Reclutamiento: un dispositivo se convierte en bot mediante malware (troyanos, gusanos), explotación de una vulnerabilidad sin parchear o, en el caso del IoT, simplemente probando credenciales de fábrica. Mirai construyó cientos de miles de bots solo con contraseñas por defecto de cámaras y routers.
Qué es una botnet
Una botnet es una red de equipos comprometidos —ordenadores, servidores, móviles, cámaras IP, routers— que un atacante controla de forma remota a través de una infraestructura de C2. Cada dispositivo infectado, llamado bot o zombi, sigue funcionando con aparente normalidad para su dueño mientras ejecuta las órdenes del operador: lanzar ataques DDoS, enviar spam, probar credenciales robadas a escala o servir de proxy para ocultar otros delitos. Su fuerza es la suma: un solo bot es irrelevante, pero cientos de miles coordinados generan un poder de fuego que se alquila por horas en el mercado criminal. Y cualquier dispositivo conectado mal protegido es un recluta en potencia.
Por qué importa
Las botnets importan a una empresa por partida doble: como víctima de sus ataques y como cómplice involuntario. Como víctima, son el músculo detrás de los DDoS que tumban webs y APIs, del credential stuffing contra portales de clientes y del spam que distribuye malware. Como cómplice, el escenario es más incómodo: si un servidor, un portátil o una cámara IP de la organización forma parte de una botnet, la empresa está atacando a terceros sin saberlo. Las consecuencias son concretas: direcciones IP corporativas en listas negras que hunden la entregabilidad del correo, ancho de banda consumido, avisos del proveedor de Internet o de un CERT, y la evidencia de que un atacante tiene ejecución de código dentro de la red — porque un bot rara vez viene solo, y el mismo acceso que hoy envía spam mañana puede desplegar ransomware. El auge del IoT lo agrava: dispositivos con credenciales de fábrica y sin parches posibles son reclutas permanentes que nadie vigila. Detectar un bot pronto no es solo higiene: es descubrir una brecha activa antes de que su operador decida monetizarla de otra manera.
Puntos clave
Arquitectura de mando: los bots reciben órdenes de la infraestructura de C2, ya sea centralizada (servidores que la policía puede tumbar) o distribuida P2P, con técnicas como dominios generados algorítmicamente (DGA) y fast-flux para resistir bloqueos y takedowns.
Usos principales: ataques DDoS por encargo, envío masivo de spam y phishing, credential stuffing contra servicios online, fraude de clics publicitarios y minería de criptomonedas con hardware ajeno.
Proxies residenciales: muchas botnets alquilan las conexiones de sus víctimas para que otros criminales naveguen 'desde' esas IPs domésticas o corporativas, evadiendo bloqueos geográficos y sistemas antifraude. La IP de la empresa acaba firmando delitos de terceros.
Señales de que un equipo corporativo es un bot: tráfico saliente anómalo o periódico hacia dominios extraños (beaconing), consultas DNS masivas o con nombres aleatorios, consumo inexplicable de CPU o ancho de banda, la IP corporativa en listas negras y avisos externos del ISP o de un CERT.
Desinfección: aislar el dispositivo, identificar el malware y su vía de entrada, reinstalar desde cero (en IoT, firmware actualizado y credenciales nuevas), rotar las credenciales que el equipo conocía y cerrar la causa raíz. Sin ese último paso, la reinfección es cuestión de días; la segmentación de red limita el alcance del siguiente intento.
Ejemplo: Una cámara IP convierte a la empresa en atacante
Una empresa industrial instala ocho cámaras IP para vigilar su nave. El integrador las conecta a la red corporativa y nadie cambia la contraseña de fábrica ni actualiza el firmware. Tres semanas después, un escáner automatizado de una botnet tipo Mirai encuentra una de las cámaras expuesta, entra con las credenciales por defecto y la recluta; desde ella, escanea la red interna y suma otras cinco cámaras. Los dispositivos siguen grabando con normalidad: nadie nota nada hasta que el proveedor de Internet envía un requerimiento porque las IPs de la empresa participan en ataques DDoS contra terceros, y el dominio corporativo empieza a caer en listas negras que bloquean sus correos comerciales.
