Servicio AntiBotnet: Información del servicio
El Servicio AntiBotnet es un mecanismo que te permite conocer si existen amenazas o incidentes de ciberseguridad relacionados con redes de ordenadores comprometidos o botnets, u otras amenazas asociadas a tu conexión a Internet. Para ello se chequea tu dirección IP pública contra nuestra base de datos del servicio AntiBotnet.
Lo primero que debes saber es ¿qué es una botnet?
Una botnet es capaz de controlar muchos ordenadores o dispositivos de usuarios de forma remota sin su consentimiento para propagar malware, generar spam y cometer diversidad de delitos y fraudes en Internet.
¿Has notado que tu ordenador va más lento de lo normal, el ventilador hace mucho ruido aún cuando no lo estás utilizando y algunas aplicaciones han dejado de funcionar correctamente? Estos síntomas podrían ser debidos a que tu ordenador se ha convertido en un pc zombi. ¿Eso qué significa? Que hay alguien, aparte de ti, que está controlando tu ordenador sin que seas consciente de ello.
Pero, ¿cómo tu ordenador se ha convertido en un zombi? Se ha infectado con un tipo de virus capaz de controlar tu ordenador de forma remota. Esto quiere decir que alguien, sin estar físicamente delante de tu ordenador, y con los conocimientos técnicos suficientes, puede manejarlo a su antojo. Pero eso no es todo, si tu ordenador es un zombi, estará formando parte de una red zombi de ordenadores, más conocido por el término anglosajón botnet, que no es más que un gran número de ordenadores zombi, infectados con el mismo tipo de virus, que están controlados por una misma persona u organización criminal.
¿Qué es la dirección IP pública y por qué se utiliza para saber si estoy afectado?
Simplificando al ámbito domestico más común, la dirección IP pública es la dirección que identifica a los dispositivos de nuestra red cuando navegamos por Internet y que normalmente está asociada al router que proporciona la conexión. Esta dirección es asignada por nuestro operador de servicios de Internet y puede ser fija (siempre tenemos la misma) o dinámica, es decir, puede cambiar a lo largo del tiempo, siendo esto algo transparente para el usuario final. Decimos que es pública, porque al navegar por Internet este dato es conocido o proporcionado a aquellos sitios o servicios que utilicemos, visitemos o por los que naveguemos. Según esto, si algún ordenador o dispositivo de tu red está infectado por una botnet u otra amenaza, el equipo servidor desde el que se esté controlando dicha red maliciosa en este momento asociará tu ordenador con dicha dirección IP.
¿Cómo sabe INCIBE que mi dirección IP pública está relacionada con estas redes de ordenadores controlados?
Las entidades públicas y privadas que trabajamos por la seguridad en Internet tratamos de detectar, siempre en el marco de la legalidad vigente, estas redes maliciosas para así mitigar sus efectos, luchar contra ellas y ayudar a desinfectar los equipos de los usuarios finales afectados. Para ello, tratamos de detectar los servidores que controlan a los miles de ordenadores infectados. Gracias a este trabajo y en colaboración con las Fuerzas y Cuerpos de Seguridad y entidades a nivel internacional, se puede tomar control de estos servidores para desarticular la botnet o parte de ella. Con este control, los equipos de seguridad podemos identificar las direcciones IP públicas que actúan como bots o zombies, es decir, las direcciones IP de los dispositivos infectados que se están conectando, sin saberlo, a estos servidores maliciosos. Con esta información podemos llegar a prestar servicios como este.
La base de datos de INCIBE, proporciona información en tiempo real sobre direcciones IP públicas españolas que están asociadas con estas redes maliciosas, así como el momento en el tiempo en el que se detecta y el tipo de amenaza o malware que le puede afectar.
Para explicarlo mejor te mostramos este diagrama:
¿Cuál es el alcance del servicio?
Como hemos indicado, nuestra base de datos solo contiene información sobre direcciones IP relacionadas con incidentes de redes botnets u otras amenazas, geolocalizadas en España. Esto quiere decir que nuestro servicio sólo es útil si lo ejecutas desde una conexión a Internet en España.
Uso del servicio
Te aconsejamos que uses este servicio desde tu conexión a Internet particular si quieres saber si hay dispositivos infectados por botnets u otras amenazas. No te aconsejamos que lo uses en redes wifi públicas, ya que en ese caso el incidente podrá estar asociado a cualquier dispositivo que se conecte a través de dicha red.
¿Qué significa que el resultado del servicio sea positivo?
Si el resultado de ejecutar el servicio es positivo, significa que algún dispositivo que comparta tu conexión a Internet, bien el que estás usando u otro, puede estar infectado por un malware relacionado con una botnet u otras amenazas. En ese caso te daremos la información de la que disponemos para ayudarte en la identificación del dispositivo afectado y en la desinfección.
¿Cómo puedo saber cuál es el dispositivo afectado o infectado?
Nuestro servicio no identifica dispositivos de usuario infectados, sólo contrasta tu IP pública contra nuestra base de datos, tal y como se explica en el diagrama anterior. En caso de que el servicio te devuelva un resultado positivo, el dispositivo afectado será alguno de los que están conectados a Internet en tu red en el momento de la detección del incidente, no tiene porqué ser el equipo desde el cual se ha identificado la amenaza.
¿Qué significa que el resultado del servicio sea negativo?
Un resultado negativo significa que la dirección IP pública con la que navegan en estos momentos los equipos de tu red no ha estado registrada en las últimas 3 horas en nuestra base de datos. Esto quiere decir que nosotros no tenemos constancia de que tu dirección IP actual forme parte de alguna de las botnets u otras amenazas sobre las que nosotros tenemos información, de ningún modo significa que tus ordenadores o dispositivos estén seguros. Ten en cuenta que este servicio es un mecanismo de detección puntual y que no sustituye en ningún caso a los sistemas antivirus o anti-malware. Te recomendamos la instalación de nuestro plugin para Chrome o Firefox, para un chequeo continuo, que estés al día de los consejos para prevenir infecciones y que utilices herramientas de seguridad en tus dispositivos.
¿Existen falsos positivos o negativos?
Si, pueden existir. El servicio tiene una fiabilidad muy alta, pero debido a que las direcciones IP públicas que se asignan a las líneas ADSL o conexiones a Internet pueden cambiar, existe un pequeño margen de error de falsos positivos o negativos. Además, debes tener en cuenta que se pueden dar falsos positivos en caso de que tu operador de servicios de Internet utilice CGNAT, lo que implica que a varios clientes se les asigna una misma dirección IP. En estos casos nuestro servicio podría estar dando un positivo a varios usuarios a la vez, cuando sólo uno de ellos estaría infectado. Si el servicio te indica que en tu red hay algún dispositivo infectado y tras analizarlos compruebas que están limpios puede deberse a uno de estos motivos.
¿Por qué si me he desinfectado el resultado sigue siendo positivo?
Debes tener en cuenta que mantenemos los registros de infecciones en nuestra base de datos durante 3 horas. Esto significa que, aunque hayas seguido los pasos recomendados para la desinfección, puede pasar un periodo de tiempo hasta que el servicio indique que no se han detectado incidentes en tu conexión.
¿Qué hace INCIBE con mi dirección IP pública al usar este servicio?
INCIBE utiliza tu dirección IP pública, siempre con tu consentimiento explícito al aceptar las condiciones de uso y privacidad del servicio, para contrastarla contra nuestra base de datos en tiempo real y poder ofrecerte el resultado del servicio. La dirección IP se guarda solamente con fines estadísticos y nunca asociada a un usuario en concreto.