Las botnets son redes de programas informáticos (bots) que conversan entre ellos en internet. Algunos de estos son completamente benignos, como los que controlan los chats de internet. Pero algunos son maliciosos, son programas que envían spam o participan en ataques de denegación de servicio. Estas redes las controlan criminales que las usan para propósitos malvados como generar ingresos ilegales y atacar otros sitios web.

La labor de encontrar y detener esta actividad criminal se ha convertido en una tarea global. La primera generación de bots era relativamente sencilla de detener. Dado que estaban controlados por un único ordenador en algún lugar de la web, el truco era encontrar ese ordenador y cerrarlo.

Y era algo sencillo cuando los propios programas contenían la información necesaria para comunicar con el servidor de comando y control.

Pero en los últimos años, este juego del gato y el ratón se ha sofisticado muchísimo. Ahora las botnets suelen dar pasos para ocultar la localización del servidor de comando y control. Un método, conocido como fast fluxing, es crear un flujo constante de direcciones IP y mapear cientos o miles de ellas simultáneamente a un nombre de dominio. Cualquiera que quisiera encontrar el servidor de comando y control tendría que buscar cada dirección IP antes de que cambiase.

Más recientemente, las botnets han empezado a atacar la red Tor, que está diseñada para permitir que la gente se comunique anónimamente a través de internet. Esto, combinado con la llegada de monedas electrónicas que no se pueden rastrear, como Bitcoin, ha producido un aumento del software de chantaje y extorsión que no se puede rastrear ni siquiera después de hacer un pago.

Ahora, Amirali Sanatinia y Guevara Noubir de la Universidad Northeastern en Boston (EEUU), afirman que la próxima generación de botnets probablemente sea aún más sofisticada. Esbozan cómo creen que será la evolución de las botnets, pero también sugieren una forma directa de neutralizarlas.

Sanatinia y Noubir afirman que el anonimato que ofrecen redes como la de Tor será irresistible para los maestros de botnets, así que la mayor parte de la innovación tendrá lugar en ese campo. Para aprovechar ese anonimato, las botnets tendrán que explotar una técnica que se conoce como enrutado cebolla que encierra los mensajes bajo varias capas de encriptado, como las capas de una cebolla.

Cada servidor por el que pasa el mensaje desencripta una capa de la cebolla que revela su próximo destino. Cuando se revela la última capa, el mensaje ha llegado a su destino. El anonimato deriva del hecho de que ninguno de los servidores de la ruta sabe nada sobre el mensaje salvo su próximo destino.

Sanatinia y Noubir creen que este grado de anonimato resultará irresistible a los maestros de botnets. Así que bautizan la próxima generación de botnets que lo explotarán OnionBots (bots cebolla) y se dedican a a explicar exactamente cómo tendrán que funcionar para aprovechar al máximo el enrutado cebolla.

Esto suena sospechosamente desastroso ya que el artículo es una base útil para cualquiera que quiera crear un OnionBot. Sin embargo, Sanatinia y Noubir también han hallado una forma de neutralizar este tipo de OnionBots.

La idea básica es inyectar programas en la red que se adhieren preferentemente a los OnionBots. Después se reproducen y rodean a cada OnionBot para que no esté conectado con ninguna otra parte de la red cuando eso sucede, el OnionBot queda aislado y neutralizado.

Eso no significa que sea posible protegerse completamente de un ataque de OnionBots. Pero Sanatinia y Noubir esperan empezar a trabajar en abordar esta nueva generación de bots antes de que surja siquiera. "La comunidad de seguridad aún tiene muchos desafíos que resolver anticipándose a ellos y esperamos que este trabajo despierte nuevas ideas para diseñar mitigantes de forma proactiva contra las nuevas generaciones de botnets basados en la criptografía", afirma Santinia.

Hacerlo públicamente quizá sea una estrategia arriesgada. Por otra parte, un enfoque público podría servir para contactar con la mayor cantidad posible de talentos en el mundo de la seguridad. Podéis dejar vuestras sugerencias para mejorar esta estrategia en los comentarios.

Ref: arxiv.org/abs/1501.03378: OnionBots: Subvertir la Infraestructura de Privacidad para Ciberataques