Login Probar gratis
Botnets: cómo tu ordenador puede formar parte de una red de zombis sin saberlo

Botnets: cómo tu ordenador puede formar parte de una red de zombis sin saberlo

por MataSpam Malware y Virus

Tu ordenador puede estar ejecutando ataques contra empresas mientras tú miras Netflix, y ni siquiera te has dado cuenta. Una botnet es una red de dispositivos infectados controlados remotamente por un atacante, y formar parte de ella es más fácil de lo que parece. Hablamos de redes zombis que pueden contar con millones de equipos, desde routers domésticos hasta cámaras IP, pasando por ese portátil viejo que tienes en el desván conectado al WiFi. Detectar si tu equipo se ha convertido en un ordenador zombie requiere prestar atención a señales concretas: lentitud inexplicable, consumo de red anómalo, ventiladores trabajando cuando no haces nada. Las botnets DDoS son solo una de las muchas funciones que pueden cumplir estos enjambres digitales. Y sí, detectar una botnet en tu red doméstica es posible si sabes dónde mirar.

Qué es exactamente una botnet y cómo funciona

Una botnet es una red de ordenadores comprometidos que reciben órdenes desde un servidor central llamado C&C (Command and Control) o, en versiones más modernas, mediante arquitecturas peer-to-peer descentralizadas. Cada equipo infectado recibe el nombre de bot o zombi, y el atacante que los controla se conoce como botmaster o bot herder.

El esquema funciona así. Un dispositivo se infecta mediante phishing, descarga maliciosa, explotación de vulnerabilidades sin parchear o credenciales débiles. El malware instalado abre una puerta trasera silenciosa que contacta periódicamente con la infraestructura del atacante. Cuando el botmaster lanza una orden, miles o millones de equipos la ejecutan simultáneamente.

Botnets históricas como Mirai demostraron en 2016 lo peligroso del asunto al tumbar Dyn DNS y dejar fuera de servicio a Twitter, Spotify y Reddit. Mirai se especializaba en infectar dispositivos IoT con credenciales por defecto. El código fuente se publicó después, generando decenas de variantes que siguen activas. Emotet, TrickBot o Necurs son otros nombres que han dado dolores de cabeza a las unidades de ciberdelincuencia de Europol e Interpol.

Cómo acaba tu ordenador formando parte de una red zombis

Los vectores de infección han evolucionado, pero los clásicos siguen funcionando porque el eslabón humano no parchea. Estos son los métodos más habituales:

  • Adjuntos maliciosos en correos: macros de Office, PDFs con exploits, archivos comprimidos con doble extensión. Aquí Laia, nuestra filtradora de spam favorita, hace su trabajo, pero hay variantes que se cuelan.
  • Descargas drive-by: visitas una web comprometida y se ejecuta código aprovechando una vulnerabilidad del navegador o de un plugin.
  • Software pirata o cracks: el típico "activador" de Windows o Adobe que viene con regalo sorpresa. Spoiler: el regalo eres tú.
  • Routers y dispositivos IoT: cámaras, NAS, impresoras con firmware sin actualizar y contraseñas admin/admin. El paraíso de Mirai y sus primos.
  • Vulnerabilidades sin parchear: CVEs explotadas activamente como CVE-2017-0144 (EternalBlue, que dio vida a WannaCry y NotPetya) o las múltiples vulnerabilidades de Log4Shell.

Una vez dentro, el malware suele establecer persistencia modificando el registro, creando tareas programadas o instalándose como servicio. Las variantes más sofisticadas usan técnicas similares a las del malware con inteligencia artificial adaptativo para esquivar antivirus tradicionales.

Para qué se usa una botnet (spoiler: no es nada bueno)

El propietario de una botnet tiene un ejército silencioso a su disposición. Las aplicaciones son variadas y, casi siempre, monetizadas:

UsoDescripción
Ataques DDoSSaturar servicios con tráfico masivo. Las botnets DDoS pueden generar picos de varios Tbps.
Envío de spamMillones de correos diarios desde IPs residenciales que no están en blacklists.
Fraude publicitarioClicks falsos en anuncios para vaciar presupuestos de competidores o monetizar tráfico.
CryptojackingMinar criptomonedas usando la CPU/GPU del bot. Tema que tratamos en el artículo sobre cryptojacking.
Robo de credencialesKeyloggers y stealers que envían contraseñas bancarias al C&C.
Distribución de ransomwareLa botnet sirve como vector de entrega para infectar después con ransomware.
Proxy residencialVender el ancho de banda y la IP del bot a terceros para anonimato delictivo.

