Login Probar gratis
Botnets y envío masivo de spam: cómo funcionan las redes de spam

Botnets y envío masivo de spam: cómo funcionan las redes de spam

por MataSpam Spam y Correo No Deseado

Una botnet de spam es una red de ordenadores infectados que un atacante controla a distancia para enviar millones de correos basura sin que sus dueños lo sepan. El término botnet spam describe justo eso: tu portátil, tu router o esa cámara IP que compraste por catorce euros podrían estar ahora mismo disparando publicidad de pastillas milagrosas a medio planeta. El envío masivo ya no sale de un servidor pirata escondido en un sótano. Sale de miles de dispositivos domésticos convertidos en zombis. Esa red zombi spam es la maquinaria que hace que tu bandeja de entrada parezca un mercadillo. Aquí te contamos cómo se monta esa infraestructura spam, por qué es tan difícil de tumbar y qué puedes hacer para no formar parte del ejército sin querer.

Qué es una botnet y por qué le encanta el spam

Una botnet es un conjunto de dispositivos infectados con malware que obedecen las órdenes de un operador remoto, conocido como botmaster o pastor de bots. Cada equipo infectado se llama bot o zombi. Ni el antivirus ni el dueño suelen notar nada raro.

El correo basura es el negocio perfecto para una red así. El coste de enviar un email es casi cero, y si lo repartes entre cien mil máquinas ajenas, ni pagas la factura de luz ni das la cara. El spam masivo distribuido esquiva los bloqueos: en lugar de una IP enviando un millón de correos (fácil de banear), tienes un millón de IPs enviando uno cada una.

Esa es la gracia desde el punto de vista del atacante. Para el resto, es un dolor de cabeza que lleva décadas resistiéndose. La lógica recuerda a otras campañas distribuidas con motivación ajena al lucro, como las que explicamos en hacktivismo y ataques ideológicos, solo que aquí el objetivo es puro dinero.

Cómo se infecta tu dispositivo y acaba en una red zombi spam

Nadie instala un bot a propósito. La infección llega por las vías de siempre, solo que afinadas. Estas son las más comunes:

  • Adjuntos y enlaces maliciosos: el clásico email con factura falsa. Te lo explicamos a fondo en facturas falsas por email.
  • Descargas troyanizadas: software pirata, cracks y supuestos instaladores que traen regalo dentro.
  • Malvertising: anuncios envenenados que infectan sin que llegues a hacer clic. Tienes el detalle en malvertising y anuncios maliciosos.
  • Dispositivos IoT con contraseña de fábrica: cámaras, grabadores y routers con admin/admin. El caldo de cultivo favorito de las botnets modernas.

El caso que cambió las reglas fue Mirai en 2016. Este malware rastreaba internet buscando dispositivos del Internet de las Cosas con credenciales por defecto y los reclutaba en masa. Llegó a tumbar buena parte de la web mediante un ataque al proveedor de DNS Dyn. El código fuente de Mirai se publicó, y desde entonces sus variantes siguen vivas. Si quieres dimensionar el daño que provocan estas redes, repasa nuestro recorrido por los hackeos más famosos de la historia.

La arquitectura: cómo se controla la infraestructura spam

Una botnet necesita una forma de dar órdenes a sus zombis. Ese sistema de mando se llama C2 (Command and Control). Hay dos modelos principales.

Modelo Cómo funciona Punto débil
Centralizado Todos los bots se conectan a uno o pocos servidores (vía IRC o HTTP) Si cae el servidor central, cae la red entera
Peer-to-peer (P2P) Los bots se pasan órdenes entre ellos, sin un jefe único Mucho más resistente; tumbarla requiere coordinación internacional

Los operadores serios usan técnicas para no perder su infraestructura spam de un día para otro. El fast flux rota constantemente las direcciones IP asociadas a un dominio. Los DGA (algoritmos de generación de dominios) crean miles de nombres de dominio nuevos cada día, de forma que los bots saben a dónde conectarse aunque las autoridades bloqueen los anteriores.

El resultado es una red zombi spam que se comporta como una hidra: cortas una cabeza y salen tres. Por eso desmantelar una botnet rara vez es cuestión de apagar un servidor.

Botnets de spam que hicieron historia

No hablamos de teoría. Estas redes movieron volúmenes que cuesta imaginar:

  • Necurs: una de las mayores máquinas de envío masivo de la última década. Distribuía el ransomware Locky y el troyano bancario Dridex. Microsoft y socios de varios países coordinaron su desmantelamiento en marzo de 2020, tras analizar sus algoritmos de generación de dominios.
  • Emotet: empezó como troyano bancario y acabó siendo el repartidor de malware más activo del mundo. Una operación policial internacional (Europol) lo tumbó en enero de 2021, aunque resurgió meses después. La constancia del cibercrimen, en estado puro.
  • Grum: en su momento llegó a ser responsable de un porcentaje enorme del spam global antes de su caída en 2012.

