¿Cómo funciona el servicio de notificación de códigos?
El Servicio AntiBotnet es un mecanismo que te permite conocer si existen amenazas o incidentes de ciberseguridad relacionados con redes de ordenadores comprometidos o botnets, u otras amenazas asociados a tu conexión a Internet.
El Servicio no identifica dispositivos infectados , únicamente indica que algún dispositivo de la red de la empresa puede estar comprometido por una botnet. En caso de que el resultado sea positivo, te proporciona información relacionada con la amenaza, además para ayudarte a identificarlo como por ejemplo, el timestamp o sello de tiempo de la evidencia o el sistema operativo afectado (sello digital certificado con fecha y hora que permite garantizar que la evidencia se ha generado en el instante indicado). También se ofrecen enlaces a herramientas de limpieza para ayudar en la desinfección.
Lo primero que debes saber es ¿Qué es una botnet?
Una botnet es capaz de controlar muchos ordenadores o dispositivos de usuarios de forma remota sin su consentimiento para propagar malware, generar spam y cometer diversidad de delitos y fraudes en Internet.
Si últimamente has notado que tu ordenador va más lento de lo normal, el ventilador hace mucho ruido aún cuando no lo estás utilizando y algunas aplicaciones han dejado de funcionar correctamente, estos síntomas podrían ser debidos a que tu ordenador se ha convertido en un pc “zombi”. Eso significa que hay alguien, aparte de ti, que está controlando tu ordenador sin que seas consciente de ello.
Es posible que tu ordenador se haya infectado con un tipo de virus capaz de controlar tu ordenador de forma remota. Esto quiere decir que alguien, sin estar físicamente delante de tu ordenador, y con los conocimientos técnicos suficientes, puede manejarlo a su antojo. Pero eso no es todo, si tu ordenador es un zombi, estará formando parte de una red zombi de ordenadores, más conocido por el término anglosajón botnet, que no es más que un gran número de ordenadores zombi, infectados con el mismo tipo de virus, que están controlados por una misma persona u organización criminal.
¿Por qué he recibido una notificación de mi operador de servicios de Internet?
Si tu operador de servicios de Internet te ha enviado un código de incidente, significa que algún dispositivo que haya compartido tu conexión a Internet en la fecha indicada, puede estar infectado por un programa malicioso o malware relacionado con una botnet u otras amenazas.
El formato de la notificación recibida es similar a la siguiente:
Asunto: (e-mail#Nxx-xxxxxx--AntiBotnet) Notificación de Ciber-Seguridad en colaboración con INCIBE.
Desde: nemesys@telefonica.es
Estimado/a cliente:
Dentro del marco de colaboración público-privada que Telefónica de España, S. A. U. mantiene con la Administración española y en el ánimo de velar por la seguridad de nuestros clientes y del resto de usuarios de Internet, y en cumplimiento con lo dispuesto en la Disposición adicional novena de la Ley 34/2002, de 11 de julio[1], nos dirigimos a usted para informarle que hemos recibido un aviso de seguridad por parte del Centro de Respuesta a Incidentes del Instituto Nacional de Ciberseguridad (INCIBE-CERT)[2]; a través del cual se nos comunica que alguno de los equipos conectados a su conexión a Internet asociada a la línea podría estar afectado por un programa malicioso relacionado con redes de ordenadores zombie (botnets) u otras amenazas.
Según este aviso, con fecha AAAA-MM-DD HH:MM:SS y con la dirección IP X.XXX.XX.XX, que en ese momento estaba utilizando su conexión a Internet, algún equipo o dispositivo habría tenido comunicación con la red de ordenadores zombie [Nombre de la amenaza], y por lo tanto se pueden estar realizando actividades maliciosas sin su conocimiento, que podrían afectarle a usted mismo e incluso a terceros.
