Telefónica comparte con el Instituto Nacional de Ciberseguridad las direcciones IP de aquellos clientes sospechosos de tener dispositivos zombies que forman parte de una botnet. Así puedes comprobar si tu IP está implicada en ataques DDoS.
Dada la cantidad de dispositivos de todo tipo que tenemos instalados y conectados a internet en casa, el riesgo de que un deficiente diseño de su software pueda ser explotado para instalar malware es cada vez mayor. Un dispositivo infectado permanece latente esperando las órdenes para ejecutar acciones que se le ordenan remotamente. Puede ser el envío de spam, minado de criptomonedas o pasar a formar parte de un enjambre de nodos que envían peticiones masivas contra algún objetivo, con el fin de saturarlo y dejarlo fuera de línea. En muchos casos estas redes se comercializan para sacar provecho económico alquilándolas a terceros. Si tenemos en cuenta que gracias a la fibra, la mayoría de hogares cuenta con un enorme ancho de banda, la capacidad de generar tráfico de estas redes maliciosas puede ser enorme.
Para evitar que esto ocurra, el equipo Nemesys de Telefónica1 monitoriza el tráfico que se genera desde la conexión a internet de los clientes, buscando patrones que indiquen actividad sospechosa. Cuando la operadora detecta que desde una IP se establecen conexiones a ciertos destinos relacionados con botnets conocidas, envía un email de advertencia al cliente, indicándole la fecha, la hora y el destino de sus conexiones, con el fin de que verifique los equipos conectados en su red y localice el que está infectado.
Telefónica comparte esta información con el Instituto Nacional de Ciberseguridad del Ministerio de Transformación Digital. Esta es una obligación legal introducida en 20142, que exige a los prestadores de servicios de la sociedad de la información que faciliten las direcciones IP implicadas en incidentes de seguridad y que notifiquen a los usuarios afectados las acciones que deben llevar a cabo, advirtiendo de los daños a terceros que pueden causar si no colaboran.
Asunto: (e-mail#Nxx-xxxxxxx–AntiBotnet) Notificación de Ciber-Seguridad en colaboración con INCIBE.
Estimado/a cliente:
Dentro del marco de colaboración público-privada que Telefónica de España, S. A. U. mantiene con la Administración española y en el ánimo de velar por la seguridad de nuestros clientes y del resto de usuarios de Internet, y en cumplimiento con lo dispuesto en la Disposición adicional novena de la Ley 34/2002, de 11 de julio[1], nos dirigimos a usted para informarle que hemos recibido un aviso de seguridad por parte del Centro de Respuesta a Incidentes del Instituto Nacional de Ciberseguridad (INCIBE-CERT)[2]; a través del cual se nos comunica que alguno de los equipos conectados a su conexión a Internet asociada a la línea podría estar afectado por un programa malicioso relacionado con redes de ordenadores zombie (botnets) u otras amenazas.
Según este aviso, con fecha 2020-09-20 09:53:16 y con la dirección IP xx.xx.xx.xx, que en ese momento estaba utilizando su conexión a Internet, algún equipo o dispositivo habría tenido comunicación con la red de ordenadores zombie Conficker, y por lo tanto se pueden estar realizando actividades maliciosas sin su conocimiento, que podrían afectarle a usted mismo e incluso a terceros.
El INCIBE utiliza esta base de datos para su alimentar su Servicio Antibotnet. En su web puedes comprobar si la IP con la que navegas en internet en este momento ha sido utilizada en este tipo de ataques y por tanto, probablemente tengas un equipo infectado.
