tipo de foros.

Como un método de venganza, los usuarios expulsados decidieron ir más allá y desarrollaron nuevas técnicas y métodos que les permitieran dañar a los servidores, en consecuencia, a los canales correspondientes. Con ello, por primera vez, vimos la implementación de ataques del tipo de negación de servicio y, posteriormente, ataques del tipo negación de servicio distribuido, antes de que fueran utilizados para atacar a las corporaciones.

Esta evolución permitió que se expandiera el uso de servidores IRC para “chatear”, así como su control de manera remota; asimismo, se introdujeron en ellos nuevas formas de utilización, a la par de servidores para enviar correo no solicitado; con ello, los intrusos se dieron cuenta que podían controlar no sólo estos servidores para “chatear”, sino que podían realizarlo de forma remota y que para hacerlo, empleaban programas zombi para controlar los equipos, no únicamente de este tipo de servidores.

Conforme dichos servidores se propagaron, las corporaciones implementaron medidas para eliminarlos, bloquearlos y protegerse contra el uso de éstos; entonces, aprendimos que los intrusos comenzaron a usar virus, gusanos, troyanos, spyware y toda clase de códigos maliciosos para seguir infectando y creando las redes con programas zombi.

Actualmente, las redes zombi se encuentran, en su gran mayoría, en servidores, pero usan muchas formas adicionales, mediante la combinación y mutaciones de gusanos, virus y códigos maliciosos.

Costo de las redes zombi

Es difícil determinar costos por redes zombis, más aún, cuando se desconoce la estimación real de los equipos zombi por países o de los millones de equipos que se encuentran conectados a Internet. Lo que sí sabemos, es que existe un mercado que está comenzando a propagarse y a provocar daños en los equipos de cómputo de las corporaciones; el cual crece día con día con preocupación, ya que no distingue si la red zombi se encuentra en una red pública, privada o académica provocando alentamiento de equipos, lentitud de redes y anchos de banda saturados, entre otros problemas.

Se cree que el costo de un equipo zombi en ambientes underground ronda los 10 centavos de dólar por acceso compartido en una máquina comprometida; por el contrario el no compartido, es decir, el acceso exclusivo al equipo, se vende en 25 centavos de dólar y se ofrecen descuentos en grandes cantidades.

Los pagos se llevan a cabo vía Paypal (el sistema de pago en Internet más extendido del mundo), en efectivo, o a través del correo a un buzón en cualquier parte. El acceso a los equipos se realiza una vez efectuado el pago y confirmado.

En los últimos meses, hemos observado que este tipo de comercio ilícito underground evoluciona. Hoy en día, vemos casos donde el trueque es la base de negocios underground, en los que se intercambian números de cuentas bancarias, de tarjetas de crédito, bases de datos de direcciones de correo, equipos comprometidos, entre otros; por ejemplo, se intercambian 30 mil equipos zombi por 20 números de tarjetas de crédito, tomando como base x número de centavos de dólar.

¿Para qué se usan los equipos zombi?

Cuando un equipo de cómputo es comprometido a través de la instalación de un programa zombi, éste puede ser blanco fácil para que los intrusos depositen y utilicen el equipo y recursos para diversos fines, entre los que sobresalen:

  • Generar ataques de negación de servicio distribuido.
  • Ataques al y desde el servidor IRC para “chatear”.
  • Descarga de software pirata.
  • Inclusión de material pornográfico.
  • Software de intercambio a través de redes P2P (Peer-to-Peer), principalmente intercambio de archivos con formato mp3 y mpeg.

¿Qué hacer si se sospecha que una máquina puede contener programas zombi?

Lo primero y la parte más importante por realizar, es asegurarse de que se cuente con la versión más actualizada de antivirus instalado en el equipo de cómputo. El siguiente paso es la administración del antivirus, el cual consiste en la actualización de las recientes definiciones de virus, gusanos y códigos maliciosos. Cabe señalar que la mayoría de los productos líderes especializados en antivirus, trabajan intensamente, en la investigación y detección de los últimos programas con este propósito.

Instalar una medida adicional de seguridad para el equipo, siempre es recomendable para eliminar programas spyware, tales como Adware o spybot. El día 11 de enero del 2005, Microsoft lanzó la primera versión de su producto anti-spyware, el cual en las últimas pruebas de laboratorio detecta una gran cantidad de programas y códigos maliciosos, herramienta a la que se le denominó Malicious Software Removal Tool.

Conclusiones

En los últimos años, el delito cibernético ha crecido y se ha diversificado, al emplear nuevas técnicas de intrusión. Las redes zombi son un ejemplo claro de esta diversificación, desafortunadamente siempre impactan en los usuarios finales que pagan costos altos por no mantener actualizados sus equipos de cómputo y con la instalación apropiada, ni con la administración periódica de su antivirus.

Internet evoluciona constantemente, y en la mayoría de las ocasiones, luchamos en vano en ambientes de seguridad, dado que la filosofía original bajo la cual fue creada Internet, dista mucho de lo que es actualmente. Es difícil perseguir y castigar este tipo de delitos, ya que diariamente son intercambiados en computadoras, tarjetas de crédito, accesos, cuentas de banco, etc. Para perseguir y castigar este tipo de problemas, se requiere de una gran coordinación entre equipos y expertos de seguridad; aunado a esto, sobresale la carencia de leyes que ayuden a combatirle, pero mientras no nos decidamos a combatirlos realmente en cada país, considerando trabajo de equipo de abogados y expertos en seguridad, para así entender el daño y hacer propuestas e iniciativas de leyes, los delitos seguirán manifestándose en múltiples formas, se sofisticarán, y el usuario final siempre estará pagando un costo alto –en muchas de las ocasiones no está ni siquiera enterado–; y a su vez, se seguirán originando graves problemas que pueden tener un impacto económico, con repercusiones en lo social.

Para mayor información:

Herramientas:

Inicio | Contacto |