defensiva
botnet
C2
DDoS

Qué es una botnet: arquitectura, ejemplos reales y cómo defenderse

Qué es una botnet, arquitecturas (C2 centralizado, P2P, Fast Flux, DGA), usos (DDoS, ad fraud, distribución), ejemplos (Mirai, Emotet, Mozi) y defensa.

Secra11 de mayo de 202613 min de lectura

Una botnet es una red de equipos comprometidos controlados de forma remota para ejecutar acciones coordinadas. Usos habituales: enviar spam, lanzar ataques DDoS, distribuir malware, generar fraude publicitario, minar criptomoneda o servir de infraestructura intermedia para otras operaciones. Cada equipo infectado se llama bot o zombie; el conjunto coordinado, botnet. El operador es el botmaster. Las botnets existen desde finales de los noventa, y aunque las técnicas han evolucionado mucho, el concepto sigue siendo idéntico: alguien manda, miles de máquinas obedecen.

Esta guía explica qué es exactamente una botnet, las cuatro arquitecturas de mando y control que aparecen en investigaciones reales (C2 centralizado, P2P, Fast Flux, DGA), los seis usos económicos que justifican su existencia, casos documentados imprescindibles (Mirai 2016, Emotet 2014-2021, Mozi 2019, Necurs, Cutwail), cómo se detectan en empresa y cómo se erradican cuando una máquina cae dentro de una.

Qué es una botnet

Una botnet es una red distribuida de máquinas comprometidas que ejecutan órdenes recibidas desde una infraestructura de mando y control (C2). Las cuatro propiedades que la definen:

  1. Cliente con malware bot instalado en cada víctima. Se ejecuta en segundo plano, mantiene persistencia y consulta al C2.
  2. Infraestructura C2 (Command and Control). Servidores, dominios, canales de comunicación o redes peer-to-peer desde los que el operador envía órdenes.
  3. Operador humano u operación automatizada que monetiza la red.
  4. Escala. Una botnet pequeña tiene cientos de bots; una grande, millones. Mirai en su pico tenía aproximadamente 600.000 dispositivos IoT comprometidos simultáneamente.

Lo que aporta al operador:

  • Distribución masiva de carga sin servidores propios. Spam, DDoS, scraping, brute force a escala.
  • Anonimato e ilusión geográfica. El tráfico viene de IPs distintas en países diversos.
  • Capacidad de proceso robada. Cryptojacking, password cracking distribuido.
  • Infraestructura intermedia para otras operaciones. Proxies residenciales para fraude publicitario, redirectores para phishing, almacenamiento de datos exfiltrados.
  • Persistencia y resiliencia. Si caen unos bots, otros siguen vivos. Si cae un C2, los bots migran al siguiente.

Lo que limita:

  • Visibilidad alta cuando se monetiza por DDoS o spam. El tráfico delata.
  • Mitigaciones modernas. DNS sinkhole, listas de bloqueo, takedowns coordinados policía-fabricantes.
  • Vulnerabilidad de la infraestructura C2. Si se identifica y se cierra, parte de la botnet queda huérfana.

Las cuatro arquitecturas C2

Las maneras de coordinar miles de bots cambian con el tiempo. Cuatro modelos cubren prácticamente todo lo histórico y vigente.

C2 centralizado

El modelo clásico. Cada bot consulta periódicamente a un servidor central (HTTP, IRC, custom protocol) para recibir órdenes. Sencillo de implementar, fácil de operar a escala pequeña.

Debilidad: si las autoridades identifican el C2 y consiguen el takedown, toda la botnet queda muda. Operación Endgame (Europol, 2021) tumbó Emotet centralizado por esta vía.

Ejemplos: la mayoría de botnets antiguas (Zeus, SpyEye, GameOver Zeus en su primera versión).

C2 peer-to-peer (P2P)

Los bots se comunican entre sí y reenvían órdenes sin un servidor central único. Mucho más resistente a takedowns. Cada nodo conoce solo a sus vecinos directos; tumbar uno no afecta al resto.

Casos: GameOver Zeus tras evolucionar, Storm Worm (2007), Mozi (botnet IoT 2019-2023).

Inconveniente para el operador: distribución de órdenes más lenta, complejidad de implementación mayor.

Fast Flux

Variante de C2 centralizado donde el dominio C2 resuelve a cientos o miles de IPs diferentes que rotan rápidamente vía DNS con TTL bajo. Cada bot consulta c2-malicious.example y recibe una IP distinta cada vez. Si una IP cae, el DNS sigue dando otras.

Doble Fast Flux: tanto las IPs A records como los nameservers rotan. Defensa difícil sin colaboración del registrador.

