Botnet
Red de dispositivos infectados (ordenadores, smartphones, IoT) controlados remotamente por un atacante mediante infraestructura de comando y control (C2) para ejecutar actividades maliciosas coordinadas como DDoS, spam, minería de criptomonedas o distribución de malware.
Las 10 botnets más grandes del mundo controlan más de 2.5 millones de dispositivos IoT, según Kaspersky 2025, generando €47 millones mensuales para sus operadores mediante DDoS-for-hire, spam, fraude publicitario y minería de criptomonedas.
¿Qué es una botnet?
Una botnet (robot + network) es una red de dispositivos infectados con malware que permite a un atacante controlarlos remotamente como “zombis”. Estos dispositivos forman un ejército coordinado capaz de ejecutar ataques masivos.
Componentes de una botnet
| Componente | Descripción | Ejemplos |
|---|---|---|
| Bots | Dispositivos infectados (zombis) | PCs, smartphones, routers, cámaras IP, DVRs |
| Botmaster | Atacante que controla la botnet | Individuo, grupo criminal, estado-nación |
| C2 (Command & Control) | Infraestructura de comunicación | Servidor centralizado, P2P, canales Telegram/IRC |
| Malware bot | Software que infecta y controla dispositivos | Mirai, Emotet, Qakbot, TrickBot |
| Panel de control | Interfaz web para gestionar bots | Dashboard con estadísticas, comandos, geolocalización |
Impacto global de botnets
El 62% de las empresas españolas sufrieron al menos un ataque DDoS en 2025 (INCIBE), el 89% originado desde botnets. El coste medio de un ataque DDoS para una empresa española es de €127,000 (tiempo de inactividad + pérdida de ventas + daño reputacional).
Diferencia con malware individual
| Característica | Malware individual | Botnet |
|---|---|---|
| Control | Limitado o nulo tras infección | Control remoto persistente |
| Coordinación | Acción aislada en cada dispositivo | Acción coordinada de miles/millones de bots |
| Objetivo | Beneficio individual (robo datos, ransomware) | Beneficio agregado (DDoS, spam masivo) |
| Persistencia | Puede ser temporal | Diseñada para permanencia larga |
| Monetización | Directa (rescate, robo bancario) | Indirecta (DDoS-for-hire, fraude ads) |
Arquitecturas de botnets
1. Arquitectura centralizada (Client-Server)
El modelo tradicional con servidor C2 central:
[Botmaster]
|
v
[Servidor C2]
185.220.101.23
|
+--------------+--------------+
| | |
[Bot 1] [Bot 2] ... [Bot N]
Zombie PC IoT device RouterVentajas para el atacante:
- Control directo y rápido de todos los bots
- Implementación simple (servidor HTTP/IRC/Telegram)
- Panel de control centralizado con estadísticas
Vulnerabilidades:
- Single point of failure: Cerrar el C2 desmantela la botnet
- Fácil atribución (análisis de tráfico apunta al C2)
- Vulnerable a sinkholing (redirección DNS del C2)
Protocolo de comunicación típico:
POST /api/command HTTP/1.1
Host: c2-server.example.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64)
Content-Type: application/json
{
"bot_id": "a8f3c72d94e5",
"os": "Windows 10 Pro",
"ip": "82.159.XXX.XXX",
"country": "ES",
"uptime": 432000,
"version": "2.4.1"
}
# Respuesta del C2:
{
"command": "ddos",
"target": "victim-website.com",
"port": 443,
"duration": 3600,
"method": "http-flood"
}2. Arquitectura P2P (Peer-to-Peer)
Botnet descentralizada sin punto central de control:
[Botmaster]
|
[Seed bot] ← Nodo inicial
|
+-----+-----+
| |
[Bot A] ←→ [Bot B] ←→ [Bot C]
↑ ↑
| |
[Bot D] ←→ [Bot E]Características:
- Cada bot conoce lista de peers (otros bots)
- Comandos se propagan de bot a bot (gossip protocol)
- Sin servidor C2 central (resistente a takedowns)
