¿Qué es una botnet (red de dispositivos zombis)?
Una botnet es una red de dispositivos conectados a internet (computadoras, servidores y aparatos inteligentes, como cámaras y routers) infectados por malware y controlados a distancia por un único operador, sin el conocimiento de los dueños. El criminal usa el poder sumado de esas máquinas para ataques de denegación de servicio, envío de spam, robo de credenciales y minería de criptomonedas. Su equipo puede formar parte de una y usted casi no lo sentiría.
Cómo se forma y actúa una botnet
Una botnet nace de muchos dispositivos infectados que pasan a obedecer un mismo comando. El ciclo tiene cuatro etapas.
Infección
El malware entra por un phishing, una descarga maliciosa, una falla sin corregir o un aparato inteligente con la contraseña de fábrica, y convierte el dispositivo en un “bot” sin señal aparente.
Alistamiento en el comando
El dispositivo infectado se conecta al servidor de comando y control (C2) del criminal y pasa a esperar órdenes, como un soldado que aguarda instrucción.
Espera en silencio
El bot queda dormido, usando pocos recursos para no llamar la atención, a veces por meses, listo para actuar cuando el operador lo ordene.
Acción en masa
A una sola orden, miles de dispositivos actúan juntos: derriban un sitio con una avalancha de tráfico, disparan spam, prueban contraseñas robadas o minan criptomonedas con el hardware ajeno.
Fuente: Cyber Encyclopedia de N-able (definición, las etapas y los usos de la botnet) y Cloudflare DDoS Threat Report 2025 (escala de las botnets modernas).
Para qué sirven las botnets
- Ataque de denegación de servicio (DDoS) El uso más conocido: miles de bots inundan un sitio o servicio de tráfico al mismo tiempo, dejándolo fuera de línea. Es la botnet como ariete.
- Spam y phishing a escala La red dispara millones de correos maliciosos desde máquinas distintas, lo que dificulta el bloqueo y esconde el origen real.
- Robo de credenciales Los bots prueban contraseñas robadas en masa contra varios servicios (credential stuffing), aprovechando a quien reutiliza la misma contraseña en varios lugares.
- Minería de criptomonedas (cryptojacking) La red usa el procesador de los dispositivos infectados para minar moneda digital, convirtiendo la cuenta de energía y el desgaste del hardware ajeno en ganancia del criminal.
- Red de disfraz y fraude Los dispositivos se vuelven puntos de paso que enmascaran el origen de otros ataques y alimentan fraudes, como clics falsos en anuncios.
Por qué una botnet es un problema para su empresa
La botnet amenaza a su empresa por dos lados. En el primero, es el arma: una sola red medida en 2025 llegó a reunir de 1 a 4 millones de dispositivos y disparó ataques de tráfico que pasaron de 29 terabits por segundo (Cloudflare, 2025), volumen capaz de derribar el sitio y los servicios de cualquier empresa que estuviera en la mira. En el segundo, su propio equipo se vuelve cómplice: una computadora o una cámara infectada trabaja para el criminal, tiene su dirección puesta en listas de bloqueo (lo que hace que sus correos legítimos terminen en el spam) y consume la energía y el rendimiento del equipo que usted pagó. Las redes viejas ni desaparecen: casi 10 años después, cerca del 2% de los ataques DDoS de red aún vienen de variantes de Mirai (Cloudflare, 2025), alimentadas por aparatos inteligentes con contraseña de fábrica. Como una brecha cuesta, en promedio, $ 4,44 millones (IBM, 2025), estar de los dos lados de esa cuenta sale caro.
Cómo mantener a la empresa fuera de una botnet
Quedar fuera de una botnet es cerrar las puertas por donde el bot entra y cortar la línea por donde recibe órdenes:
- Actualice todo, incluso lo que no parece computadoraLas fallas sin corregir son la puerta de entrada favorita. Eso vale para servidores y estaciones, pero también para cámaras, routers y otros aparatos inteligentes, muchas veces olvidados.
- Cambie las contraseñas de fábricaLos aparatos inteligentes con la contraseña por defecto son el combustible de las botnets modernas. Cambiarla por una contraseña fuerte y única cierra esa vía.
- Defensa por comportamiento que detecta el botLa defensa avanzada de endpoint identifica el bot por su comportamiento, incluida la conversación silenciosa con el servidor de comando, incluso cuando el malware es nuevo.
- Corte la línea de comando con filtrado de DNSBloquear el acceso a los dominios de comando y control impide que el dispositivo infectado reciba órdenes, neutralizando el bot aun ya instalado.
- Monitoreo continuoUn centro de operaciones de seguridad que da seguimiento al tráfico percibe el patrón de un dispositivo alistado antes de que cause daño o manche la reputación de la empresa.
En la práctica
La peor botnet es la que usted no percibe: su equipo recibe órdenes en silencio y trabaja para el criminal mientras todo parece normal. No llegará una pantalla trabada para avisar, así que la defensa es cortar la línea hacia el servidor de comando antes de que su máquina dispare el primer tiro.
Cómo trata Zamak las botnets
Zamak Technologies trabaja para mantener a la empresa fuera de las botnets en dos frentes junto a su equipo: dificulta que los dispositivos sean reclutados, con la defensa avanzada de endpoint, la actualización gestionada y el filtrado de DNS que corta la conversación con el servidor de comando, y absorbe el ataque cuando la empresa es el blanco de una botnet, con mitigación y monitoreo continuo por un centro de operaciones de seguridad. Un buen punto de partida es el diagnóstico de madurez en seguridad, que muestra en minutos dónde está más expuesta su empresa. Forma parte de la Ciberseguridad del Método Zamak.