BOTS CONVERSACIONALES

INTECO-CERT

Mayo 2010

El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). Se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y orden de lectura adecuado. Para ampliar informacin sobre la construccin de documentos PDF accesibles puede consultar la gua disponible en la seccin Accesibilidad > Formacin > Manuales y Guas de la pgina http://www.inteco.es.

Bots conversacionales

NDICE
1. 2. 3.
INTRODUCCIN

4 5 6 6 6

QU SON LOS BOTS? QU SON LOS BOTS CONVERSACIONALES? 3.1. 3.2. 3.3. Bots conversaciones legtimos Bots conversacionales maliciosos

Gusanos que se propagan a travs de programas de mensajera instantnea 7 9 9 9 10 10 11 13

4.

CMO FUNCIONAN? 4.1. 4.2. 4.3. 4.4. Obtencin de las direcciones de correo de las vctimas Realizacin de la solicitud de ser agregados Establecimiento de la conversacin Lanzamiento del ataque

5. 6.

CMO EVITARLOS? REFERENCIAS

Ttulo de la Gua (campo editable)

1.

INTRODUCCIN

Al igual que otros medios de comunicacin a travs de la red, los programas de mensajera instantnea pueden ser utilizados para comprometer la seguridad de la amplia red de usuarios que los utilizan. El siguiente informe tcnico trata la amenaza de los bots conversacionales en los programas de mensajera instantnea. Los bots conversacionales son programas informticos que pueden establecer una conversacin a travs de estos programas, tratando de ganarse la confianza de su interlocutor para conseguir informacin confidencial suya, enviarle publicidad no deseada o para instalar programas maliciosos con los que controlar su PC y poder llevar a cabo actividades ilegales como el envo masivo de SPAM, actuar como proxys en botnets con Fast-flux, realizar ataques DDoS, etc. Este informe tambin describe las medidas que los usuarios pueden tomar para evitar los bots conversacionales.

Bots conversacionales

2.

QU SON LOS BOTS?

En el mundo de la Seguridad Informtica la palabra bot, o robot, se suele utilizar para referirse a los programas informticos que se hacen pasar por personas en Internet, como por ejemplo, en los siguientes servicios: Juegos en lnea. Casinos en lnea en juegos de azar con apuestas como el pquer o la ruleta. Redes sociales o programas de mensajera instantnea.

Estos programas interactan con los usuarios de dichos servicios y, como pueden funcionar de manera autnoma e independiente y utilizar la capacidad de clculo de un ordenador, pueden existir un gran nmero de ellos realizando una labor que sera muy costosa de llevar a cabo por una persona. Pueden tener un uso legtimo como, por ejemplo, para atender un servicio de ayuda en lnea, para adquirir informacin en un servicio de soporte, etc. Pero tambin un uso ilegtimo como propagar SPAM y malware en redes sociales o a travs de mensajera instantnea, o conseguir ganancias econmicas en juegos en lnea. Por otra parte, la palabra bot tambin se utiliza para referirse a un miembro de una botnet o conjunto de equipos infectados controlados remotamente por un atacante. Se puede encontrar ms informacin sobre las botnets en los siguientes enlaces: http://www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes/Notas_y_Articulos //Amenazas_silenciosas_en_la_Red_rootkits_y_botne_11 http://cert.inteco.es/Formacion/Amenazas/botnets/

Bots conversacionales

3.

QU SON LOS BOTS CONVERSACIONALES?

Los bots conversacionales, tambin llamados chatbots o chatterbots, son un tipo de bots que simulan ser usuarios de programas de mensajera instantnea: pueden pedir ser agregados como contacto y, posteriormente, mantener una conversacin con el usuario que le ha agregado. Tienen su origen en el IRC (Internet Relay Chat). El papel que jugaban en estas redes era el de ciberoperador para la ayuda en tareas bsicas de administracin y registro de usuarios.

3.1.

BOTS CONVERSACIONES LEGTIMOS

Algunos bots tienen un fin legtimo, con ellos se puede interaccionar simplemente aadindoles como contacto y sirven para, entre otras cosas, realizar traducciones o resolver consultas sobre un tema determinado. Se les suele distinguir porque la solicitud de ser agregados no parte de ellos si no del interesado en utilizar sus servicios. Algunos ejemplos de este tipo de bots son: mtbot@hotmail.com: creado por Microsoft. El bot traduce el texto escrito en la conversacin. maestro@saman.com.uy: creado por una empresa agroindustrial. El bot ofrece recetas de cocina a partir de los ingredientes que el usuario indica.

3.2.

BOTS CONVERSACIONALES MALICIOSOS

Por contra, existen bots conversacionales con fines maliciosos a los que se les dota de cierta inteligencia artificial para establecer conversaciones sin delatar su origen virtual. Su objetivo es ganarse la confianza del interlocutor con el fin de realizar alguna de las siguientes acciones: Recopilar informacin confidencial, como nmeros de la tarjeta de crdito. Instalar programas maliciosos como, por ejemplo, virus. Conseguir imgenes del usuario solicitando que se active la cmara web, para posteriormente extorsionarle. Enviar publicidad no deseada.

Bots conversacionales

3.3.

