CIBERSEGURIDAD localización (servidor C&C) esperando comandos. El modelo centralizado ofrece herramientas software que lo hace fácil de operar y da lugar a poco retardo de comunicación entre el bot master y los equipos bots infectados. Cada vez más se observa que los ciber- atacantes utilizan los protocolos Web HTTP y HTTPS como método de comunicación entre bots y bot master. Esto significa que es más difícil para los operadores de red detectar y bloquear las comunicaciones bot entrantes y salientes ocultas en un volumen elevado de tráfico Web normal. Los bots se comunican con el bot-master utilizando un servidor C&C y canales IRC. El bot master de este modo proporciona instruccio- nes que dirigen la operación de la botnet. El servidor C&C normalmente es un computador infectado que ejecuta diversos servicios de red. Después de infec- tar un computador por medio de un programa bot, el bot conecta periódicamente con el servidor C&C pidiendo instrucciones. (2) Modelo C&C tipo P2P. Carece de una jerarquía central de comunicación lo que hace a la botnet más resiliente para echarla abajo. Es difícil detener los ciber- ataques lanzados desde botnets que se comunican utilizando P2P sus equipos bots ya que no existe un único punto de fallo. Hivenets/Swarmbots/Clusteres inteligentes de dispo- sitivos infectados. Es una evolución de las redes de bots (o botnets) integrando auto-aprendizaje, automatiza- ción, inteligencia artificial compartida. Son en esencia redes inteligentes de bots (NewGeneration-botnets). Malware metamórfico. Puede transformarse en fun- ción de su capacidad para traducir, editar y reescribir su propio código. Se considera uno de los malware mas infecciosos. Este malware cambia su estructura interna reescribiéndose y reprogramándose cada vez que infecta un dispositivo de computación. Este tipo de malware muta su código utilizando un motor meta- mórfico que cambia el cuerpo del malware incluso el propio motor de mutación. No tiene parte cifrada y por tanto no necesita descifrador. Cada vez que se propaga se crea una nueva versión que mantendrá el mismo efecto y comportamiento en general. Algunos malware metamórficos se comunican con la Web y otros no se comunican con el exterior durante la mutación. Consideraciones finales Los principales impactos y efectos de los diferentes tipos de malware a nivel de la información son: • Denegación. Es el caso del malware ransomware que secuestra ficheros y pide recompensa para devolver la disponibilidad. Como contramedida disponer de backups y redundancia. • Destrucción. Es el caso de malware de formateo del disco duro. • Revelación. Es el caso de revelar contenidos de datos sensibles vía spyware (espionaje). • Descubrimiento. Es el caso de malware que descu- bre la existencia de recursos burlando mecanismos de anonimato. 43 BGP (Border Gateway Protocol) debería enviar actuali- zaciones de routing a los routers ISP para que enruten todo el tráfico. Las botnets se utilizan para los siguien- tes propósitos: (i) Localizar e infectar otros sistemas de computación con programas maliciosos específicos para bots y otros tipos de malware. Esta funcionalidad permite a los ciberatacantes mantener y construir su suministro de nuevos bots para permitir encargarse de las funciones siguiente. (ii) Realizar ciberataques DDoS (Distributed Denial of Service) que afectan a la disponi- bilidad o propiedad de asegurar que los datos digitales y recursos dentro de un sistema IT/OT se encuentren disponibles a tiempo para los usuarios autorizados. (iii) Como un servicio que puede comprarse, venderse o alquilarse. (iv) Rotar las direcciones IP bajo uno o más dominios con el propósito de aumentar la duración de los sitios Web fraudulentos en los que por ejemplo se hospedan sitios de malware y/o phishing. (v) Enviar spam que a su vez puede distribuir más malware. (vi) Robar información sensible de cada sistema de computación infectado que pertenece a la botnet. (vii) Hospedar el sitio de phishing malicioso, a menudo junto con otros miembros de la botnet para proporcionar redundancia. (viii) Muchos clientes botnet permiten al ciber-atacante ejecutar código adicional de su elección haciendo el cliente botnet muy flexible para añadir nuevos ciber- ataques. La operativa cíclica (ciclo de generación de la botnet) e infección de una botnet es la siguiente: (1) Fase-1. El malware infecta al dispositivo de la víctima. (2) Fase-2. Roba diferentes cosas (información, secretos, dinero, credenciales de autenticación de los usuarios, etc. (3) Fase-3. El equipo infectado se convierte en una parte de la botnet. La botnet se compone de equipos bots que: roban información (por ejemplo, sitio phishing hospedado con direcciones IP rotativas), sitios mula hospedados con direcciones IP que rotan, lanza ciber- ataques DDoS, compromete/infecta otros dispositivos de computación con malware) y vuelta a la fase-1. Dos modelos C&C de una botnet son: (1) Modelo C&C cen- tralizado. Todos los equipos bots informan a una única