Botnet.

Una botnet es un conjunto de endpoints comprometidos —PC, servidores, routers, dispositivos IoT— que se conectan a uno o varios servidores de mando y control (C2) y ejecutan las órdenes del operador de la botnet (el "botmaster"). Las botnets se usan para ataques DDoS, spam, credential stuffing, fraude de clics, minería de criptomonedas, distribución de malware y como redes proxy para intrusiones posteriores. Pueden emplear C2 centralizado, peer-to-peer o DNS fast-flux para resistir el desmantelamiento.

La escala es su rasgo definitorio. La botnet Mirai (2016) reclutó cientos de miles de cámaras y routers IoT usando una lista de credenciales por defecto y luego dirigió alrededor de 1 Tbps de tráfico contra el proveedor de DNS Dyn, dejando fuera de línea a Twitter, Reddit y Spotify. La botnet de proxies residenciales "911 S5" —desmantelada por el FBI y socios internacionales en mayo de 2024 con la detención del administrador YunHe Wang— había infectado casi 19 millones de direcciones IP en cerca de 200 países, alquilando los dispositivos de las víctimas a estafadores y causando miles de millones en pérdidas. Botnets bancarias como Emotet y Qakbot fueron interrumpidas de forma similar mediante operaciones coordinadas de sinkholing por parte de las fuerzas del orden.

flowchart TD
  M[Infeccion por malware<br/>credenciales por defecto / exploit / phishing] --> B1[Bot 1]
  M --> B2[Bot 2]
  M --> B3[Bot N]
  B1 --> C[Servidor C2 / P2P / fast-flux]
  B2 --> C
  B3 --> C
  C --> O[El botmaster emite ordenes]
  O --> A[DDoS / spam / proxy / mineria]

Las defensas incluyen higiene de endpoints, actualización del firmware IoT, bloqueo de C2 conocidos, sinkholing, filtrado de tráfico saliente, detección de anomalías de red y operaciones de desmantelamiento lideradas por las fuerzas del orden.