{"id":6371,"date":"2015-06-29T07:27:31","date_gmt":"2015-06-29T05:27:31","guid":{"rendered":"http:\/\/kasperskydaily.com\/spain\/?p=6371"},"modified":"2017-09-21T17:09:40","modified_gmt":"2017-09-21T15:09:40","slug":"ask-expert-kamluk-ddos-botnets","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/ask-expert-kamluk-ddos-botnets\/6371\/","title":{"rendered":"Pregunta al experto: Vitaly Kamluk responde a las preguntas sobre DDoS y botnets"},"content":{"rendered":"<p>Vitaly Kamluk, con m\u00e1s de 10 a\u00f1os de experiencia en seguridad inform\u00e1tica, es el Investigador Principal de Seguridad de Kaspersky Lab. Est\u00e1 especializado en ingenier\u00eda inversa de malware, inform\u00e1tica forense e investigaciones sobre el cibercrimen. Actualmente, Vitaly vive en Singapur y trabaja con la INTERPOL como miembro del Laboratorio de An\u00e1lisis Forense Digital, haciendo an\u00e1lisis de malware y dando apoyo en las investigaciones.<\/p>\n<p>https:\/\/instagram.com\/p\/1xKFAOv0I5\/<\/p>\n<p>Invitamos a nuestros lectores a que hagan preguntas a Vitaly, y hemos recibido tantas, que hemos tenido que dividir esta sesi\u00f3n de preguntas y respuestas en diferentes partes. Hoy, Vitaly contestar\u00e1 a las preguntas relacionadas con DDoS y botnets.<\/p>\n<p><strong>\u00bfSeg\u00fan tu opini\u00f3n, <\/strong><strong>cu\u00e1l es el n\u00famero de<\/strong> <strong>grandes <\/strong><strong>bo<\/strong><strong>t<\/strong><strong>nets,\u00a0<\/strong><strong>que incluyen<\/strong><strong> m\u00e1s de 50.000 ordenadores zombificados en el mundo?<\/strong><\/p>\n<p>Creo que es menor de 20, pero es pura especulaci\u00f3n ya que, por lo general, descubrimos el tama\u00f1o real del botnet s\u00f3lo despu\u00e9s de haberlo desarmado. Los criminales quieren infectar lo m\u00e1ximo posible, por lo que puede que mantengan el tama\u00f1o del botnet bajo cierto umbral para poder pasar desapercibidos.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">You can now check to see if your PC is part of the SIMDA botnet \u2013 <a href=\"http:\/\/t.co\/jB2RXKGGYI\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/jB2RXKGGYI<\/a> <a href=\"http:\/\/t.co\/Jgi74gCC87\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/Jgi74gCC87<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/590519203834290177?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">April 21, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p><strong>\u00bfExisten botnets suficentemente sofisticados cuyo objetivo <\/strong><strong>sea<\/strong><strong> la creaci\u00f3n de agrupaciones compuestas por smartphones, PCs y Macs?<\/strong><\/p>\n<p>A veces sucede que el botnet puede infectar al ordenador y al smartphone. Un buen ejemplo fue Zeus para m\u00f3viles y Zeus para PC. Hay botnets para Macs pero, seg\u00fan nuestra experiencia, suelen ser independientes.<\/p>\n<p><strong>\u00bfC\u00f3mo podemos detectar un botnet? \u00bfPor d\u00f3nde se empieza? \u00bfCu\u00e1les son las \u00faltimas tendencias en malware y botnets?<\/strong><\/p>\n<p>En primer lugar, debes detectar alg\u00fan proceso o archivo sospechoso en el disco. El siguiente paso ser\u00e1 analizar este objeto y localizar la lista de servidores de controles y comandos (C&amp;C). Luego tendr\u00e1s que conocer los protocolos y solicitar las actualizaciones peri\u00f3dicas del C &amp; C.<\/p>\n<p>Algunas de las tendencias recientes en malware y botnets incluyen la b\u00fasqueda de mecanismos de control fiables, tales como los basados en Tor y las comunicaciones P2P. Hay muchos art\u00edculos y documentos t\u00e9cnicos sobre este tema, simplemente hay que buscar \u201cTor Botnet\u201d.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Default credentials on home routers lead to massive DDoS-for-hire botnet \u2013 <a href=\"http:\/\/t.co\/2SbvLcwcvu\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/2SbvLcwcvu<\/a> <a href=\"http:\/\/t.co\/20O0GWwVOt\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/20O0GWwVOt<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/598462812961255424?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">May 13, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p><strong>\u00bfQu\u00e9 se necesita para desactivar un botnet?<\/strong><\/p>\n<p>La mejor forma de hacerlo es detener al propietario del botnet. A\u00fan mejor si detenemos tambi\u00e9n al distribuidor y al desarrollador del software bot, adem\u00e1s de al explotador y al empaquetador.