Descubre Noticias de Ciberseguridad en nuestro TecnetBlog

Desmantelado el Botnet IPStorm: 23,000 Proxies para Tráfico Malicioso

Escrito por Zoilijee Quero | Nov 25, 2023 7:00:00 PM

En el siempre cambiante paisaje de la ciberseguridad, un nuevo hito ha sido alcanzado con el reciente desmantelamiento del botnet IPStorm. Esta sofisticada red, compuesta por la asombrosa cifra de 23,000 proxies, ha sido un dolor de cabeza para expertos en seguridad en todo el mundo. En este artículo, exploraremos en detalle qué es el botnet IPStorm, cómo funciona y, lo más importante, cómo fue desmantelado.

 

¿Qué es el Botnet IPStorm?

 

El botnet IPStorm es una red masiva de dispositivos infectados que actúan como proxies para llevar a cabo actividades maliciosas en línea. Este tipo de botnet se ha vuelto cada vez más común en el panorama cibernético, ya que permite a los actores malintencionados ocultar su ubicación y origen, haciendo más difícil para las fuerzas de seguridad rastrear y detener sus operaciones.

 

Te podrá interesar leer:  Entendiendo la Red Zombie: Su Impacto en la Ciberseguridad

 

Funcionamiento del Botnet IPStorm

 

El funcionamiento del botnet IPStorm es ingenioso en su simplicidad. Los dispositivos infectados, conocidos como "bots", son controlados remotamente por un servidor central, denominado "command and control" (C&C). Este servidor emite comandos a los bots, que responden realizando diversas acciones, como enviar spam, lanzar ataques de denegación de servicio (DDoS) o, en el caso específico de IPStorm, actuar como proxies para tráfico malicioso.

La verdadera astucia de IPStorm radica en su capacidad para utilizar una red masiva de proxies, lo que dificulta enormemente la identificación y bloqueo de los nodos responsables. Cada bot en la red puede cambiar de función rápidamente, desde enviar spam hasta actuar como proxy, lo que agrega una capa adicional de complejidad a la tarea de contrarrestar este tipo de amenazas.

 

¿Cómo se desmanteló una botnet con 23.000 proxies para tráfico malicioso?

 

 

El Departamento de Justicia de EE. UU. informó que la Oficina Federal de Investigaciones ha desarticulado la red y la infraestructura de IPStorm, un servicio proxy de botnet. Esta herramienta permitió a ciberdelincuentes llevar a cabo actividades maliciosas de manera anónima a través de dispositivos Windows, Linux, Mac y Android en todo el mundo.

En relación con este caso, Sergei Makinin, ciudadano ruso-moldavo, admitió su culpabilidad en tres cargos relacionados con fraude informático y ahora se enfrenta a una condena máxima de 10 años de prisión.

El comunicado del Departamento de Justicia describe a IPStorm como una botnet proxy que posibilita a ciberdelincuentes y estafadores eludir bloqueos y permanecer en el anonimato al dirigir su tráfico a través de miles de dispositivos comprometidos en hogares u oficinas.

Además de convertirse involuntariamente en facilitadores de delitos cibernéticos, las víctimas de IPStorm experimentaron las consecuencias de que actores maliciosos secuestraran el ancho de banda de sus redes, corriendo el riesgo de recibir cargas útiles más peligrosas en cualquier momento.

El servicio de proxy de Makinin se ofrecía a través de los sitios web 'proxx.io' y 'proxx.net', promocionando más de 23,000 proxies anónimos en todo el mundo. Según documentos judiciales, desde al menos junio de 2019 hasta diciembre de 2022, Makinin desarrolló y desplegó software malicioso para comprometer miles de dispositivos conectados a Internet en todo el mundo, incluyendo Puerto Rico. Makinin admitió haber obtenido al menos 550,000 dólares de los servicios de proxy que vendió y acordó perder las billeteras de criptomonedas que contenían las ganancias del crimen.

La operación para desmantelar la botnet IPStorm, que no se extendió a los ordenadores de las víctimas, involucró a múltiples organizaciones encargadas de hacer cumplir la ley, como el Grupo de Ataques Cibernéticos de la Policía Nacional de España, la Policía Nacional Dominicana-División de Crimen Organizado Internacional y el Ministerio del Interior y Policía-Dirección de Inmigración.

IPStorm, que evolucionó desde 2019, utilizó una red peer-to-peer del InterPlanetary File System (IPFS) para ocultar sus actividades y resistir los intentos de destruir su infraestructura. Este malware, inicialmente dirigido a Windows, se adaptó para afectar a arquitecturas Linux, incluidos dispositivos IoT basados ​​en Android. La operación destacó la complejidad técnica y la persistencia del malware, que ofrecía acceso a la red por precios que podían alcanzar los cientos de dólares al mes. 

 

Te podrá interesar leer:  Ramnit Botnet: El Malware destacado en Latinoamérica en 2023

 

Por eso, es importante que los usuarios y las empresas tomen medidas de prevención y protección para evitar ser infectados por malware o ser víctimas de ataques. Algunas de estas medidas son:

 

  1. Mantener los dispositivos y las aplicaciones actualizados con los últimos parches de seguridad.

  2. Utilizar un software antivirus y un firewall que bloqueen las amenazas potenciales.

  3. Evitar abrir archivos adjuntos o enlaces sospechosos que puedan contener malware.

  4. Utilizar contraseñas seguras y únicas para cada cuenta o servicio.

  5. Realizar copias de seguridad de los datos importantes y almacenarlos en un lugar seguro.

  6. Utilizar una red privada virtual (VPN) para cifrar el tráfico de internet y evitar el espionaje o la manipulación.

  7. Verificar la autenticidad y la reputación de los sitios web y los servicios que se utilizan, especialmente si se trata de transacciones financieras o personales.

En conclusión, la botnet IPStorm es un ejemplo de cómo los ciberdelincuentes pueden aprovechar las innovaciones tecnológicas para realizar actividades ilícitas. Por eso, es necesario estar alerta y protegido ante las amenazas que existen en internet.