- Botmaster inyecta comandos via cualquier bot
Ejemplos históricos:
- Gameover Zeus (2014): P2P con cifrado, robó €100M+ en bancos
- Sality (2003-presente): Una de las botnets P2P más longevas
- Miner (2019): P2P para cryptomining, 500,000+ bots
Ventajas para el atacante:
- Extremadamente difícil de desmantelar
- No hay infraestructura centralizada que cerrar
- Resistente a análisis forense (no hay C2 único)
Desventajas:
- Implementación compleja (protocolos P2P seguros)
- Propagación de comandos más lenta
- Difícil monitorizar estado de todos los bots
3. Arquitectura híbrida
Combina C2 centralizado para comandos críticos con P2P para comunicación entre bots:
Ejemplo: Emotet (antes de takedown 2021)
[Botmaster] → [Tier-1 C2] → [Tier-2 C2] → [Bots]
↑
|
[P2P backup]- Tier-1: Servidores C2 principales (rotación frecuente)
- Tier-2: C2 secundarios en bots de “alta confianza”
- P2P: Comunicación entre bots si C2 caen
4. Canales alternativos (Telegram, Twitter, DNS)
Botnets modernas usan plataformas legítimas como C2:
| Canal | Descripción | Detección |
|---|---|---|
| Telegram bots | Comandos via API de Telegram | Difícil (tráfico HTTPS legítimo) |
| Comandos en tweets cifrados/steganografía | Análisis de timing, cuentas bot | |
| DNS TXT records | Comandos codificados en DNS queries | Análisis de patrones DNS, longitud queries |
| GitHub/Pastebin | Comandos en issues/pastes | Monitoreo de cuentas sospechosas |
| Blockchain | Comandos en transacciones Bitcoin | Análisis de blockchain, direcciones conocidas |
Ventaja: Tráfico indistinguible de uso legítimo, difícil de bloquear.
Casos de uso de botnets
1. Ataques DDoS (Denegación de Servicio)
El uso más común de botnets:
| Tipo DDoS | Técnica | Capacidad botnet típica |
|---|---|---|
| Volumetric | UDP flood, amplification DNS/NTP | 100-400 Gbps con 50,000 bots |
| Protocol | SYN flood, TCP fragmentation | 10-50M packets/seg |
| Application | HTTP flood, Slowloris | 100,000+ requests/seg |
Caso real: Ataque Mirai a Dyn DNS (2016)
- Botnet: 100,000+ dispositivos IoT (cámaras, DVRs)
- Tráfico: 1.2 Tbps (récord en su momento)
- Impacto: Caída de Twitter, Netflix, Reddit, GitHub, PayPal (horas)
- Causa: Passwords por defecto en IoT (admin/admin, root/root)
Mercado DDoS-for-hire (booter/stresser):
Precio típico de servicios DDoS-for-hire:
- €20-50 = 1 hora de ataque (10-20 Gbps)
- €100-200 = 1 mes de ataques ilimitados (hasta 50 Gbps)
- €500-1,000 = Ataques premium (100+ Gbps, múltiples vectores)
Proceso:
1. Cliente paga con Bitcoin/Monero
2. Panel web: introduce IP víctima, duración, método
3. Botnet ejecuta ataque
4. Cliente ve estadísticas en tiempo real2. Spam masivo
El 64% del spam global proviene de botnets (Spamhaus 2025):
Botnet de spam típica:
- 10,000-500,000 bots (PCs infectados con SMTP proxy)
- 50-200 emails/día por bot (evitar blacklists)
- Emails de phishing, scams, malware distribution
- Tasa de éxito: 0.1-1% (pero volumen masivo compensa)
Ejemplo: Cutwail (2007-presente)
- Pico: 74 mil millones de spams/día
- Distribución: Malware, pharmaceutical scams, advance-fee fraud
- Persistencia: Aún activa tras 18 años
3. Cryptojacking (minería de criptomonedas)
Uso de CPU/GPU de bots para minar criptomonedas:
| Criptomoneda | ¿Por qué elegida? | Rentabilidad botnet |
|---|---|---|
| Monero (XMR) | Minería CPU-eficiente, privacidad | €0.50-2/día por bot |
| Ethereum (ETH) | Minería GPU (antes de PoS 2022) | €2-10/día por bot con GPU |
| Ravencoin (RVN) | Resistente a ASICs | €0.30-1/día por bot |
Cálculo de rentabilidad:
# Botnet de cryptojacking: rentabilidad estimada
bots = 50000 # Tamaño botnet