<\/p>\n<p><strong>\u00bfDe qu\u00e9 parte del mundo vienen l<\/strong><strong>o<\/strong><strong>s botnets? \u00bfQu\u00e9 lenguaje de programaci\u00f3n se utiliza para desarrollar su software? \u00bfC\u00f3mo podemos asegurarnos de que nuestros sistemas dom\u00e9sticos no est\u00e1n infectados con botnets? En circunstancias inesperadas, existe una segunda l\u00ednea de defensa en caso de que los ciberataques no sean neutralizados?<\/strong><\/p>\n<p>Los botnets est\u00e1n en todas partes y el lenguaje de programaci\u00f3n que se utiliza es una cuesti\u00f3n de elecci\u00f3n personal. Para asegurarte de que tus sistemas no son parte de un botnet, debes analizarlos mediante un software antivirus y comprobar las redes de comunicaci\u00f3n. Tienes que asegurarte de que no hay ninguna conexi\u00f3n extra\u00f1a e inesperada.<\/p>\n<blockquote class=\"twitter-pullquote\"><p>Pregunta al experto: Vitaly @vkamluk Kamluk nos habla sobre la neutralizaci\u00f3n de #DDoS y #botnets<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2F5Cv6&amp;text=Pregunta+al+experto%3A+Vitaly+%40vkamluk+Kamluk+nos+habla+sobre+la+neutralizaci%C3%B3n+de+%23DDoS+y+%23botnets\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<p>En cuanto a la segunda l\u00ednea de defensa, por desgracia, el dise\u00f1o de la arquitectura computacional actual no la proporciona. El propietario de cada ordenador es el responsable del mismo. Neutralizar la amenaza de forma remota se considera como una intrusi\u00f3n en el sistema y ser\u00eda ilegal en la mayor\u00eda de los casos. Al fin y al cabo, una vez tu equipo se encuentre en peligro, no podr\u00e1s confiar en el sistema hasta su completa desinstalaci\u00f3n, por lo que se hace incluso m\u00e1s dif\u00edcil. Muchos usuarios no se preocupan por las infecciones inform\u00e1ticas hasta que empiezan a perder dinero.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Statistics on botnet-assisted DDoS attacks in Q1 2015 \u2013 <a href=\"http:\/\/t.co\/aTTLE1KQdq\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/aTTLE1KQdq<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/605421173141319680?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">June 1, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p><strong>\u00bfEs importante que l<\/strong><strong>o<\/strong><strong>s botnets modern<\/strong><strong>o<\/strong><strong>s est\u00e9n controlad<\/strong><strong>o<\/strong><strong>s mediante IRC? <\/strong><strong>\u00bf<\/strong><strong>Es suficiente <\/strong><strong>con impedir que el propietario del botnet pueda controlarlo para poder eliminarlo<\/strong><strong>? <\/strong><\/p>\n<p>Los criminales pueden usar diferentes t\u00e9cnicas para controlar un botnet. La IRC es s\u00f3lo una de las muchas aplicaciones de protocolos que existen, y tiene sus ventajas y sus desventajas. Yo creo que \u00e9ste es un m\u00e9todo anticuado ya que, en general, los botnets modernos est\u00e1n hechos con HTTP.<\/p>\n<p>Para eliminar definitivamente un botnet, necesitamos encontrar y detener a su propietario. Esto es exactamente lo que hacemos en colaboraci\u00f3n con la Interpol. Los intentos de impedir que el propietario del botnet pueda controlarlo no son de mucha ayuda a largo plazo, ya que la mayor\u00eda de los criminales est\u00e1n muy preparados para este tipo de ataques.<\/p>\n<p><strong>\u00bfQu\u00e9 herramientas y m\u00e9todos son adecuados cuando descubrimos que se ha producido un intento de ataque DDoS, <\/strong><strong>desde la perspectiva <\/strong><strong>del cliente<\/strong><strong>,<\/strong> <strong>a la del<\/strong><strong> proveedor de Internet, ya sea regional, nacional o incluso transnacional?<\/strong><\/p>\n<p>Bien, las herramientas m\u00e1s eficaces tanto para el cliente como para los grandes proveedores de Internet, ser\u00e1n siempre un filtrado eficaz. Pero para implementarlas, primero hay que investigar la amenaza. Por eso, es importante\u00a0 atrapar al bot responsable del DDoS y analizarlo con detenimiento. La soluci\u00f3n final es la toma de control del mecanismo del botnet y detenerlo desde dentro, pero eso es otra historia.<\/p>\n<p><strong>\u00bfC\u00f3mo podemos mitigar una amplificaci\u00f3n de un ataque DDoS?<\/strong><\/p>\n<p>Hay que dispersar geogr\u00e1ficamente el objetivo de ataque e implementar m\u00faltiples capas de filtrado.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">You asked, <a href=\"https:\/\/twitter.com\/vkamluk?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@vkamluk<\/a> answered in this Q&amp;A. Including how <a href=\"https:\/\/twitter.com\/INTERPOL_Cyber?