El patrón se repite: una red crece durante años, llega a cifras escandalosas de spam masivo, cae tras una operación coordinada y, demasiadas veces, reaparece con otro nombre. Las credenciales robadas por estos malware también alimentan fraudes posteriores, desde el SIM swapping hasta el vaciado directo de cuentas.

Cómo saber si tu equipo forma parte de una botnet

Tu ordenador no te avisará con un cartel. Pero hay pistas. Vigila estas señales:

  • El equipo va lento sin motivo, incluso en reposo, y el ventilador no para.
  • Tu proveedor de correo bloquea tus envíos o te marca como emisor de spam.
  • Conexiones de red salientes raras cuando no estás usando nada.
  • Tu IP aparece en listas negras como las de Spamhaus.
  • Amigos que reciben correos tuyos que tú no has enviado.

Herramientas para comprobarlo y limpiar:

  1. Consulta si tus credenciales se han filtrado en Have I Been Pwned.
  2. Analiza archivos sospechosos en VirusTotal, que los pasa por decenas de motores antivirus.
  3. Pasa un escaneo a fondo con un anti-malware como Malwarebytes; tienes la guía completa en nuestro análisis de Malwarebytes.
  4. Revisa la herramienta de Spamhaus para ver si tu IP está en alguna lista negra.

En entornos de empresa, detectar este tipo de actividad anómala es exactamente lo que vigila un equipo de seguridad como el que describimos en qué es un SOC. Si gestionas la infraestructura de un negocio, mantener actualizado el software base —incluido tu WordPress profesional— es la diferencia entre ser blanco fácil o no.

Defensas reales contra el spam de botnets

No puedes desmantelar Necurs desde tu cocina, pero sí puedes blindar lo tuyo y dejar de alimentar la bestia.

  • Autenticación de correo: si tienes dominio propio, configura SPF, DKIM y DMARC. Impiden que suplanten tu dominio para enviar spam en tu nombre.
  • Filtros antispam con IA: los filtros modernos analizan patrones de envío masivo, no solo palabras clave. Para eso existimos, dicho sea de paso.
  • Contraseñas únicas y 2FA: un gestor de contraseñas y doble factor cortan la reutilización de credenciales filtradas.
  • Actualiza el IoT: cambia la contraseña de fábrica de routers y cámaras. Si un dispositivo no recibe parches, jubílalo.
  • Segmenta la red: pon los cacharros inteligentes en una red wifi separada de tus equipos importantes.

En el plano legal, en España el envío de comunicaciones comerciales no consentidas está prohibido por la LSSI-CE (Ley 34/2002) y se cruza con el RGPD y la LOPDGDD. Operar o usar una botnet, además, encaja en los delitos de daños informáticos del Código Penal. Denunciar spam delictivo se hace ante el Grupo de Delitos Telemáticos de la Guardia Civil o la Brigada de Investigación Tecnológica de la Policía Nacional, con apoyo del INCIBE.

Preguntas frecuentes

¿Puede mi móvil formar parte de una botnet?

Sí. Existen botnets específicas para Android que se cuelan mediante apps maliciosas fuera de las tiendas oficiales. Instala solo desde Google Play o App Store y revisa los permisos que pide cada aplicación.

¿Cómo se gana dinero el dueño de una botnet de spam?

Alquila la red a terceros para campañas de correo basura, cobra por instalar malware de otros (pago por instalación) y revende las credenciales y datos que roban los bots. El envío masivo es solo una de las fuentes de ingresos.

¿Eliminar el malware me saca de la red zombi?

Limpiar el dispositivo con un buen anti-malware corta su conexión con el C2. Pero cambia también todas las contraseñas desde un equipo limpio, porque es probable que ya estuvieran comprometidas.

¿Por qué reaparecen las botnets después de desmantelarlas?

Porque el código suele filtrarse y los operadores rara vez son detenidos todos a la vez. Mientras queden dispositivos infectados y dominios de respaldo activos, otro grupo puede retomar la infraestructura spam con un nombre nuevo.

¿Sirve de algo bloquear remitentes uno a uno?

Poco. Como cada bot usa una IP y un remitente distinto, bloquear direcciones individuales es achicar el mar con un cubo. Funciona mejor un filtro que detecte patrones de comportamiento del spam masivo.

El siguiente paso

Entra ahora en Have I Been Pwned y comprueba si tu correo aparece en alguna filtración. Si sale algún resultado, cambia esa contraseña hoy mismo y activa el doble factor. Es el gesto de cinco minutos que evita que tu cuenta termine reclutada en la próxima red zombi spam.

botnet spam envío masivo red zombi spam spam masivo infraestructura spam
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

Spam en Google Calendar: cómo eliminarlo y prevenirlo
Spam y Correo No Deseado

Spam en Google Calendar: cómo eliminarlo y prevenirlo

Spam en formularios web: cómo proteger tu sitio con CAPTCHA y más
Spam y Correo No Deseado

Spam en formularios web: cómo proteger tu sitio con CAPTCHA y más

Cómo darse de baja de newsletters y reducir el spam que recibes
Spam y Correo No Deseado

Cómo darse de baja de newsletters y reducir el spam que recibes

← Volver al blog