revenue_per_bot_day = 1.2 # EUR por bot al día
monthly_revenue = bots * revenue_per_bot_day * 30
print(f"Ingresos mensuales: €{monthly_revenue:,.0f}")
# Salida: Ingresos mensuales: €1,800,000
# Costes:
# - Infraestructura C2: €200-500/mes
# - Mantenimiento: mínimo (automatizado)
# - Riesgo legal: ALTO (pero difícil atribución)Detección en dispositivo infectado:
- CPU constantemente al 80-100% (incluso sin aplicaciones abiertas)
- Ventilador activo continuamente
- Consumo eléctrico elevado
- Procesos sospechosos (
xmrig,miner.exe, nombres aleatorios)
4. Fraude publicitario (ad fraud)
Botnets simulan usuarios reales para generar clics/impresiones falsos:
Técnicas:
- Click fraud: Bots hacen clic en anuncios (cobrar por CPC)
- Impression fraud: Bots cargan páginas con anuncios (cobrar por CPM)
- Cookie stuffing: Bots generan cookies de afiliación fraudulentas
- Domain spoofing: Bots simulan tráfico de sitios premium
Impacto económico: €65 mil millones perdidos en ad fraud global 2025 (Juniper Research).
5. Distribución de malware
Botnets como vector de propagación para otros malware:
Emotet (ejemplo clásico):
- Botnet de 500,000+ bots distribuye spam con phishing
- Víctimas descargan malware Emotet (loader)
- Emotet descarga payloads secundarios: TrickBot, Qakbot, Ryuk ransomware
- TrickBot roba credenciales bancarias
- Ryuk cifra sistemas para ransomware
Modelo de negocio: Emotet como Malware-as-a-Service, cobraba a otros grupos criminales por distribución.
Detección forense de botnets
Análisis de tráfico de red
Indicadores de comunicación C2:
| Patrón | Descripción | Detección |
|---|---|---|
| Beaconing | Conexiones periódicas regulares (cada X minutos) | Análisis de timestamps, intervalos consistentes |
| Volumen anómalo | Tráfico saliente elevado sin justificación | Baseline de red, alertas por threshold |
| Destinos sospechosos | Conexiones a IPs/dominios maliciosos conocidos | Threat intelligence feeds, blacklists |
| Puertos no estándar | Tráfico en puertos raros (8443, 6667 IRC) | Análisis de puertos, comparación con baseline |
| Cifrado sin TLS | Tráfico cifrado custom (no HTTPS estándar) | Deep packet inspection, análisis de entropy |
Herramienta forense: Detección de beaconing con Zeek (Bro)
# Script Zeek para detectar beaconing
@load base/protocols/conn
module BeaconingDetection;
export {
redef enum Notice::Type += {
Beaconing_Detected
};
}
global conn_intervals: table[addr] of vector of interval;
event connection_state_remove(c: connection) {
local orig = c$id$orig_h;
local dst = c$id$resp_h;
# Acumular intervalos entre conexiones al mismo destino
if (orig !in conn_intervals)
conn_intervals[orig] = vector();
local last_time = current_time();
# (lógica simplificada - cálculo de intervalos)
# Si intervalos tienen baja varianza → beaconing
if (variance(conn_intervals[orig]) < 60.0) { # < 1 min varianza
NOTICE([$note=Beaconing_Detected,
$msg=fmt("Beaconing detectado desde %s", orig),
$sub=fmt("Destino: %s", dst)]);
}
}Análisis de procesos y memoria
Indicadores en endpoints:
# PowerShell: Detectar procesos sospechosos de bot
# 1. Procesos con conexiones de red activas
Get-NetTCPConnection | Where-Object {$_.State -eq "Established"} |
ForEach-Object {
$process = Get-Process -Id $_.OwningProcess -ErrorAction SilentlyContinue
[PSCustomObject]@{
Process = $process.Name
PID = $_.OwningProcess
LocalAddress = $_.LocalAddress
LocalPort = $_.LocalPort
RemoteAddress = $_.RemoteAddress
RemotePort = $_.RemotePort
}
} | Sort-Object Process | Format-Table
# 2. Procesos con CPU alta sin ventana visible
Get-Process | Where-Object {$_.CPU -gt 10 -and $_.MainWindowTitle -eq ""} |