Casos: Storm Worm, Asprox, Bredolab. Sigue usándose en operaciones modernas.

Domain Generation Algorithm (DGA)

El bot genera dinámicamente cientos o miles de nombres de dominio cada día siguiendo un algoritmo predecible. Intenta conectar con todos hasta que uno responde. El operador registra solo unos pocos por adelantado.

Ventaja para el operador: aunque los defensores identifiquen unos dominios y los hagan sinkhole, el operador siempre puede registrar otros nuevos.

Defensa: ingeniería inversa del algoritmo para predecir y bloquear todos los dominios futuros antes de que el operador los registre. Casos paradigmáticos: Conficker (más de 50.000 dominios al día tras Conficker.C), Murofet, Tinba, Locky ransomware.

Seis usos económicos

¿Para qué se gana dinero con una botnet? Las seis razones que sustentan el modelo.

DDoS as a Service (booter / stresser)

Pago por hora o por ataque para tumbar un servicio objetivo. Mercado underground maduro, mercados públicos con apariencia legítima ("herramientas de pentesting") que en realidad sirven ataques contra terceros.

El caso Mirai (2016) demostró el potencial: ataque a Dyn DNS que tumbó Twitter, Spotify, GitHub y otros servicios. Botnet construida con dispositivos IoT (cámaras, routers, DVRs) con credenciales por defecto.

Spam y phishing masivo

Envío de millones de correos al día desde IPs residenciales no listadas. Necurs (2012-2020) llegó a enviar miles de millones de correos diarios en su pico.

Ad fraud (click fraud y impression fraud)

Bots que simulan visitas y clicks en anuncios desde IPs residenciales fingiendo usuarios reales. Defraudan a redes publicitarias y a anunciantes. Methbot (2016), 3ve (2018), Migalo (campañas continuas) generaron daños estimados en miles de millones.

Cryptojacking

Uso del CPU/GPU de cada bot para minar Monero u otras criptomonedas. Adylkuzz, Smominru, MyKings. Rentable hasta que el cambio de precio cripto o la mejora en detección hace el modelo menos atractivo.

Proxies residenciales

Venta de acceso a IPs residenciales como servicio "legítimo" o underground. Empresas legítimas (Bright Data, Oxylabs) operan proxies con consentimiento del usuario; redes ilícitas como Faceless reutilizan bots sin consentimiento. Sirven para scraping, evasión de geobloqueos, ad fraud, y carding.

Distribución de malware

La botnet como infraestructura. Emotet en su fase tardía no era spam por sí mismo: cobraba a operadores de ransomware, troyanos bancarios y stealers por entregar su payload en endpoints ya infectados (modelo malware-as-a-service / pay-per-install).

Casos reales documentados

Nombres que cualquier responsable de seguridad debería tener en cabeza.

Mirai (2016). Botnet IoT que aprovechaba credenciales por defecto en cámaras, routers y DVRs (admin/admin, root/root, etc.). Pico estimado: 600.000 dispositivos. Ataques DDoS de hasta 1,2 Tbps contra Dyn DNS, OVH y Krebs on Security. Código fuente filtrado en 2016 dio origen a docenas de variantes (Satori, Masuta, Hajime). Sigue vivo en variantes que afectan IoT consumer y SOHO.

Emotet (2014-2021, resurrección 2022). Comenzó como banker, evolucionó a loader de pago. Desmantelado por Operation Ladybird (Europol, NCA, FBI y otros) en enero 2021 con coordinación internacional. Resucitó en noviembre 2021. Caída parcial en 2023. Considerado durante años uno de los servicios criminales más sofisticados.

Conficker (2008-presente). Gusano y botnet con arquitectura DGA generando 50.000 dominios diarios. Infectó entre 9 y 15 millones de equipos. Forzó la creación del Conficker Working Group (Microsoft, ICANN, registradores) para mitigar. Sigue apareciendo en escaneos de Windows sin parchear más de 15 años después.

GameOver Zeus / P2P Zeus (2011-2014). Variante P2P del troyano Zeus. Robó cientos de millones de dólares de cuentas bancarias. Desmantelado por Operation Tovar (FBI 2014) en una operación que combinó análisis técnico, takedown legal e identificación del operador (Evgeniy Bogachev, todavía buscado).

Necurs (2012-2020). Botnet spam masiva. Distribuyó Locky, Dridex, Trickbot y otros. Microsoft lideró el takedown en marzo 2020 coordinado con 35 países.