=============================
Procedimiento de desinfección
=============================
Para obtener más información sobre esta amenaza y ayudarle en el proceso de desinfección de sus dispositivos, puede realizar lo siguiente:
1. Si es un particular, acceder a la web del Instituto Nacional de Ciberseguridad (INCIBE) sección de Ciudadanía:
https://www.incibe.es/ciudadania/herramientas/servicio-antibotnet
e introducir el siguiente código en la casilla que figura “Consulta tu código”: Código de 8 letras mayúsculas
2. Si es una empresa, acceder a la web Protege Tu Empresa perteneciente igualmente al Instituto Nacional de Ciberseguridad (INCIBE), donde además le pueden aportar más información para proteger su negocio:
https://www.incibe.es/empresas/te-ayudamos/servicio-antibotnet
e introducir de la misma forma el código en la casilla que figura “Consulta tu código”: Código de 8 letras mayúsculas
==========================================
Información sobre la iniciativa AntiBotnet
==========================================
La iniciativa AntiBotnet es un proyecto de colaboración público-privada puesto en marcha en 2014 por los principales prestadores de servicios de la sociedad de la información, la Secretaría de Estado para el Avance Digital e INCIBE.
Su finalidad es proporcionar la información y herramientas necesarias para la desinfección de dispositivos afectados por incidentes de ciberseguridad relacionados con redes de ordenadores zombie (botnets) y otras amenazas, contribuyendo así a un Internet más confiable y seguro para todos.
Toda la información del Servicio AntiBotnet en:
Particulares: https://www.incibe.es/ciudadania/herramientas/servicio-antibotnet
Empresas: https://www.incibe.es/empresas/te-ayudamos/servicio-antibotnet
Para ayuda adicional o dudas relativas al servicio puede contactar de forma gratuita y confidencial con el servicio Tu Ayuda en Ciberseguridad de INCIBE, a través del teléfono 017, de WhatsApp en el 900 116 117, de Telegram con @INCIBE017 o en el formulario web https://www.incibe.es/linea-de-ayuda-en-ciberseguridad/formulario017
Atentamente,
Nemesys Abuse Team
Telefónica de España S.A.U.
C.I.F. A82018474
==========================================
Contenido del mensaje original recibido de INCIBE
==========================================
------- Original Message -----------
-
Detalles de la incidencia detectada por INCIBE-CERT
(Datos de Fecha/Hora en Timestamp Europe/Madrid)
"Timestamp (GMT+1)","IP origen","Puerto origen","IP destino","Puerto destino","Codigo desinfeccion","Malware","ASN IP origen","URL destino","HTTP referer","Protocolo"
AAAA-MM-DD HH:MM:SS, X.XXX.XX.XX, PPPPP, XXX.XXX.XX.XX,PP, Código de 8 letras mayúsculas, NombreAmenaza, NNNN, http://XXX.XXX.XX.XXX/search?q=0,,
*******************************************
=====
Notas
=====
[1] Disposición adicional novena de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, aprobada mediante la Disposición final undécima Ley 9/2014, de 9 de mayo, General de Telecomunicaciones (BOE núm. 114, de 10 de mayo de 2014)
[2] INCIBE-CERT es el centro de respuesta a incidentes de seguridad de referencia para los ciudadanos y entidades de derecho privado en España operado por el Instituto Nacional de Ciberseguridad (INCIBE), dependiente del Ministerio de Asuntos Económicos y Transformación Digital, a través de la Secretaría de Estado de Digitalización e Inteligencia Artificial.
¿Qué es y para qué sirve el código de incidente que he recibido?
El código es una codificación de la amenaza o nombre de la botnet y sirve, por lo tanto, para obtener información sobre la misma y pautas o herramientas que te ayudarán en la desinfección.
¿Cómo sabe mi operador de servicios de Internet que puedo estar infectado?
INCIBE-CERT operado por INCIBE notifica a los operadores de servicios de Internet de los incidentes de seguridad relacionados con redes botnet u otras amenazas que afectan a sus redes. Esta notificación se realiza con el objetivo de mejorar la seguridad de la red y bajo un marco de colaboración público-privada, impulsado por las directrices marcadas en la Medida 5 del Plan de Confianza en el Ámbito Digital y en cumplimiento con el espíritu de lo dispuesto en la Disposición adicional novena de la Ley 34/2002, de 11 de julio de 2014. Gracias a esta colaboración, el operador de servicios de Internet puede llegar a identificar al usuario titular de la conexión afectada e informarle del incidente y de las acciones que deben llevar a cabo.
¿Qué es la dirección IP pública y por qué se utiliza para saber si estoy afectado?