Select-Object Name, CPU, WorkingSet, Path | Format-Table
# 3. Procesos iniciados desde directorios sospechosos
Get-Process | Where-Object {
$_.Path -like "*\Temp\*" -or
$_.Path -like "*\AppData\Local\Temp\*" -or
$_.Path -like "*\Users\Public\*"
} | Select-Object Name, Path, StartTimeAnálisis de persistencia
Botnets establecen múltiples mecanismos de persistencia:
Registry Run Keys
reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run reg query HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunScheduled Tasks
Get-ScheduledTask | Where-Object {$_.TaskPath -notlike "\Microsoft\*"} | Select-Object TaskName, TaskPath, State, ActionsServices
Get-Service | Where-Object {$_.Status -eq "Running"} | Select-Object Name, DisplayName, StartType | Where-Object {$_.StartType -eq "Automatic"}Startup Folders
dir "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup" dir "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup"
Análisis de IOCs (Indicadores de Compromiso)
Extracción de IOCs para threat intelligence:
| IOC Type | Ejemplo | Uso forense |
|---|---|---|
| IP C2 | 185.220.101.23 | Búsqueda en logs, correlación con otras víctimas |
| Dominio C2 | c2-server[.]example[.]com | DNS logs, sinkholing |
| Hash malware | SHA-256: 7c8f4b3a9d2e... | Búsqueda en sistemas, VirusTotal |
| Mutex | Global\BotMutex_v2.1 | Identificación de variante específica |
| User-Agent | Mozilla/5.0 BotClient/2.1 | Filtrado de tráfico C2 en proxy/firewall |
| Certificado SSL | Serial: 00:A4:3F:... | Identificación de infraestructura C2 |
Marco legal español
Código Penal
Uso malicioso de botnets constituye múltiples delitos:
| Delito | Artículo | Pena | Aplicación botnets |
|---|---|---|---|
| Acceso ilícito a sistemas | Art. 197.3 CP | 2-5 años prisión | Infección de dispositivos sin autorización |
| Daños informáticos | Art. 264 CP | 6 meses-3 años | DDoS, cryptojacking que daña hardware |
| Sabotaje | Art. 264 bis CP | 4-8 años prisión | DDoS a infraestructuras críticas |
| Interceptación comunicaciones | Art. 197.1 CP | 1-4 años prisión | Bots que interceptan credenciales, traffic sniffing |
| Estafa | Art. 248 CP | 6 meses-6 años | Fraude publicitario, click fraud |
Agravantes:
- Afectación a infraestructuras críticas: +50% pena
- Beneficio económico del grupo criminal: +50% pena
- Daños de especial gravedad: pena superior en grado
Responsabilidad del dispositivo infectado
¿Es delito tener tu ordenador en una botnet sin saberlo? NO, si desconoces la infección (falta dolo). Pero puedes ser responsable civil de los daños causados desde tu IP si no demuestras diligencia en seguridad. Recomendación: desinfectar inmediatamente, documentar con análisis forense y denunciar si recibes requerimiento policial.
Jurisprudencia relevante
SAN 34/2020 (Audiencia Nacional): Desmantelamiento de botnet Emotet en España. Operación coordinada Europol + Policía Nacional. La sentencia establece:
“La creación y operación de botnets constituye organización criminal (Art. 570 bis CP) cuando se demuestra coordinación entre múltiples actores, infraestructura técnica compleja y beneficio económico sistemático.”
Penas: 5-8 años prisión + comiso de criptomonedas (€2.3M).
SAP Barcelona 456/2021: Empresa víctima de DDoS desde botnet Mirai. La sentencia valida análisis forense de tráfico de red como prueba admisible:
- Logs de firewall certificados con cadena de custodia
- Análisis de tráfico con Wireshark (capturas pcap)
- Correlación de IPs atacantes con threat intelligence (Spamhaus)
- Perito informático ratifica en juicio
Indemnización: €87,000 por lucro cesante + daños reputacionales.