Mozi (2019-2023). Botnet IoT P2P sucesora conceptual de Mirai. Aprovechaba routers y dispositivos IoT con vulnerabilidades conocidas. Picos de varios cientos de miles de bots. Caída casi total en 2023 tras una operación que aún no ha sido atribuida oficialmente: alguien inyectó una orden de auto-destrucción a la red.

Cutwail / Pushdo (2007-presente residual). Spam botnet histórica con varios takedowns parciales y resurrecciones. Distribuidor principal de Pushdo / Cutwail trojan.

Smominru (2017-presente). Botnet cryptojacking masiva, especializada en aprovechar EternalBlue contra Windows sin parchear. Genera Monero a escala y persiste pese a múltiples campañas de desinfección.

Trickbot (2016-2022). Banker que evolucionó a plataforma con módulos múltiples y se integró con ransomware Ryuk y Conti. Operation EternalShadow (Microsoft + US Cyber Command, 2020) y el desmantelamiento de Conti (2022) afectaron sus operaciones.

Cómo se detecta

Los frentes que cubren un equipo defensivo moderno.

EDR / XDR con detección comportamental. Patrones que disparan alerta: proceso desconocido consultando dominios DGA, beaconing periódico con jitter típico de C2, conexiones a IPs sin reputación, escaneo lateral interno. Detalle en qué es un EDR.

Telemetría DNS centralizada. Detección de resoluciones a dominios DGA conocidos, picos de NXDOMAIN característicos del bot intentando alcanzar el C2 antes de conectarse. Detalle en qué es un SIEM.

Network monitoring y NDR. Reglas Sigma públicas para patrones C2 conocidos, detección de beaconing, flujos hacia ASNs sospechosos. Detalle en qué es un IDS.

Threat intelligence feeds. Listas de IoCs (dominios, IPs, hashes de muestras) actualizadas por proveedores como Mandiant, CrowdStrike, Spamhaus, Abuse.ch. Integración en SIEM y proxy.

Sinkhole DNS. Resolvers DNS internos que devuelven una IP controlada para dominios maliciosos conocidos. El bot se conecta a infraestructura defensiva en lugar de al C2; el evento se loguea como detección.

Honeypots. Sistemas trampa que detectan escaneos y intentos de infección por gusanos asociados a botnets. Especialmente útil contra Mirai-like en redes con IoT expuesto.

Threat hunting sobre patrones C2 cuando no han disparado alerta automática. Detalle en qué es threat hunting.

Cómo se erradica si caes dentro de una

Para usuario doméstico aislado:

  1. Desconectar el equipo de la red.
  2. Escanear con antivirus moderno y herramienta antimalware adicional (Malwarebytes).
  3. Cambiar contraseñas del equipo limpio de respaldo, especialmente bancarias y de correo.
  4. Si el equipo es IoT (cámara, router, DVR): factory reset, actualización de firmware, cambio de credenciales por defecto. Si el firmware no se puede actualizar, reemplazo del dispositivo.
  5. Notificar al ISP si la infección persiste o si recibes aviso de ellos. Muchos operadores españoles tienen procesos de detección de IP de cliente dentro de botnets.

Para entorno corporativo:

  1. Aislamiento de host desde EDR.
  2. Captura forense (memoria, disco) antes de remediar.
  3. Análisis IR para identificar vector inicial, IoCs y posible movimiento lateral.
  4. Hunting en la red con los IoCs derivados para detectar otros focos.
  5. Reinstalación limpia del sistema operativo en hosts comprometidos.
  6. Rotación de credenciales que el bot haya podido capturar.
  7. Notificación legal y a clientes si aplica (RGPD 72h, NIS2 24/72h).
  8. Lessons learned y mejora de controles.

Encaje con compliance

Ser parte involuntaria de una botnet entra en marcos regulatorios:

  • NIS2 (artículo 21). Protección frente a software malicioso, gestión de incidentes, monitorización. Equipos en botnets son evidencia de control antimalware débil.
  • DORA (artículo 9). ICT risk management. Detección y respuesta formal exigible.
  • ISO 27001:2022 (controles 8.7, 8.16, 8.20). Protección frente a malware, monitorización de actividades, redes seguras.
  • ENS Real Decreto 311/2022 (op.exp.6, op.mon). Protección frente a código dañino y monitorización.
  • PCI DSS v4.0 (req. 5, 11.5). Antimalware y detección de intrusiones.
  • RGPD. Una botnet que filtre datos personales del cliente es brecha notificable.

Preguntas frecuentes

¿Diferencia entre botnet y malware?

El malware es el software malicioso individual; la botnet es la red de equipos infectados con malware bot coordinados por un operador. Una infección puntual con un troyano no es botnet; si ese troyano consulta a un C2 y obedece órdenes coordinadas con miles de otros, sí lo es.