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@INTERPOL_Cyber<\/a> catches the bad guys <a href=\"https:\/\/twitter.com\/hashtag\/security?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#security<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/infosec?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#infosec<\/a> <a href=\"http:\/\/t.co\/OdmEjOA0ZG\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/OdmEjOA0ZG<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/614068810837065728?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">June 25, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p><strong>\u00bf<\/strong><strong>C<\/strong><strong>\u00f3<\/strong><strong>mo puedo saber si formo parte de un botnet o una mina de Bitcoin?<\/strong><\/p>\n<p>Analiza tu sistema en busca de malware, porque es el malware el que producir\u00e1 minas de Bitcoin sin tu consentimiento o har\u00e1 que tu PC sea parte de un botnet. \u00c9stas son algunas de las formas m\u00e1s efectivas para el an\u00e1lisis de malware:<\/p>\n<ol>\n<li>Analiza tu sistema con una soluci\u00f3n Antivirus de confianza, esto te ahorrar\u00e1 mucho tiempo, pero no pienses que el esc\u00e1ner autom\u00e1tico ser\u00e1 100% fiable, as\u00ed que sigue buscando.<\/li>\n<li>Comprueba que en tu lista de procesos no haya invitados no deseados: los usuarios deber\u00edan conocer muy bien todos los procesos que est\u00e1n activos en su sistema.<\/li>\n<li>Comprueba la lista de programas que se inician autom\u00e1ticamente. Para ello, existe una app de Windows gratuita llamada Sysinternals Autoruns Tool.<\/li>\n<li>Por \u00faltimo, realiza un control avanzado conectando tu ordenador a otro (que est\u00e9 conectado a Internet) y registra todo el tr\u00e1fico de red. Esto deber\u00eda revelar cualquier actividad sospechosa, aunque no sea visible desde un sistema infectado.<\/li>\n<\/ol>\n<p>Publicaremos m\u00e1s respuestas en unos d\u00edas. \u00a1Estad atentos!<\/p>\n","protected":false},"excerpt":{"rendered":"<p>El experto en seguridad de Kaspersky Lab, Vitaly Kamluk, responde a las preguntas de nuestros lectores sobre la neutralizaci\u00f3n de DDoS y botnets.<\/p>\n","protected":false},"author":40,"featured_media":6322,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1348,10],"tags":[1327,323,555,449,274,126,22,1322,1328],"class_list":{"0":"post-6371","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-tips","9":"tag-botnets","10":"tag-consejos","11":"tag-ddos","12":"tag-great","13":"tag-interpol","14":"tag-kaspersky-lab","15":"tag-malware-2","16":"tag-pregunta-al-experto","17":"tag-vitaly-kamluk"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/ask-expert-kamluk-ddos-botnets\/6371\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/ask-expert-kamluk-ddos-botnets\/4983\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/ask-expert-kamluk-ddos-botnets\/5540\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/ask-expert-kamluk-ddos-botnets\/5937\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/ask-expert-kamluk-ddos-botnets\/6265\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/ask-expert-kamluk-ddos-botnets\/8250\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/ask-expert-kamluk-ddos-botnets\/9185\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/ask-expert-kamluk-ddos-botnets\/5484\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/ask-expert-kamluk-ddos-botnets\/5711\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/ask-expert-kamluk-ddos-botnets\/8087\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/ask-expert-kamluk-ddos-botnets\/8250\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/ask-expert-kamluk-ddos-botnets\/9185\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/ask-expert-kamluk-ddos-botnets\/9185\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/botnets\/","name":"botnets"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/6371","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/40"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=6371"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/6371\/revisions"}],"predecessor-version":[{"id":14204,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/6371\/revisions\/14204"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/6322"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=6371"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=6371"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=6371"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}