El Servicio AntiBotnet es un mecanismo que te permite conocer si existen amenazas o incidentes de ciberseguridad relacionados con redes de ordenadores comprometidos o botnets, asociados a tu conexión a Internet.

 

Lo primero que debes saber es ¿Qué es una botnet?

Lee nuestro artículo de la OSI sobre este tipo de amenazas, pero quédate con esta idea: Una botnet es capaz de controlar muchos ordenadores o dispositivos de usuarios de forma remota sin su consentimiento para propagar malware, generar spam y cometer diversidad de delitos y fraudes en Internet.

 

¿Por qué he recibido una notificación de mi operador de servicios de Internet?

Si tu operador de servicios de Internet te ha enviado un código de incidente, significa que algún dispositivo que haya compartido tu conexión a Internet en la fecha indicada, puede estar infectado por un programa malicioso o malware relacionado con una botnet.

 

¿Qué es y para qué sirve el código de incidente que he recibido?

El código es una codificación de la amenaza o nombre de la botnet y sirve, por lo tanto, para obtener información sobre la misma y pautas o herramientas que te ayudarán en la desinfección.

 

¿Cómo sabe mi operador de servicios de Internet que puedo estar infectado?

El CERT-SI operado por INCIBE notifica a los operadores de servicios de Internet de los incidentes de seguridad relacionados con redes botnet que afectan a sus redes. Esta notificación se realiza con el objetivo de mejorar la seguridad de la red y bajo un marco de colaboración público-privada, impulsado por las directrices marcadas en la Medida 5 del Plan de Confianza en el Ámbito Digital y en cumplimiento con el espíritu de lo dispuesto en la Disposición adicional novena de la Ley 34/2002, de 11 de julio de 2014. Gracias a esta colaboración, el operador de servicios de Internet puede llegar a identificar al usuario titular de la conexión afectada e informarle del incidente y de las acciones que deben llevar a cabo.

 

¿Qué es la dirección IP pública y por qué se utiliza para saber si estoy afectado?

Simplificando al ámbito doméstico más común, la dirección IP pública es la dirección que identifica a los dispositivos de nuestra red cuando navegamos por Internet y que normalmente está asociada al router que proporciona la conexión. Esta dirección es asignada por nuestro operador de servicios de Internet y puede ser fija (siempre tenemos la misma) o dinámica, es decir, puede cambiar a lo largo del tiempo, siendo esto algo transparente para el usuario final. Decimos que es pública porque al navegar por Internet este dato es conocido o proporcionado a aquellos sitios o servicios que utilicemos, visitemos o por los que naveguemos. Según esto, si algún ordenador o dispositivo de tu red está infectado por una botnet, el equipo servidor desde el que se esté controlando dicha red maliciosa en este momento asociará tu ordenador con dicha dirección IP.

 

¿Cómo sabe INCIBE que mi dirección IP pública está relacionada con estas redes de ordenadores controlados?

Las entidades públicas y privadas que trabajamos por la seguridad en Internet tratamos de detectar, siempre en el marco de la legalidad vigente, estas redes maliciosas para así mitigar sus efectos, luchar contra ellas y ayudar a desinfectar los equipos de los usuarios finales afectados. Para ello, tratamos de detectar los servidores que controlan a los miles de ordenadores infectados. Gracias a este trabajo y en colaboración con las Fuerzas y Cuerpos de Seguridad y entidades a nivel internacional, se puede tomar control de estos servidores para desarticular la botnet o parte de ella. Con este control, los equipos de seguridad podemos identificar las direcciones IP públicas que actúan como bots o zombies, es decir, las direcciones IP de los dispositivos infectados que se están conectando, sin saberlo, a estos servidores maliciosos. Con esta información podemos llegar a prestar servicios como este.

 

¿Qué operadores de servicios de Internet participan en la iniciativa?

Actualmente este servicio se encuentra en fase piloto y se está llevando a cabo con la colaboración de Telefónica.

 

¿Cuál es el alcance del servicio?

En el caso del servicio mediante notificación por parte del operador, se verán beneficiados del mismo los usuarios que pertenezcan a los operadores de servicios de Internet colaboradores con esta iniciativa.

 

¿Cómo puedo saber cuál es el dispositivo afectado o infectado?

Nuestro servicio no identifica dispositivos de usuario infectados. Si has recibido un código de incidente, el dispositivo afectado será alguno de los que estuvieron conectados a Internet en tu red en la fecha en la que tu operador de servicios de Internet te ha indicado que se detectó el incidente. Te ofreceremos información relacionada con la amenaza para ayudarte a identificarlo (como puede ser el sistema operativo al que afecta) y herramientas de limpieza que podrán ayudarte en la desinfección.

 

¿Existen falsos positivos o negativos?

No. Aunque las direcciones IP públicas que se asignan a las líneas ADSL o conexiones a Internet pueden cambiar, el operador de servicios de Internet siempre puede identificar la IP pública que tiene asociada cada usuario/cliente a su conexión a Internet en un momento determinado del tiempo. Por eso, en este caso, no existen los falsos positivos.

 

¿Por qué he recibido varias notificaciones de mi operador de servicios de Internet distintas o la misma varias veces?

Puede ser que asociado a tu conexión se hayan identificado incidentes de botnets distintas. Puede tratarse del mismo equipo o equipos diferentes dentro de tu red. Si los incidentes se siguen detectando, podrás recibir la misma notificación cada semana.

 

¿Por qué si me he desinfectado he vuelto a recibir otra notificación?

Puede que no hayas identificado y/o desinfectado el dispositivo afectado correctamente. También puede ser que lo hayas desinfectado correctamente, pero que la segunda notificación que recibas corresponda al incidente detectado en el intervalo entre la primera notificación y el momento de la desinfección, ya que la notificación no se envía en tiempo real. En cualquier caso, si has desinfectado todos tus dispositivos mediante los pasos que te hemos indicado, y has vuelto a recibir una notificación por parte de tu operador de servicios de Internet, con fecha de detección posterior a la de desinfección, puedes ponerte en contacto con el equipo de soporte de la OSI.