¿Cómo sé si mi equipo es parte de una botnet?

Síntomas indirectos: rendimiento degradado sin causa visible, batería que dura menos, picos de tráfico de red sin explicación, uso alto de CPU/GPU con el equipo idle, conexiones a IPs extrañas, ISP que envía aviso de actividad sospechosa. Los antivirus modernos detectan la mayoría de variantes commodity. Si sospechas, escaneo con segundo antivirus y revisión de procesos y conexiones.

¿Los routers domésticos son víctimas frecuentes?

Sí. Mirai y derivados se especializaron en routers SOHO con credenciales por defecto, firmware sin parchear y administración expuesta a Internet. La defensa básica: firmware actualizado, deshabilitar administración remota, credenciales únicas, plan de reemplazo de hardware al fin de vida del firmware.

¿Qué es un bot herder o botmaster?

Es la persona que controla la botnet. Profesionalmente puede haber un operador técnico que mantiene la infraestructura y monetiza, y socios que la alquilan para operaciones específicas. En estructuras criminales más maduras, el rol se fragmenta entre múltiples niveles.

¿IoT se sigue usando para botnets en 2026?

Sí, masivamente. El parque IoT mundial (cámaras, routers, electrodomésticos conectados, dispositivos médicos consumer, juguetes) sigue creciendo con seguridad muy desigual. Una parte significativa de ataques DDoS y proxies residenciales en 2026 viene de botnets IoT. Mozi cayó pero variantes nuevas aparecen continuamente.

La investigación pasiva (análisis de muestras, sandbox controlada, sinkhole de dominios con autorización) es legal y la realizan empresas de threat intelligence y servicios policiales. Lo ilegal es operar la botnet, alquilar sus servicios, o tomar el control técnico (sinkholing sin orden judicial) sin marco legal específico.

¿Una VPN protege contra ser víctima de botnet?

No. La VPN cifra el tráfico, no impide que el malware bot se instale. Si tu equipo se infecta, la VPN solo cambia el destino aparente, no la realidad del compromiso. La defensa contra ser víctima es antimalware, hardening, formación y patch management.

Recursos relacionados

  • Tipos de malware: familia más amplia donde los bots se encuadran junto a troyanos, gusanos y otros.
  • Qué es un troyano: vector más frecuente para reclutar máquinas en botnets modernas como Emotet o TrickBot.
  • Qué es un gusano informático: familias como Conficker o Mozi son a la vez gusano y botnet, con propagación autónoma y coordinación C2.
  • Qué es ransomware: la botnet sirve a menudo de infraestructura intermedia para distribución de ransomware.
  • Qué es un EDR y qué es un IDS: controles complementarios que detectan beaconing y comportamiento bot.
  • Qué es threat hunting: disciplina que caza patrones C2 cuando no disparan alertas automáticas.

Defensa frente a botnets en Secra

En Secra cubrimos el riesgo de botnet en tres frentes habituales: revisión de configuración EDR y telemetría de red para detección comportamental real, inventario y endurecimiento de IoT corporativo (cámaras IP, equipos OT, dispositivos médicos, routers SOHO en oficinas remotas) que típicamente son los más vulnerables, y validación empírica vía Red Team que prueba si los controles defensivos detectan beaconing simulado y patrones C2 conocidos. Si tu organización tiene IoT desplegado sin política formal, ha recibido aviso del ISP por actividad sospechosa o nunca ha medido cuánto tarda en detectar comportamiento C2, escríbenos a través de contacto o consulta nuestros servicios gestionados.

Sobre el autor

Equipo de Secra Solutions

Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

Conoce al equipo →Nuestra investigación →

Compartir artículo

Artículos Relacionados

defensiva

Qué es SHA-256: función hash, usos reales y comparativa

Qué es SHA-256, cómo funciona como función hash criptográfica, propiedades, usos (TLS, Bitcoin, integridad, JWT) y comparativa con SHA-1, SHA-3 y BLAKE3.

2026-05-1112 min
defensiva

Qué es adware: tipos, riesgos, ejemplos reales y cómo eliminarlo

Qué es adware, tipos (legítimo, agresivo, malicioso, mobile), ejemplos reales (Fireball, Lenovo Superfish, ad fraud) y cómo eliminarlo en empresa.

2026-05-1012 min
defensiva

Qué es DLP: tipos, encaje NIS2/RGPD y errores en despliegues

Qué es DLP (Data Loss Prevention), tipos (endpoint, network, cloud, email), cómo se implanta, encaje NIS2/DORA/RGPD/ISO 27001 y errores típicos.

2026-05-1012 min