La investigación del SOC confirma el beaconing de las cámaras hacia el C2 y descubre lo más grave: las cámaras compartían segmento de red con los servidores de producción, de modo que el operador de la botnet tenía un punto de apoyo dentro de la red plana de la fábrica. La remediación combina lo inmediato —aislar y reflashear las cámaras, credenciales únicas, bloquear el C2— con lo estructural: segmentar el IoT en su propia VLAN sin salida directa a Internet y someter los dispositivos conectados a una auditoría de seguridad IoT antes de enchufarlos a producción.
Errores habituales
- Restar importancia a un bot porque 'solo envía spam'. Un bot es la prueba de que alguien ejecuta código dentro de la red; el mismo acceso se revende y puede acabar en ransomware o exfiltración. Es una brecha activa, no una molestia.
- Dejar el IoT fuera del inventario y del programa de parches. Cámaras, impresoras, SAIs y routers son los reclutas favoritos de las botnets precisamente porque nadie los vigila, no se actualizan y conservan credenciales de fábrica durante años.
- Desinfectar el equipo sin cerrar la vía de entrada. Si la vulnerabilidad sigue sin parche o la credencial por defecto sigue activa, el mismo escáner automatizado que lo reclutó la primera vez lo reinfectará en días.
- Ignorar los avisos externos. Los correos del ISP, de un CERT o la aparición en listas negras suelen ser la primera y única señal de infección; tratarlos como spam burocrático regala meses de permanencia al atacante.
- Vigilar solo el tráfico entrante. Un bot se delata por lo que sale: beaconing periódico al C2, picos de tráfico coordinados, DNS anómalo. Sin monitorización del tráfico saliente, la botnet opera con total tranquilidad.
Términos relacionados
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿Cómo sé si mi empresa forma parte de una botnet?
Las señales más fiables son de red: conexiones salientes periódicas hacia dominios desconocidos (beaconing), consultas DNS con nombres aleatorios, picos de tráfico sin explicación y dispositivos que hablan con Internet cuando no deberían. A eso se suman los avisos externos: la IP corporativa en listas negras, requerimientos del ISP o notificaciones de un CERT. Un SOC con visibilidad del tráfico saliente detecta estos patrones de forma rutinaria.
¿Por qué las botnets reclutan tantos dispositivos IoT?
Porque son el objetivo perfecto: se venden con credenciales de fábrica que nadie cambia, muchos no reciben parches nunca, están encendidos las veinticuatro horas y ningún antivirus corre en ellos. Además suelen conectarse a la red corporativa sin segmentar, así que un solo dispositivo comprometido da al atacante presencia permanente dentro del perímetro con visibilidad de todo el segmento.
¿Qué gana exactamente el operador de una botnet?
Dinero, casi siempre por alquiler. El modelo dominante es el servicio: DDoS por horas, envío de spam por millones, proxies residenciales por gigabyte y capacidad de cómputo para minería o credential stuffing. El operador también puede revender el acceso a bots 'interesantes' —un servidor corporativo vale más que una cámara— a grupos de ransomware, convirtiendo una infección menor en la fase inicial de un ataque dirigido.
¿Cómo se desinfecta un equipo que forma parte de una botnet?
Primero aislarlo de la red y preservar la evidencia para entender la vía de entrada. Después, reinstalar desde una fuente limpia —en IoT, firmware actualizado— y sustituir todas las credenciales que el dispositivo conocía o almacenaba. Por último, y es lo decisivo, cerrar la causa raíz: parchear la vulnerabilidad, eliminar credenciales por defecto y segmentar el dispositivo. Limpiar sin cerrar la puerta solo programa la reinfección.