Botnets a escala global: cuando la infraestructura del ataque es el propio internet

Botnets a escala global: cuando la infraestructura del ataque es el propio internet

Diversas agencias internacionales de ciberseguridad, incluyendo la Cybersecurity and Infrastructure Security Agency, el Federal Bureau of Investigation y el National Cyber Security Centre, han emitido una alerta conjunta sobre una evolución significativa en las operaciones cibernéticas vinculadas a China.

El cambio es claro: los actores ya no dependen de infraestructura propia. Ahora operan mediante redes masivas de dispositivos comprometidos, botnets, distribuidos globalmente.

Esto transforma por completo la forma en que se ejecutan, detectan y responden los ataques.

¿Qué hace relevante este incidente?

No se trata de una nueva técnica, sino de un cambio en escala, sofisticación y propósito.

Los botnets ahora:

• Se integran en todo el ciclo de ataque (reconocimiento, acceso, movimiento lateral, exfiltración)
• Operan con miles o cientos de miles de dispositivos comprometidos
• Permiten ocultar el origen real de las operaciones

Esto convierte al internet en una infraestructura compartida también para el ataque.

De infraestructura dedicada a infraestructura distribuida

Tradicionalmente, los atacantes utilizaban servidores propios o dominios controlados.

Hoy, el modelo ha cambiado:

• Uso de routers, cámaras IP y dispositivos IoT comprometidos
• Redes dinámicas que cambian constantemente
• Costos operativos significativamente más bajos
• Mayor dificultad para atribuir ataques

Este enfoque no solo escala, también introduce negación plausible, especialmente en operaciones de nivel estatal.

El problema de fondo: la “invisibilidad operativa”

Estas redes funcionan mediante múltiples capas de enrutamiento:

• Nodo de entrada
• Dispositivos intermedios (tránsito)
• Nodo de salida hacia el objetivo

El resultado es un tráfico que:

• Parece legítimo
• Proviene de dispositivos comunes
• Cambia constantemente de origen

Esto rompe uno de los pilares tradicionales de la ciberseguridad: la identificación clara del atacante.

El fin de los indicadores tradicionales

Uno de los conceptos clave es la “extinción de IOCs” (Indicators of Compromise).

Debido a la rotación constante de dispositivos:

• Las direcciones IP dejan de ser confiables
• Las listas de bloqueo pierden efectividad
• La infraestructura de ataque es efímera

La defensa basada en indicadores estáticos ya no es suficiente.

Una superficie de ataque que nadie controla completamente

Un elemento crítico es que muchos de los dispositivos comprometidos son:

• Equipos obsoletos o sin actualizaciones
• Infraestructura doméstica o de bajo costo
• Sistemas fuera del control directo de las organizaciones

Esto crea un riesgo sistémico: las empresas dependen de un ecosistema que no pueden asegurar completamente.

Implicaciones para las organizaciones

Este modelo introduce nuevos desafíos:

• Dificultad para diferenciar tráfico legítimo de malicioso
• Mayor complejidad en la detección de amenazas
• Incremento en ataques sigilosos y persistentes
• Dependencia de visibilidad avanzada para identificar anomalías

Además, amplía el alcance del riesgo: no solo importa tu infraestructura, sino el entorno digital global.

¿Cómo deben responder las empresas?

Las organizaciones necesitan evolucionar hacia modelos más adaptativos:

• Implementar monitoreo continuo de red y comportamiento
• Adoptar arquitecturas Zero Trust
• Priorizar análisis de comportamiento sobre indicadores estáticos
• Controlar accesos con contexto (no solo credenciales)
• Reducir exposición de sistemas conectados a internet

La clave está en pasar de una seguridad reactiva a una seguridad basada en inteligencia y contexto.

Los botnets no son nuevos, pero su uso estratégico a escala global redefine el entorno de ciberseguridad.

El ataque ya no necesita esconderse en la sombra. Ahora puede mezclarse con el tráfico legítimo del día a día.

En BQuantum creemos que en esta nueva realidad, el reto no es bloquear lo desconocido, es identificar lo anómalo dentro de lo aparentemente normal.

‍