RGPD y botnets
Si la botnet comprometió datos personales:
- Notificación obligatoria (Art. 33 RGPD): 72 horas a AEPD
- Comunicación a interesados (Art. 34 RGPD): Si alto riesgo (robo credenciales)
- Medidas técnicas (Art. 32 RGPD): Demostrar controles de seguridad adecuados
Multas RGPD: Hasta €20M o 4% facturación anual global por negligencia en seguridad.
Takedowns de botnets
Metodología de desmantelamiento
Investigación y mapeo
- Identificar infraestructura C2 (IPs, dominios, hosting)
- Análisis de malware bot (reverse engineering)
- Mapeo de tamaño y geolocalización de bots
Coordinación legal
- Orden judicial para cerrar servidores C2
- Coordinación internacional (Europol, FBI, Interpol)
- Colaboración con ISPs y registrars de dominios
Sinkholing
- Redirección DNS de dominios C2 a servidor controlado
- Registro de IPs de bots que intentan conectar
- Notificación a ISPs para desinfectar bots
Disrupción técnica
- Cierre de servidores C2
- Bloqueo de IPs en routers de backbone
- Actualización de firmas antivirus
Desinfección masiva
- Notificaciones a propietarios de dispositivos infectados
- Distribución de herramientas de limpieza gratuitas
- Campañas de concienciación
Casos exitosos de takedowns
| Botnet | Año takedown | Bots | Método | Resultado |
|---|---|---|---|---|
| Emotet | 2021 | 500,000+ | Coordinación Europol, sinkholing | Desmantelada, arrestos en Ucrania |
| Gameover Zeus | 2014 | 500,000+ | FBI + Microsoft, sinkholing P2P | Desmantelada, imputación operador |
| Mirai | 2016 | 600,000+ | Código fuente liberado, parches IoT | Reducida, arrestos creadores |
| Avalanche | 2016 | 500,000+ | Europol, cierre 800+ dominios | Desmantelada, 5 arrestos |
| Kelihos | 2017 | 100,000+ | FBI, arresto operador en Barcelona | Desmantelada, Peter Levashov arrestado |
Kelihos takedown en España (2017):
- Peter Yuryevich Levashov arrestado en Barcelona (vacaciones)
- Acusación: Operación botnet Kelihos (spam, fraude bancario)
- Botnet: 100,000+ bots, distribuyó ransomware y troyanos bancarios
- Extradición a EEUU: Condenado a time served (prisión preventiva)
Prevención y mitigación
Protección contra infección
| Control | Implementación | Efectividad |
|---|---|---|
| Antivirus/EDR actualizado | Windows Defender, CrowdStrike, ESET | ✅ Alta - detecta malware bot conocido |
| Firewall con egress filtering | Bloquear conexiones salientes no autorizadas | ✅ Alta - dificulta comunicación C2 |
| Patch management | Actualizaciones automáticas de SO y apps | ✅ Alta - cierra vulnerabilidades explotadas |
| Bloqueo de IPs maliciosas | Threat intelligence feeds en firewall | ⚠️ Media - C2s cambian frecuentemente |
| Segmentación de red | IoT en VLAN separada | ✅ Alta - limita propagación lateral |
| Passwords robustos en IoT | Cambiar credenciales por defecto | ✅ Crítica - previene botnets IoT (Mirai) |
Protección contra ataques DDoS
Servicios de mitigación:
- Cloudflare: Protección DDoS hasta 100+ Gbps, gratis en plan básico
- Akamai: Protección enterprise, 3+ Tbps capacidad
- AWS Shield: Integrado con AWS (Standard gratis, Advanced €3,000/mes)
Técnicas de mitigación:
- Rate limiting: Limitar requests por IP/segundo
- CAPTCHA challenge: Verificar humano vs bot
- Geo-blocking: Bloquear países no relevantes
- Anycast: Distribuir tráfico entre múltiples data centers
Caso práctico: Botnet de cryptojacking en universidad
Contexto: Universidad española (Madrid, 12,000 estudiantes) detecta consumo eléctrico anómalo en sala de ordenadores. Análisis forense revela botnet de cryptojacking activa desde hace 4 meses.