El mercado negro alquila botnets por horas. Según informes de empresas como Kaspersky y ENISA publicados en años recientes, alquilar una botnet para un ataque DDoS de magnitud media puede costar aproximadamente unas pocas decenas de euros por hora. Barato y devastador.

Cómo detectar una botnet en tu equipo o red

Detectar un ordenador zombie no requiere ser perito forense. Hay señales que cualquier usuario con cierta curiosidad técnica puede revisar:

  1. Lentitud sin causa aparente: el equipo va lento, los ventiladores rugen incluso con el navegador cerrado y la temperatura sube. Mira el Administrador de Tareas (Windows) o Activity Monitor (macOS) buscando procesos desconocidos consumiendo CPU.
  2. Tráfico de red anómalo: herramientas como Wireshark, GlassWire o el monitor de red del router muestran conexiones salientes hacia IPs raras a horas raras. Si tu equipo habla con un servidor en Rumanía a las 3 de la mañana, algo no cuadra.
  3. Conexiones a puertos sospechosos: ejecuta netstat -ano en Windows o lsof -i en Linux/macOS y revisa qué procesos mantienen conexiones abiertas.
  4. Antivirus desactivado o sin actualizar: muchos troyanos desactivan Windows Defender o el AV antes de actuar. Si las actualizaciones de Windows tampoco funcionan, mala señal.
  5. Tu IP aparece en blacklists: revisa Spamhaus, AbuseIPDB o MXToolbox. Si tu IP residencial está en listas de spam o abuso, probablemente alguien de tu red está enviando porquería.
  6. Cuentas comprometidas: consulta Have I Been Pwned con tus emails. Si han salido contraseñas en filtraciones recientes, refuerza el 2FA.

Para análisis más profundos, VirusTotal permite subir archivos sospechosos y contrastarlos con más de 70 motores antivirus. Si manejas información sensible o gestionas equipos en una empresa, conviene revisar la guía de seguridad cloud para empresas y plantearse soluciones EDR profesionales.

Qué hacer si descubres que estás infectado

Si la sospecha se confirma, el orden de actuación importa. Estos son los pasos:

  1. Desconecta el equipo de la red. Cable Ethernet fuera, WiFi apagado. Cortar el cordón umbilical con el C&C es prioritario.
  2. Cambia contraseñas desde otro dispositivo limpio. No uses el equipo infectado para entrar en tu banca online.
  3. Arranca en modo seguro y pasa un análisis completo con Malwarebytes, ESET Online Scanner o Microsoft Defender Offline.
  4. Considera la reinstalación limpia. Con malware sofisticado, formatear y reinstalar es la única garantía. Los rootkits modernos pueden sobrevivir incluso a reinstalaciones si infectan el firmware UEFI.
  5. Revisa el router. Si está infectado, cualquier dispositivo nuevo que conectes vuelve a comprometerse. Actualiza firmware y cambia credenciales por defecto.
  6. Habilita 2FA en todo lo importante. Banca, email, redes sociales. Si pueden, lo harán.

Para casos serios (sospecha de exfiltración de datos sensibles o equipos corporativos comprometidos), conviene aislar la máquina y enviarla a análisis forense profesional. Equipos como los descritos en análisis de malware en sandbox pueden determinar el alcance real.

Prevención: cómo no acabar siendo un bot más

La higiene digital básica resuelve la mayoría de infecciones. Sin paranoia, pero sin descuido:

  • Mantén el sistema y las aplicaciones actualizadas. La mayoría de exploits aprovechan vulnerabilidades con parche disponible desde hace meses.
  • Cambia las contraseñas por defecto de routers, cámaras IP, NAS y cualquier dispositivo conectado.
  • Usa un gestor de contraseñas (Bitwarden, 1Password) y contraseñas únicas por servicio.
  • Activa 2FA donde sea posible, preferiblemente con app autenticadora o llave física (Yubikey).
  • Desconfía de adjuntos no solicitados, especialmente si llegan con prisas o amenazas.
  • Segmenta tu red. IoT en una VLAN o WiFi de invitados separada del equipo principal.
  • Antivirus actualizado, aunque sea Windows Defender. Mejor algo que nada.
  • Firewall activo y, si es posible, monitor de red doméstico tipo Pi-hole.

