Cada vulnerabilidad es una puerta abierta. Quizá pienses que los mayores riesgos de ciberseguridad se concentran en tus dispositivos personales o en la red corporativa, pero los servidores en la nube también se han convertido en un objetivo muy atractivo para los atacantes. Y ahí entra en escena SystemBC, un malware que desde hace años alimenta una red masiva de proxies usados para ocultar actividades criminales.
En TecnetOne queremos contarte cómo funciona esta amenaza, por qué representa un riesgo creciente para empresas como la tuya y qué medidas puedes tomar para blindarte.
SystemBC apareció por primera vez en 2019 y rápidamente se convirtió en una herramienta útil para distintos grupos de ciberdelincuentes, incluyendo bandas de ransomware. Su función principal es bastante clara: convertir servidores comprometidos en autopistas de tráfico malicioso, es decir, en nodos que permiten redirigir ataques y ocultar la comunicación con infraestructuras de comando y control (C2).
En otras palabras, si un atacante logra instalar SystemBC en un servidor, ese equipo deja de estar bajo tu control y pasa a trabajar como un “proxy” para ocultar la verdadera identidad y ubicación del criminal.
Lo preocupante es que no hablamos de un par de máquinas aisladas: investigadores de Black Lotus Labs (Lumen Technologies) han identificado que SystemBC mantiene en promedio 1,500 bots activos cada día. Esos bots no son otra cosa que servidores vulnerables repartidos por todo el mundo, con decenas de fallos de seguridad sin corregir.
Servicios de proxy cibernéticos que utilizan la red SystemBC (Fuente: Black Lotus Labs)
Quizá te preguntes: ¿por qué los ciberdelincuentes se enfocan en servidores privados virtuales (VPS) y no en computadoras domésticas? La respuesta está en la estabilidad y capacidad que ofrecen los VPS.
Mientras que una red de dispositivos residenciales (como routers o PCs de hogar) puede ser más fácil de comprometer, esos equipos no garantizan un tráfico estable ni de gran volumen. En cambio, los VPS de proveedores comerciales ofrecen ancho de banda, disponibilidad casi permanente y capacidad de procesamiento, lo que los convierte en candidatos ideales para mantener campañas de ataque constantes.
De hecho, cerca del 80% de los bots de SystemBC corresponden a VPS de grandes proveedores comerciales. Algunos permanecen infectados más de un mes sin que nadie lo note, lo que demuestra lo fácil que resulta pasar desapercibido en entornos poco monitorizados.
Un experimento realizado por los investigadores mostró el verdadero alcance de esta red. Al observar la actividad de un solo servidor infectado, detectaron que generaba más de 16 gigabytes de tráfico de proxy en apenas 24 horas.
Para que te hagas una idea, esa cifra es diez veces superior a lo que normalmente se observa en redes de proxies residenciales. Eso significa que los atacantes que usan SystemBC tienen a su disposición una autopista de datos muy eficiente para realizar sus operaciones.
Conoce más: Ataque cibernético expone 45,000 servidores Jenkins
SystemBC funciona como infraestructura para múltiples servicios de ciberdelincuencia. Entre sus “clientes” más destacados se encuentran:
Pero más allá de estos clientes, los operadores de SystemBC también lo usan directamente para ataques de fuerza bruta contra sitios WordPress, con el objetivo de robar credenciales y luego vender el acceso a brokers que inyectan código malicioso.
Los servidores que terminan formando parte de esta red no son elegidos al azar. Los ciberdelincuentes buscan sistemas con múltiples fallos de seguridad sin corregir, y los VPS son un blanco fácil porque muchas veces no reciben actualizaciones frecuentes.
Los investigadores encontraron que, en promedio, cada servidor comprometido tenía 20 vulnerabilidades sin parchear, incluyendo al menos una crítica. En un caso extremo, un VPS en Alabama llegó a acumular 161 fallos detectados por la plataforma de inteligencia Censys.
Este descuido convierte a los servidores en terreno fértil para SystemBC, que aprovecha scripts automatizados para infectar rápidamente y ponerlos al servicio de la red criminal.
Bot VPS en la red SystemBC con 161 vulnerabilidades sin parches (Fuente: Black Lotus Labs)
Lo más inquietante es que SystemBC ha sobrevivido a operaciones internacionales destinadas a desmantelar botnets. Por ejemplo, durante la operación Endgame —que buscaba eliminar diversos malware droppers—, la red logró mantenerse activa.
Esto demuestra que no estamos ante una amenaza improvisada, sino ante una infraestructura robusta y en constante evolución, diseñada para resistir la presión de las autoridades.
Cuando un servidor es infectado, SystemBC descarga un script en ruso que ordena ejecutar de forma simultánea todos los binarios del malware disponibles. Este enfoque permite:
Además, la red cuenta con más de 80 servidores C2 que conectan a los clientes con los VPS infectados, lo que da redundancia y resiliencia.
La existencia de SystemBC es una alerta para cualquier empresa que use VPS o infraestructura en la nube. Si bien puede que tu compañía no sea un objetivo directo, un servidor vulnerable en tu red podría terminar:
En un mundo donde las cadenas de suministro digitales están cada vez más interconectadas, un error de seguridad en tus VPS puede convertirse en una brecha mucho mayor.
Lee más: Servidores físicos o servidores en la nube: ¿cuál es más seguro?
Desde TecnetOne te recomendamos aplicar una serie de medidas prácticas:
SystemBC no es nuevo, pero su capacidad de adaptación y resistencia lo convierten en una amenaza que debes tomar en serio. Al transformar servidores vulnerables en autopistas para ciberdelincuentes, este malware demuestra cómo las fallas de seguridad básicas pueden tener consecuencias globales.
La lección es clara: no basta con tener infraestructura en la nube, necesitas gestionarla con visión de ciberseguridad. En TecnetOne podemos ayudarte a auditar tus sistemas, corregir vulnerabilidades y diseñar un plan de protección que mantenga tus activos digitales a salvo.
Recuerda: en la era del cibercrimen organizado, tu mejor defensa es la prevención.