Ir al contenido
Amenazas y Ataques

¿Qué es una botnet (red de dispositivos zombis)?

Una botnet es una red de dispositivos conectados a internet (computadoras, servidores y aparatos inteligentes, como cámaras y routers) infectados por malware y controlados a distancia por un único operador, sin el conocimiento de los dueños. El criminal usa el poder sumado de esas máquinas para ataques de denegación de servicio, envío de spam, robo de credenciales y minería de criptomonedas. Su equipo puede formar parte de una y usted casi no lo sentiría.

Zamak TechnologiesActualizado el 12 de julio de 2026

Cómo se forma y actúa una botnet

Una botnet nace de muchos dispositivos infectados que pasan a obedecer un mismo comando. El ciclo tiene cuatro etapas.

1

Infección

El malware entra por un phishing, una descarga maliciosa, una falla sin corregir o un aparato inteligente con la contraseña de fábrica, y convierte el dispositivo en un “bot” sin señal aparente.

2

Alistamiento en el comando

El dispositivo infectado se conecta al servidor de comando y control (C2) del criminal y pasa a esperar órdenes, como un soldado que aguarda instrucción.

3

Espera en silencio

El bot queda dormido, usando pocos recursos para no llamar la atención, a veces por meses, listo para actuar cuando el operador lo ordene.

4

Acción en masa

A una sola orden, miles de dispositivos actúan juntos: derriban un sitio con una avalancha de tráfico, disparan spam, prueban contraseñas robadas o minan criptomonedas con el hardware ajeno.

Fuente: Cyber Encyclopedia de N-able (definición, las etapas y los usos de la botnet) y Cloudflare DDoS Threat Report 2025 (escala de las botnets modernas).

Para qué sirven las botnets

  • Ataque de denegación de servicio (DDoS) El uso más conocido: miles de bots inundan un sitio o servicio de tráfico al mismo tiempo, dejándolo fuera de línea. Es la botnet como ariete.
  • Spam y phishing a escala La red dispara millones de correos maliciosos desde máquinas distintas, lo que dificulta el bloqueo y esconde el origen real.
  • Robo de credenciales Los bots prueban contraseñas robadas en masa contra varios servicios (credential stuffing), aprovechando a quien reutiliza la misma contraseña en varios lugares.
  • Minería de criptomonedas (cryptojacking) La red usa el procesador de los dispositivos infectados para minar moneda digital, convirtiendo la cuenta de energía y el desgaste del hardware ajeno en ganancia del criminal.
  • Red de disfraz y fraude Los dispositivos se vuelven puntos de paso que enmascaran el origen de otros ataques y alimentan fraudes, como clics falsos en anuncios.

Por qué una botnet es un problema para su empresa

1 a 4 mill.
de dispositivos infectados llegó a tener una sola botnet medida en 2025 (Cloudflare, DDoS Threat Report 2025)
~2%
de los ataques DDoS de red aún parten de variantes de Mirai, casi 10 años después de su surgimiento (Cloudflare, 2025)
$ 4,44 mill.
el costo promedio global de una brecha de datos (IBM, 2025)

La botnet amenaza a su empresa por dos lados. En el primero, es el arma: una sola red medida en 2025 llegó a reunir de 1 a 4 millones de dispositivos y disparó ataques de tráfico que pasaron de 29 terabits por segundo (Cloudflare, 2025), volumen capaz de derribar el sitio y los servicios de cualquier empresa que estuviera en la mira. En el segundo, su propio equipo se vuelve cómplice: una computadora o una cámara infectada trabaja para el criminal, tiene su dirección puesta en listas de bloqueo (lo que hace que sus correos legítimos terminen en el spam) y consume la energía y el rendimiento del equipo que usted pagó. Las redes viejas ni desaparecen: casi 10 años después, cerca del 2% de los ataques DDoS de red aún vienen de variantes de Mirai (Cloudflare, 2025), alimentadas por aparatos inteligentes con contraseña de fábrica. Como una brecha cuesta, en promedio, $ 4,44 millones (IBM, 2025), estar de los dos lados de esa cuenta sale caro.