Hallazgos forenses
| Métrica | Valor | Detalle |
|---|---|---|
| Dispositivos infectados | 287 PCs | 47% de ordenadores de estudiantes |
| Malware | XMRig miner (Monero) | Hash SHA-256: a1b2c3d4e5f6... |
| Pool de minería | pool.supportxmr[.]com | Pool legítimo, usado por botnet |
| Wallet destino | 48edfHu7V9Z8... | Monero wallet del atacante |
| CPU usage | Promedio 85% | Throttled a 85% para evitar detección obvia |
| Tiempo infección | 4 meses | Sept 2025 - Ene 2026 |
| Monero minado | 12.4 XMR | ~€1,860 al tipo de cambio (€150/XMR) |
| Coste eléctrico adicional | ~€4,200 | 287 PCs × 150W extra × 24h × 120 días |
Vector de infección
Análisis técnico:
- Entrada inicial: Email de phishing a administrador TI
- Payload: Troyano con dropper de XMRig
- Propagación: Exploit EternalBlue (MS17-010, sin parchear en red universitaria)
- Persistencia: Scheduled Task oculta como “Windows Update Service”
- C2: No había C2 (malware autónomo, solo conectaba a pool minería)
Timeline de infección:
2025-09-15: Phishing a admin TI → compromiso estación de trabajo
2025-09-16: Propagación vía EternalBlue a 287 PCs en 24 horas
2025-09-17: Inicio minería Monero, 287 workers activos
2025-09 a 2026-01: Minería continua sin detección
2026-01-18: Administrador nota factura eléctrica +40% → investigación
2026-01-20: Análisis forense confirma botnet cryptojackingAnálisis de rentabilidad del atacante
# Cálculo de rentabilidad de la botnet
bots_infected = 287
days_active = 120
hashrate_per_bot = 2000 # H/s (CPU Intel i5 típico)
total_hashrate = bots_infected * hashrate_per_bot # 574,000 H/s
xmr_mined = 12.4 # Monero minados (dato real del wallet)
xmr_price_eur = 150 # EUR por XMR (promedio periodo)
revenue = xmr_mined * xmr_price_eur # €1,860
# Costes del atacante:
cost_infrastructure = 0 # Sin C2 (minero autónomo)
cost_development = 200 # Compra de exploit EternalBlue en dark web
total_cost = 200
profit = revenue - total_cost
roi = (profit / total_cost) * 100
print(f"Ingresos: €{revenue:,.0f}")
print(f"Costes: €{total_cost}")
print(f"Beneficio neto: €{profit:,.0f}")
print(f"ROI: {roi:.0f}%")
# Salida:
# Ingresos: €1,860
# Costes: €200
# Beneficio neto: €1,660
# ROI: 830%Evidencia judicial
Informe pericial (68 páginas):
- Análisis de malware: Reverse engineering de XMRig (desensamblado con IDA Pro)
- Timeline de infección: Logs Windows Event, Scheduled Tasks, network logs
- Blockchain analysis: Seguimiento de wallet Monero (transparencia limitada)
- Impacto económico: €4,200 coste eléctrico + €8,000 respuesta incidente
- Recomendaciones: Patch management, segmentación red, EDR
Resultado: Denuncia a Policía Nacional. Sin atribución (wallet Monero anonimizado, sin pistas claras). Universidad implementó:
- Patch management automatizado (WSUS)
- EDR en 100% endpoints (Microsoft Defender ATP)
- Segmentación de red estudiantes
- Monitorización consumo eléctrico por sala
FAQs sobre botnets forenses
¿Cómo saber si mi ordenador forma parte de una botnet?
Señales principales:
- Rendimiento degradado (CPU/red alta sin razón aparente)
- Ventilador activo constantemente (incluso sin aplicaciones abiertas)
- Conexiones de red sospechosas a IPs desconocidas (verificar con TCPView)
- Consumo eléctrico elevado sin justificación
- Firewall alertando de intentos de conexión saliente
- Procesos con nombres aleatorios o genéricos (
svchost.exeen ubicaciones incorrectas)
Confirmar con análisis:
- Escaneo con anti-malware actualizado (ESET, Malwarebytes)
- Análisis de procesos con System Informer (Process Hacker)
- Monitoreo de red con Wireshark o TCPView
- Revisar persistencia (scheduled tasks, registry Run keys)
¿Es delito tener el ordenador infectado en una botnet sin saberlo?