Simplificando al ámbito doméstico más común, la dirección IP pública es la dirección que identifica a los dispositivos de nuestra red cuando navegamos por Internet y que normalmente está asociada al router que proporciona la conexión. Esta dirección es asignada por nuestro operador de servicios de Internet y puede ser fija (siempre tenemos la misma) o dinámica, es decir, puede cambiar a lo largo del tiempo, siendo esto algo transparente para el usuario final. Decimos que es pública porque al navegar por Internet este dato es conocido o proporcionado a aquellos sitios o servicios que utilicemos, visitemos o por los que naveguemos. Según esto, si algún ordenador o dispositivo de tu red está infectado por una botnet, el equipo servidor desde el que se esté controlando dicha red maliciosa en este momento asociará tu ordenador con dicha dirección IP.
¿Cómo sabe INCIBE que mi dirección IP pública está relacionada con estas redes de ordenadores controlados?
Las entidades públicas y privadas que trabajamos por la seguridad en Internet tratamos de detectar, siempre en el marco de la legalidad vigente, estas redes maliciosas para así mitigar sus efectos, luchar contra ellas y ayudar a desinfectar los equipos de los usuarios finales afectados. Para ello, tratamos de detectar los servidores que controlan a los miles de ordenadores infectados. Gracias a este trabajo y en colaboración con las Fuerzas y Cuerpos de Seguridad y entidades a nivel internacional, se puede tomar control de estos servidores para desarticular la botnet o parte de ella. Con este control, los equipos de seguridad podemos identificar las direcciones IP públicas que actúan como bots o zombis, es decir, las direcciones IP de los dispositivos infectados que se están conectando, sin saberlo, a estos servidores maliciosos. Con esta información podemos llegar a prestar servicios como este.
¿Qué operadores de servicios de Internet participan en la iniciativa?
Actualmente se está llevando a cabo con la colaboración de Telefónica.
¿Cuál es el alcance del servicio?
En el caso del servicio mediante notificación por parte del operador, se verán beneficiados del mismo los usuarios que pertenezcan a los operadores de servicios de Internet colaboradores con esta iniciativa.
¿Cómo puedo saber cuál es el dispositivo afectado o infectado?
Nuestro servicio no identifica dispositivos de usuario infectados. Si has recibido un código de incidente, el dispositivo afectado será alguno de los que estuvieron conectados a Internet en tu red en la fecha en la que tu operador de servicios de Internet te ha indicado que se detectó el incidente. Te ofreceremos información relacionada con la amenaza para ayudarte a identificarlo (como puede ser el sistema operativo al que afecta) y herramientas de limpieza que podrán ayudarte en la desinfección.
¿Existen falsos positivos o negativos?
No. Aunque las direcciones IP públicas que se asignan a las conexiones a Internet pueden cambiar, el operador de servicios de Internet siempre puede identificar la IP pública que tiene asociada cada usuario/cliente a su conexión a Internet en un momento determinado del tiempo. Por eso, en este caso, no existen los falsos positivos.
¿Por qué he recibido varias notificaciones de mi operador de servicios de Internet distintas o la misma varias veces?
Puede ser que asociado a tu conexión se hayan identificado incidentes de botnets distintas u otras amenazas. Puede tratarse del mismo equipo o equipos diferentes dentro de tu red. Si los incidentes se siguen detectando, podrás recibir la misma notificación cada semana.
¿Por qué si me he desinfectado he vuelto a recibir otra notificación?
Puede que no hayas identificado y/o desinfectado el dispositivo afectado correctamente. También puede ser que lo hayas desinfectado correctamente, pero que la segunda notificación que recibas corresponda al incidente detectado en el intervalo entre la primera notificación y el momento de la desinfección, ya que la notificación no se envía en tiempo real.
El Servicio mantiene los registros de infecciones durante 3 horas. Esto significa que, aunque se hayan seguido los pasos recomendados para la desinfección, el servicio podrá tardar un rato en indicar que ya no hay incidentes relacionados con la conexión o dirección IP.
En cualquier caso, si has desinfectado todos tus dispositivos mediante los pasos que te hemos indicado, y has vuelto a recibir una notificación por parte de tu operador de servicios de Internet, con fecha de detección posterior a la de desinfección, puedes ponerte en contacto con nosotros llamando a 017 o escribiéndonos a través del resto de canales disponibles:
Este Servicio no sustituye en ningún caso a los sistemas antivirus o antimalware.
El esquema de funcionamiento del servicio es el siguiente: