Empresa lanza un escáner gratuito para comprobar si eres parte de un botnet
La empresa GreyNoise Labs ha lanzado una herramienta gratuita, de nombre GreyNoise IP Check, la cual ha sido diseñada para que cualquier usuario pueda verificar si su dirección IP ha sido observada participando en operaciones de escaneo malicioso, como las que realizan botnets o redes de proxys residenciales.
Dicha empresa, que está especializada en monitoreo de amenazas y en el análisis de la actividad global de Internet por medio de una red de sensores distribuidos, ha advertido que este problema ha crecido de forma alarmante en el último año. Cada vez más personas, sin poder saberlo, acaban contribuyendo a actividades ilegales en línea.
La organización ha explicado que, en los últimos meses, las redes de proxys residenciales ser han multiplicado de manera exponencial. Estas redes convierten las conexiones domésticas en puntos de salida para el tráfico de terceros usuarios. En otras palabras, la conexión de tu hogar puede estar siendo utilizada como puente para que otros oculten su rastro en Internet.
Algunas personas instalan de manera voluntaria programas que permiten este tipo de uso, a cambio de unos pocos dólares. No obstante, lo más común es que el malware se infiltre en los dispositivos sin permiso, disfrazado en apps dudosas o extensiones de navegador. Una vez dentro, el software convierte el equipo en un nodo silencioso dentro de la infraestructura de otro usuario más.
Igualmente, existen métodos técnicos para determinar si un equipo ha sido configurado para un botnet; lo primero es revisar registros de sistema, configuraciones, actividad inusual o patrones de tráfico. Sin embargo, el programa GreyNoise IP Check ofrece una alternativa mucho más simple y menos invasiva; basta con introducir la dirección IP y obtener un diagnóstico al instante.
Al visitar la página de este escáner, puedes recibir uno de los tres resultados posibles. El primero de ellos es Clean (limpio), en donde no se detecta actividad de escaneo malicioso. Luego, se encuentra el resultado Malicious/Suspicious o Malicioso/Sospechoso; en donde la IP ha mostrado comportamientos de escaneo. En este caso, es recomendable investigar los dispositivos que están conectados a la red.
Por último, se encuentra el resultado llamado Common Business Service o Servicio Empresarial Común, en donde la IP pertenece a un servicio legítimo, como una VPN, un proveedor en la nube o una red corporativa. En esos entornos, el escaneo es parte del funcionamiento normal.
Además, cuando se ha detectado actividad vinculada a la dirección IP, la plataforma ofrece una línea de tiempo de 90 días, lo que ayuda a identificar el momento exacto en el que pudo haberse producido el hackeo. Por ejemplo, si justo antes del inicio del escaneo se instala un cliente de “compartición del ancho de banda” o una aplicación sospechosa, la correlación es clara, permitiendo tomar medidas correctivas.
La empresa también pone a disposición de los usuarios más experimentados una API JSON sin autenticación y sin límites de uso, el cual es accesible mediante curl. Esta API puede integrarse en scriptso en sistemas de verificación automatizados, facilitando la incorporación del chequeo de IPs en flujos de trabajos más complejos.
Si el resultado del escaneo ha indicado que está en el modo “Malicioso / Sospechoso”, el primer paso que se recomienda es el de ejecutar análisis de malware en todos los dispositivos que están conectados a la misma red. Es importante que prestes atención a dispositivos que suelen pasarse por alto como routers, TV inteligentes y otros dispositivos IoT, debido a que son blancos frecuentes de ciberataques.
