Modelado del comportamiento de una botnet

El modelamiento del comportamiento de las amenazas informáticas puede ser de gran ayuda para entenderlas y por lo tanto combatirlas. Veamos en este post algunos conceptos que se pueden tener en cuenta para este tipo de modelos.

Los botmaster, cibercriminales detrás de una botnet, utilizan una amplia gama de vectores para lograr tener acceso a dispositivos que tengan conexión a Internet para utilizar sus recursos independiente de que sean computadoras en hogares, empresas, escuelas o gobiernos. Dentro de las actividades ilícitas más comunes que se realizan con las máquinas controladas de forma remota se cuenta el envío de spam o realizar ataques de denegación de servicio distribuidos (DDoS).

Entender el funcionamiento de cualquier amenaza informática es un paso importante para combatirla. Además,  si logra modelarse su comportamiento adecuadamente se puede obtener información adicional para desarrollar las medidas de protección adecuadas y que permita encontrar información útil de una botnet. Para estas amenazas, existen algunos modelos que basados en algunos razonamientos determinísticos logran acercar a los investigadores en seguridad, herramientas para responder cuestiones como la forma en que se propaga una amenaza, la cantidad de equipos que pueden verse infectados o el tiempo en que estará activa la amenaza.

En la Universidad Concordia de Montreal, Canadá, recientemente unos investigadores publicaron un artículo donde desarrollan todo un modelo para describir el ciclo de vida de una botnet, apoyándose en otros modelos que tienen sus raíces en sistemas epidemiológicos. En esta investigación, hacen una distinción en el modelado utilizado. Las opciones están alrededor de modelos estocáticos, es decir aquellos que a través de aproximaciones probabilísticas tratan de entender y predecir cómo se comportará una botnet. Este tipo de enfoques engloba el comportamiento azaroso que puede tener la propagación de este tipo de amenazas.

Por otra parte, se encuentran los modelos determinísticos que tratan de explicar el comportamiento de una variable específica, como el crecimiento de una botnet a través de la variación de otros parámetros como el tiempo o la cantidad de máquinas objetivos. Este tipo de modelos se resumen a través de funciones matemáticas que utilizan ecuaciones diferenciales ordinarias.

De acuerdo al artículo mencionado anteriormente, lo que debería contener un modelo que persiga entender el comportamiento de una botnet debe tener componentes determinísticos y probabilísticos. Es así como plantean un modelo llamado SIC (Susceptible-Infected-Connected) que está divido en tres etapas diferentes y lo que se modela es como va evolucionando una amenaza de este tipo a través de estas tres etapas.

Este tipo de investigaciones es muy valiosa para aquellos que trabajan en seguridad informática para complementar las medidas de seguridad que pueden ser más óptimas para garantizar la seguridad de la información.

H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research

Autor , ESET

Síguenos