Servicio Antibotnet

Imagen de acompañamiento del servicio

Proteger los dispositivos de la empresa frente a las amenazas puede resultar complejo, ya que no siempre somos conscientes de la infección. Una de estas infecciones podría convertir a tus ordenadores en zombies controlados a distancia. Para ayudarte a identificar incidentes de seguridad relacionados con botnets ponemos a tu disposición el Servicio Antibotnet.

El Servicio Antibotnet es una herramienta que permite saber si la conexión a Internet asociada a tu empresa, siempre que se encuentre dentro de España, está relacionada con algún tipo de botnet o red zombi. Además, proporciona información adicional que te resultará de utilidad en la posterior desinfección.

El servicio Antibotnet es totalmente gratuito y tiene como objetivo que un empresario pueda comprobar si algún dispositivo de la red de su empresa está infectado por una botnet.

Una botnet o red zombi es un conjunto de dispositivos controlados remotamente por un ciberdelincuente. Los dispositivos infectados por la botnet pertenecientes a la empresa pasarán a ser controlados por los ciberdelincuentes, poniendo en riesgo la privacidad y seguridad de tu empresa. Algunas de las acciones que pueden llevar a cabo con los equipos de la organización comprometidos son:

  • Capturar contraseñas y datos personales. Recopilación de credenciales de servicios en línea como banca electrónica, redes sociales, correo web (Gmail, Outlook, etc.).
  • Enviar spam y propagar virus. Los ordenadores zombis pueden estar organizados para enviar correos basura o spam, a miles de direcciones de correo. Estos envíos de correos también pueden ser utilizados para difundir malware o campañas de phishing .
  • Realizar ataques de denegación de servicio distribuido o DDoS. El ciberdelincuente que tenga el control de la botnet indicará a todos sus dispositivos zombis que accedan a la vez a un determinado servicio, como por ejemplo, una página web para saturarla y provocar que deje de funcionar correctamente.
  • Manipular encuestas y abusar de los servicios de pago por publicidad. Los ordenadores zombis también pueden ser utilizados para manipular masivamente encuestas o acceder muchas veces a banners publicitarios que generan beneficios económicos a los ciberdelincuentes.
  • Minar criptomonedas. Los ciberdelincuentes pueden utilizar la capacidad de cómputo del equipo infectado para minar criptomonedas para su propio beneficio, afectando negativamente al desempeño de la actividad normal del equipo.
  • Llevar a cabo desde tu ordenador otro tipo de fraudes. Acceder a páginas web cuyo contenido es denunciable o ilegal.

El objetivo del Servicio es informar de amenazas o incidentes de ciberseguridad relacionados con botnets, para ello es vital comprobar si la dirección IP pública asociada a tu empresa se encuentra en la base de datos del Servicio y, por lo tanto, está relaciona con alguna botnet.

El Servicio no identifica dispositivos infectados , únicamente indica que algún dispositivo de la red de la empresa puede estar comprometido por una botnet. En caso de que el resultado sea positivo, te proporciona información relacionada con la amenaza, además para ayudarte a identificarlo (por ejemplo, el timestamp o sello de tiempo de la evidencia o el sistema operativo afectado). También se ofrecen enlaces a herramientas de limpieza para ayudar en la desinfección.

Debes tener en cuenta que el Servicio mantiene los registros de infecciones durante 3 horas. Esto significa que, aunque se hayan seguido los pasos recomendados para la desinfección, el servicio podrá tardar un rato en indicar que ya no hay incidentes relacionados con la conexión o dirección IP.

Este Servicio no sustituye en ningún caso a los sistemas antivirus o antimalware. El esquema de funcionamiento del servicio es el siguiente:

Diagrama de funcionamiento del Servicio Antibotnet

El Servicio Antibotnet ofrece a los empresarios un método fácil de monitorizar las direcciones IP públicas de su empresa en busca de amenazas relacionadas con una botnet. Para ello se debe realizar la consulta a través de la API del Servicio.

El departamento de informática, o la empresa de informática que gestione los ordenadores de la empresa, puede hacer uso del servicio siguiendo las instrucciones técnicas que podrán ver en el documento que se muestra al pulsar ACEPTO.

Si tu operador de servicios de Internet te ha enviado un código de incidente, generalmente a través del correo electrónico, significa que algún dispositivo que haya utilizado tu conexión a Internet en la fecha indicada, puede estar infectado por un programa malicioso o malware relacionado con una botnet. La comunicación realizada es similar al siguiente ejemplo:

Asunto:(e-mail#Nxx-xxxxxxx--AntiBotnet) Notificación de Ciber-Seguridad en colaboración con INCIBE. Estimado/a  cliente: Dentro del marco de colaboración público-privada que Telefónica de España, S. A. U. mantiene con la Administración española y en el ánimo de velar por la seguridad de nuestros clientes y del resto de usuarios de Internet, y en cumplimiento con lo dispuesto en la Disposición adicional novena de la Ley 34/2002, de 11 de julio[1], nos dirigimos a usted para informarle que hemos recibido un aviso de seguridad por parte del Centro de Respuesta a Incidentes de Seguridad e Industria (CERT-SI)[2]; a través del cual se nos comunica que alguno de los equipos conectados a su conexión a Internet asociada a la línea  podría estar afectado por un programa malicioso relacionado con redes de ordenadores zombie o botnets. Según este aviso, con fecha 2018-11-10 01:22:46 y con la dirección IP XX.XX.XX.XX, que en ese momento estaba utilizando su conexión a Internet, algún equipo o dispositivo habría tenido comunicación con la red de ordenadores zombie X, y por lo tanto se pueden estar realizando actividades maliciosas sin su conocimiento, que podrían afectarle a usted mismo e incluso a terceros. ============================= Procedimiento de desinfección ============================= Para obtener más información sobre esta amenaza y ayudarle en el proceso de desinfección de sus dispositivos, puede acceder a la web de la Oficina de Seguridad del Internauta (OSI) perteneciente al Instituto Nacional de Ciberseguridad (INCIBE)[3].    http://www.osi.es/es/servicio-antibotnet e introducir el siguiente código en la casilla que figura 'Consulta tu código':  XXXXXXXX

El código sirve para identificar la amenaza o nombre de la botnet, además ofrece información sobre la misma y pautas o herramientas que te ayudarán en la desinfección.

El Servicio se está llevando a cabo con la colaboración de Telefónica.

Para consultar el código que has recibido accede al Servicio Antibotnet de la OSI y selecciona el botón «Consulta tu código».