En entornos profesionales, el desarrollo de aplicaciones seguras desde el diseño marca la diferencia. Si gestionas un negocio digital, plantearte soluciones de inteligencia artificial para empresas que monitoricen anomalías en tiempo real puede evitar disgustos mayores. Y si tienes una web WordPress profesional, mantén plugins y core actualizados religiosamente: las botnets adoran sitios WP comprometidos para alojar phishing o redirigir tráfico.

El papel de las autoridades y los grandes operativos contra botnets

Las fuerzas de seguridad llevan años desmantelando botnets en operativos coordinados. Operación Endgame, liderada por Europol en 2024, fue una de las mayores acciones contra droppers de malware como IcedID, SystemBC, Pikabot y Bumblebee. Emotet fue desmantelada en enero de 2021 por una operación conjunta entre Países Bajos, Alemania, Estados Unidos, Reino Unido, Francia, Lituania, Canadá y Ucrania (renació meses después, pero esa es otra historia).

En España, el INCIBE y el Grupo de Delitos Telemáticos de la Guardia Civil colaboran con CERT-EU y otras unidades internacionales. El Reglamento (UE) 2019/881 (Cybersecurity Act) y la Directiva NIS2 establecen marcos de cooperación que han mejorado la respuesta coordinada. Para empresas, la NIS2 obliga a reportar incidentes significativos con una notificación temprana en 24 horas y un informe más detallado en un plazo de hasta 72 horas según gravedad.

Preguntas frecuentes

¿Mi móvil también puede formar parte de una botnet?

Sí, especialmente Android. Familias como FluBot, Cerberus o Anubis han creado botnets móviles importantes. Instalar apps solo desde Google Play, mantener el sistema actualizado y revisar permisos sospechosos reduce el riesgo considerablemente.

¿Cómo sé si mi router está infectado?

Señales típicas: lentitud generalizada en toda la red, DNS modificado sin tu consentimiento, redirecciones extrañas en webs comunes o aparición de dispositivos desconocidos en la lista de conexiones. Reinicia, actualiza el firmware y, si persiste, restablece a valores de fábrica cambiando credenciales por defecto.

¿Es legal tener una botnet para pruebas?

Crear y controlar una botnet sobre equipos propios en un entorno aislado de laboratorio es legal. Infectar equipos ajenos sin consentimiento es delito tipificado en el artículo 264 del Código Penal español, con penas de prisión que pueden llegar a varios años según el daño causado.

¿Un antivirus gratuito basta para protegerme?

Windows Defender combinado con buenas prácticas cubre la mayoría de casos en uso doméstico. Para entornos profesionales o si manejas información sensible, una solución EDR comercial con análisis de comportamiento aporta capas adicionales que el AV tradicional no tiene.

¿Por qué los ciberdelincuentes prefieren botnets a un solo servidor?

Distribuir el ataque entre miles de IPs residenciales hace prácticamente imposible bloquearlo por reputación o geografía. Además, atribuir el ataque al autor real se complica enormemente cuando el tráfico viene de equipos legítimos comprometidos en decenas de países.

El siguiente paso

Abre el Administrador de Tareas ahora mismo y revisa qué procesos están consumiendo CPU y red en tu equipo. Si ves algo que no reconoces, copia el nombre exacto y búscalo en VirusTotal antes de cerrar la sesión. Tres minutos de revisión hoy pueden ahorrarte semanas de marrones mañana.

botnet red zombis ordenador zombie botnet ddos detectar botnet
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

Malware en firmware y BIOS/UEFI: la amenaza invisible
Malware y Virus

Malware en firmware y BIOS/UEFI: la amenaza invisible

Malware en macOS: las amenazas reales para usuarios de Mac en 2026
Malware y Virus

Malware en macOS: las amenazas reales para usuarios de Mac en 2026

Ransomware de triple extorsión: cifrado, filtración y acoso
Malware y Virus

Ransomware de triple extorsión: cifrado, filtración y acoso

← Volver al blog