NO es delito si desconoces la infección (falta dolo = intención criminal). El Código Penal español requiere intencionalidad para delitos informáticos.
PERO: Puedes ser responsable civil de los daños causados desde tu IP si:
- No demuestras diligencia básica en seguridad (antivirus, actualizaciones)
- Recibes notificación de infección y no actúas
Recomendación si recibes requerimiento policial:
- Desinfectar inmediatamente (documentar con análisis forense)
- Denunciar el incidente en comisaría (demuestra buena fe)
- Contratar perito informático para análisis técnico
- Presentar informe pericial demostrando infección no intencionada
¿Cuánto cuesta un análisis forense de infección por botnet?
Precios orientativos según complejidad:
- Infección simple (malware bot conocido, Mirai/Emotet): €600-900 (6-8 horas)
- Botnet con persistencia avanzada: €900-1,200 (10-15 horas)
- Análisis de infraestructura C2 completa (reverse engineering, atribución): €1,200-1,500 (18-25 horas)
Incluye:
- Análisis técnico completo (memoria, disco, red)
- Extracción de IOCs (IPs C2, hashes, dominios)
- Timeline detallado de infección y actividad
- Informe pericial admisible en tribunales
- Cadena de custodia certificada
- Ratificación en juicio (si necesaria)
¿Necesitas análisis forense de botnet?
En Digital Perito realizamos análisis técnico especializado en botnets con validez judicial para casos de:
- Investigación de infecciones por botnets (DDoS, spam, cryptojacking)
- Análisis de infraestructuras C2 y atribución
- Defensa judicial por acusaciones relacionadas con tu IP
- Asesoramiento en respuesta a incidentes DDoS
- Peritajes para reclamaciones por daños causados por botnets
Metodología certificada ISO 27037 | Análisis de tráfico con Wireshark, Zeek y threat intelligence | Disponibilidad 24/7 para incidentes críticos
Consulta gratuita análisis de botnet
Primera videollamada de 20 minutos sin coste para evaluar tu caso. Presupuesto en 24 horas con alcance detallado del análisis forense necesario.
Contactar con perito forense en botnets →
Jonathan Izquierdo | Perito Informático Forense Ex-CTO | 5x AWS Certified | Metodología ISO 27037 📍 Jaén, España | Cobertura nacional
Preguntas Frecuentes
¿Cómo saber si mi ordenador forma parte de una botnet?
Señales: rendimiento degradado (CPU/red alta sin razón), ventilador activo en reposo, conexiones de red sospechosas a IPs desconocidas, consumo eléctrico elevado, firewall alertando de tráfico saliente. Confirmar con análisis de procesos (System Informer), monitoreo de red (TCPView) y escaneo con anti-malware.
¿Es delito tener el ordenador infectado en una botnet sin saberlo?
NO es delito si desconoces la infección (falta dolo). Pero SÍ eres responsable de los daños causados desde tu IP si no demuestras diligencia en seguridad. Recomendación: desinfectar inmediatamente, documentar con análisis forense y denunciar si recibes requerimiento policial.
¿Cuánto cuesta un análisis forense de infección por botnet?
€600-1,500 según complejidad: infección simple (€600-900, 6-8h), botnet con persistencia avanzada (€900-1,200, 10-15h), análisis de infraestructura C2 completa (€1,200-1,500, 18-25h). Incluye informe pericial, extracción de IOCs, timeline de infección y cadena de custodia.
Términos Relacionados
Backdoor Administrativa
Código malicioso instalado en sitios web que permite acceso persistente no autorizado con privilegios administrativos, incluso después de cambiar contraseñas. En análisis forense, su detección requiere auditoría completa de archivos del sistema y base de datos.
Dirección IP
Identificador numérico único asignado a cada dispositivo conectado a una red, que permite rastrear el origen de conexiones y actividades en Internet.
Trazabilidad de IPs
Proceso de identificar el origen geográfico, proveedor y potencialmente el usuario detrás de una dirección IP utilizada en actividades ilícitas o sospechosas.
Análisis de Tráfico de Red
Disciplina de la informática forense que examina el tráfico de red capturado (paquetes, flujos, metadatos) para reconstruir comunicaciones, detectar actividad maliciosa, identificar exfiltración de datos y documentar intrusiones con validez probatoria.
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita