El Servicio AntiBotnet es un mecanismo que te permite conocer si existen amenazas o incidentes de ciberseguridad relacionados con redes de ordenadores comprometidos o botnets, asociados a tu conexión a Internet. Para ello se chequea tu dirección IP pública contra nuestra base de datos del servicio AntiBotnet.

 

Lo primero que debes saber es ¿Qué es una botnet?

Lee nuestro artículo de la OSI sobre este tipo de amenazas, pero quédate con esta idea: Una botnet es capaz de controlar muchos ordenadores o dispositivos de usuarios de forma remota sin su consentimiento para propagar malware, generar spam y cometer diversidad de delitos y fraudes en Internet.

 

¿Qué es la dirección IP pública y por qué se utiliza para saber si estoy afectado?

Simplificando al ámbito domestico más común, la dirección IP pública es la dirección que identifica a los dispositivos de nuestra red cuando navegamos por Internet y que normalmente está asociada al router que proporciona la conexión. Esta dirección es asignada por nuestro operador de servicios de Internet y puede ser fija (siempre tenemos la misma) o dinámica, es decir, puede cambiar a lo largo del tiempo, siendo esto algo transparente para el usuario final. Decimos que es pública, porque al navegar por Internet este dato es conocido o proporcionado a aquellos sitios o servicios que utilicemos, visitemos o por los que naveguemos. Según esto, si algún ordenador o dispositivo de tu red está infectado por una botnet, el equipo servidor desde el que se esté controlando dicha red maliciosa en este momento asociará tu ordenador con dicha dirección IP.

 

¿Cómo sabe INCIBE que mi dirección IP pública está relacionada con estas redes de ordenadores controlados?

Las entidades públicas y privadas que trabajamos por la seguridad en Internet tratamos de detectar, siempre en el marco de la legalidad vigente, estas redes maliciosas para así mitigar sus efectos, luchar contra ellas y ayudar a desinfectar los equipos de los usuarios finales afectados. Para ello, tratamos de detectar los servidores que controlan a los miles de ordenadores infectados. Gracias a este trabajo y en colaboración con las Fuerzas y Cuerpos de Seguridad y entidades a nivel internacional, se puede tomar control de estos servidores para desarticular la botnet o parte de ella. Con este control, los equipos de seguridad  podemos identificar las direcciones IP públicas que actúan como bots o zombies, es decir, las direcciones IP de los dispositivos infectados que se están conectando, sin saberlo, a estos servidores maliciosos. Con esta información podemos llegar a prestar servicios como este.

La base de datos de INCIBE, proporciona información en tiempo real sobre direcciones IP públicas españolas que están asociadas con estas redes maliciosas, así como el momento en el tiempo en el que se detecta y el tipo de amenaza o malware que le puede afectar.

Para explicarlo mejor te mostramos este diagrama:

 Diagrama del Servicio. El contenido esta imagen está explicado en detalle en el texto de esta página 

 


¿Cuál es el alcance del servicio?

Como hemos indicado, nuestra base de datos solo contiene información sobre direcciones IP relacionadas con incidentes de redes botnets geolocalizadas en España.  Esto quiere decir que nuestro servicio sólo es útil si lo ejecutas desde una conexión a Internet en España.

 

Uso del servicio

Te aconsejamos que uses este servicio desde tu conexión a Internet particular si quieres saber si hay dispositivos infectados por botnets. No te aconsejamos que lo uses en redes wifi públicas, ya que en ese caso el incidente podrá estar asociado a cualquier dispositivo que se conecte a través de dicha red.

 

¿Qué significa que el resultado del servicio sea positivo?

Si el resultado de ejecutar el servicio es positivo, significa que algún dispositivo que comparta tu conexión a Internet, bien el que estás usando u otro, puede estar infectado por un malware relacionado con una botnet. En ese caso te daremos la información de la que disponemos para ayudarte en la identificación del dispositivo afectado y en la desinfección.

 

¿Cómo puedo saber cuál es el dispositivo afectado o infectado?

Nuestro servicio no identifica dispositivos de usuario infectados, sólo contrasta tu IP pública contra nuestra base de datos, tal y como se explica en el diagrama anterior. En caso de que el servicio te devuelva un resultado positivo, el dispositivo afectado será alguno de los que están conectados a Internet en tu red en el momento de la detección del incidente, no tiene porqué ser el equipo desde el cual se ha identificado la amenaza.

 

¿Qué significa que el resultado del servicio sea negativo?

Un resultado negativo significa que la dirección IP pública con la que navegan en estos momentos los equipos de tu red no ha estado registrada en las últimas 3 horas en nuestra base de datos. Esto quiere decir que nosotros no tenemos constancia de que tu dirección IP actual forme parte de alguna de las botnets sobre las que nosotros tenemos información, de ningún modo significa que tus ordenadores o dispositivos estén seguros. Ten en cuenta que este servicio es un mecanismo de detección puntual y que no sustituye en ningún caso a los sistemas antivirus o anti-malware. Te recomendamos la instalación de nuestro plugin para Chrome, Firefox, o Explorer para un chequeo contínuo, que estés al día de los consejos para prevenir infecciones y que utilices herramientas de seguridad en tus dispositivos.

 

¿Existen falsos positivos o negativos?

Si, pueden existir. El servicio tiene una fiabilidad muy alta, pero debido a que las direcciones IP públicas que se asignan a las líneas ADSL o conexiones a Internet pueden cambiar, existe un pequeño margen de error de falsos positivos o negativos. 

 

¿Por qué si me he desinfectado el resultado sigue siendo positivo?

Debes tener en cuenta que mantenemos los registros de infecciones en nuestra base de datos durante 3 horas. Esto significa que, aunque hayas seguido los pasos recomendados para la desinfección, puede pasar un periodo de tiempo hasta que el servicio indique que no se han detectado incidentes en tu conexión.

 

¿Qué hace INCIBE con mi dirección IP pública al usar este servicio?

INCIBE utiliza tu dirección IP pública, siempre con tu consentimiento explícito al aceptar las condiciones de uso y privacidad del servicio, para contrastarla contra nuestra base de datos en tiempo real y poder ofrecerte el resultado del servicio. La dirección IP se guarda solamente con fines estadísticos y nunca asociada a un usuario en concreto.