Cómo mantener a la empresa fuera de una botnet

Quedar fuera de una botnet es cerrar las puertas por donde el bot entra y cortar la línea por donde recibe órdenes:

  1. Actualice todo, incluso lo que no parece computadoraLas fallas sin corregir son la puerta de entrada favorita. Eso vale para servidores y estaciones, pero también para cámaras, routers y otros aparatos inteligentes, muchas veces olvidados.
  2. Cambie las contraseñas de fábricaLos aparatos inteligentes con la contraseña por defecto son el combustible de las botnets modernas. Cambiarla por una contraseña fuerte y única cierra esa vía.
  3. Defensa por comportamiento que detecta el botLa defensa avanzada de endpoint identifica el bot por su comportamiento, incluida la conversación silenciosa con el servidor de comando, incluso cuando el malware es nuevo.
  4. Corte la línea de comando con filtrado de DNSBloquear el acceso a los dominios de comando y control impide que el dispositivo infectado reciba órdenes, neutralizando el bot aun ya instalado.
  5. Monitoreo continuoUn centro de operaciones de seguridad que da seguimiento al tráfico percibe el patrón de un dispositivo alistado antes de que cause daño o manche la reputación de la empresa.

En la práctica

La peor botnet es la que usted no percibe: su equipo recibe órdenes en silencio y trabaja para el criminal mientras todo parece normal. No llegará una pantalla trabada para avisar, así que la defensa es cortar la línea hacia el servidor de comando antes de que su máquina dispare el primer tiro.

Cómo trata Zamak las botnets

Zamak Technologies trabaja para mantener a la empresa fuera de las botnets en dos frentes junto a su equipo: dificulta que los dispositivos sean reclutados, con la defensa avanzada de endpoint, la actualización gestionada y el filtrado de DNS que corta la conversación con el servidor de comando, y absorbe el ataque cuando la empresa es el blanco de una botnet, con mitigación y monitoreo continuo por un centro de operaciones de seguridad. Un buen punto de partida es el diagnóstico de madurez en seguridad, que muestra en minutos dónde está más expuesta su empresa. Forma parte de la Ciberseguridad del Método Zamak.

Preguntas frecuentes sobre botnet

¿Qué es una botnet en palabras simples?
Es un ejército de dispositivos infectados (computadoras, servidores y aparatos inteligentes) que obedecen, a distancia, a un mismo criminal, sin que los dueños lo sepan. Él usa el poder sumado de todos para atacar en masa: derribar sitios, disparar spam, robar contraseñas o minar criptomonedas. Cada máquina se vuelve un “zombi” al servicio del operador.
¿Cómo entra mi dispositivo en una botnet?
Por la misma vía que cualquier malware: un phishing, una descarga maliciosa, una falla sin corregir o, muy común hoy, un aparato inteligente (cámara, router, grabador de imágenes) dejado con la contraseña de fábrica. Una vez infectado, el dispositivo se conecta al servidor del criminal y pasa a esperar órdenes.
¿Cómo saber si estoy en una botnet?
Señales comunes son lentitud y el ventilador a toda marcha sin motivo, una cuenta de internet o de energía que sube sin explicación, programas que se traban y su dirección apareciendo en listas de bloqueo (con correos legítimos que terminan en el spam). Pero el bot está hecho para quedarse quieto, así que la ausencia de señales no descarta la infección.
¿Los aparatos inteligentes entran en botnets?
Sí, y son hoy el blanco preferido. Cámaras, routers y otros dispositivos conectados suelen venir con contraseña de fábrica y sin actualización, lo que los hace fáciles de reclutar. Botnets famosas se formaron justamente con millones de estos aparatos.
¿Botnet y DDoS son lo mismo?
No. La botnet es el ejército; el ataque de denegación de servicio (DDoS) es una de las armas que dispara. La misma botnet puede, en vez de derribar un sitio, enviar spam, probar contraseñas robadas o minar criptomonedas. El DDoS es el uso más visible, no el único.
¿Cómo salir de una botnet y protegerse?
Actualice sistemas y aparatos inteligentes, cambie las contraseñas de fábrica, use defensa por comportamiento en los dispositivos y filtrado de DNS para cortar la línea de comando, y mantenga el tráfico bajo monitoreo. En caso de infección, aislar el dispositivo y limpiarlo con apoyo especializado corta el vínculo con el operador.