Según la fundación Shadowserver, el número de máquinas reclutadas por botnet se ha triplicado en menos de un mes. Los botnets (asociaciones en red de máquinas “secuestradas”) también aumentan, pero más aún el número de equipos “zombie” que las componen.

La fundación Shadowserver está formada por un grupo de voluntarios, profesionales de la seguridad informática que monitorizan la actividad de los botnets en el mundo, además de vigilar la actividad del malware en general y el fraude electrónico. Su misión es mejorar la seguridad en Internet y elevar la concienciación sobre la presencia de sistemas comprometidos, atacantes organizados y la evolución del malware.

Los botnets concentran un gran número de máquinas “zombie” que se coordinan para gestionar el envío de correo basura, distribución de malware, alojamiento de páginas fraudulentas… pero, sobre todo, suelen ser las culpables de los ataques de denegación de servicio distribuido (DDoS).

Según esta fundación, el número de sistemas controlados por botnets (máquinas “zombie”) se ha triplicado en menos de un mes. Desde aproximadamente el día 8 de marzo, se ha observado una subida espectacular en el número de sistemas infectados, sin estabilizarse desde entonces y siguiendo al alza.

No se ha observado un aumento tan significativo en el número de botnets en sí, sino en el total de máquinas que agrupan. Según los llama la propia fundación los Command and Control servers (C&C) han subido un 20%, mientras que el número de máquinas que estos controlan se ha multiplicado por tres (de 400.000 a 1.200.000). En otras palabras, sólo unos pocos servidores más controlan muchas más máquinas cada uno.

Según sus estadísticas, existen unos 1.400 C&C actualmente, mientras que a principios de marzo se contabilizaron poco más de 1.100. El tope se alcanzó en diciembre de 2006 con 1.700 controladores.

Estas cifras pueden ser muy aproximadas (las gráficas de Shadowserver tienden a mostrar cambios bruscos), pero teniendo en cuenta la especialización actual de las mafias informáticas y la masiva presencia de sofisticados troyanos, no deben alejarse mucho de la realidad.

La mayor concentración de máquinas infectadas se encuentra en China, Brasil y Argentina, mientras que los controladores (C&C) suelen alojarse en Nueva York, California y el centro de Europa.

Como ya anunciábamos hace poco más de un año, siguen siendo muchas más las máquinas que tienen clientes instalados clandestina e involuntariamente que de forma consciente, y mayores los recursos invertidos para fines ilegales y prohibidos que para proyectos interesantes y altruistas basados también en la informática distribuida. Todo un desperdicio.

Más información:

Shadowserver Foundation

http://www.shadowserver.org

(22/01/2006) 250.000 máquinas “zombies” al día en diciembre

http://www.hispasec.com/unaaldia/2647

Sergio de los Santos
ssantos@hispasec.com