GUSANOS QUE SE PROPAGAN A TRAVS DE PROGRAMAS DE MENSAJERA INSTANTNEA

Algunos gusanos tienen entre sus funcionalidades la de actuar como un bot conversacional para propagarse o realizar actividades maliciosas a travs de las redes de mensajera instantnea. Son muy peligrosos ya que utilizan la cuenta del usuario del ordenador infectado y envan mensajes a sus contactos. Estos contactos tienen ms probabilidades de creer en la legitimidad de los mensajes ya que provienen de un conocido. Algunos ejemplos de este tipo de gusanos son: http://cert.inteco.es/virusDetail/Actualidad/Actualidad_Virus/Detalle_Virus/Yimfoca http://cert.inteco.es/virusDetail/Actualidad/Actualidad_Virus/Detalle_Virus/MSNWorm _IE

Algunos de estos virus estn programados de forma que detectan el idioma del sistema operativo, para utilizarlo posteriormente en las conversaciones que mantendr al tratar de propagarse mediante un bot conversacional. A continuacin se muestra un ejemplo real de cdigo perteneciente a estos gusanos:

Figura 1. Muestra de cdigo fuente

En la imagen superior se puede ver un extracto de cdigo correspondiente a un gusano que utiliza el MSN para propagarse, en el cual se definen varios arrays de cadenas con diversas frases en varios idiomas.

Bots conversacionales

En la imagen inferior al inicio de la funcin msnspread se puede ver en la lnea 138 como hace uso de la funcin GetLocaleInfo para obtener informacin sobre la configuracin regional del equipo, ms exactamente sobre el idioma local, el cual ser apuntado por la variable tempp. Posteriormente, en funcin de su valor, el puntero masgg apuntar a uno de los arrays de cadenas definidos anteriormente y que coincidir con el idioma del equipo; de esta forma se podr propagar dichos mensajes a travs de los contactos del usuario infectado.

Figura 2. Muestra de cdigo fuente

Bots conversacionales

4.

CMO FUNCIONAN?

La amenaza del bot conversacional se desarrolla en varias fases consecutivas: 1. Obtencin de las direcciones de correo de las vctimas. 2. Realizacin de la solicitud de ser agregados. 3. Establecimiento de la conversacin. 4. Lanzamiento del ataque.

4.1.

OBTENCIN DE LAS DIRECCIONES DE CORREO DE LAS VCTIMAS

El primer paso que realizan las personas u organizaciones criminales que hay detrs de los bots conversacionales es captar direcciones de correo que se utilizan en los programas de mensajera instantnea para, posteriormente, contactar con ellas. Los mtodos de conseguir estas direcciones son muy variados: Generar direcciones aleatorias de correo empleando patrones que constan de nombres de usuario. Muchas de estas direcciones puede que ni siquiera existan pero el objetivo es tratar de conseguir el mayor nmero posible de cuentas vlidas. Comprar listas de direcciones de correo en el mercado negro. Por medio de cadenas de correos electrnicos. Mediante servicios fraudulentos que en su inscripcin solicitan la direccin de correo. Utilizando programas que rastrean pginas web en su bsqueda, por ejemplo, por medio de etiquetas html de tipo mailto. Mediante vulnerabilidades en servidores web legtimos que permitan conseguir bases de datos de usuarios.

Otra formar que tienen los atacantes de actuar es la distribuir mensajes en redes sociales, IRC, foros, pginas web, etc en los que se trata de convencer de que se aada su direccin de correo electrnico como contacto.

4.2.

REALIZACIN DE LA SOLICITUD DE SER AGREGADOS

En este paso, se programa el bot para que utilice una direccin de correo propia en el servicio de mensajera instantnea, junto con un nombre atractivo que invite a aceptarlo como contacto.

Bots conversacionales

A continuacin el bot realiza la peticin de ser agregado a todas las direcciones obtenidas en el punto anterior, hacindose pasar por un amigo, enva un mensaje sugerente como pueden ser los siguientes: Hola, cuanto tiempo, como te va? Mira las fotos de mis vacaciones. Jajajaja, que video ms bueno!!!!!

Este paso no existe en el caso de los bots que corresponden a virus que, mediante alguna tcnica fraudulenta, han secuestrado cuentas legtimas de usuarios reales. Por esta razn, es tan daina esta clase de bots ya que las personas con la que contactan tiene una relacin de confianza con ellos establecida anteriormente.

4.3.

ESTABLECIMIENTO DE LA CONVERSACIN

Los bots establecen una conversacin con la vctima para ganarse su confianza. La conversacin suele ser muy simple y desde el principio est orientada hacia sus intereses. Para replicar a la vctima muchos bots simplemente buscan palabras clave en su contestacin y, segn estas palabras, generarn una respuesta determinada anteriormente. Por ello, las respuestas suelen ser muy vagas y orientadas hacia sus fines fraudulentos. Por otro lado, ya existen bots ms sofisticados con buenas capacidades comunicativas para tratar de engaar al usuario el mayor tiempo posible. Adems, algunos poseen cierta capacidad de aprendizaje, los cuales generan respuestas en funcin de conversaciones mantenidas previamente. Algunos bots no establecen una conversacin. En la misma solicitud de ser agregados o en la primera frase incluyen un enlace a un cdigo o pgina maliciosa junto un mensaje invitando a visitarla.

4.4.

LANZAMIENTO DEL ATAQUE

Una vez que el bot se ha ganado la confianza de la vctima, le muestra mensajes sugerentes que inviten a visitar una pgina Web o descargar algn tipo de fichero. Los siguientes son ejemplos de este tipo de mensajes: Aqu est el programa (acompaado de un enlace a un cdigo malicioso) Mira mis fotos (junto con un enlace a una pgina web que solicita la tarjeta de crdito para comprobar la edad de la vctima)

Los bots suelen enmascarar estos enlaces utilizando acortadores de URLs para que el interlocutor no pueda valorar el nombre del dominio original.

Bots conversacionales

10

5.

CMO EVITARLOS?
Hay que limitar la difusin de la direccin de correo. No slo para evitar los bots conversacionales, sino, tambin, para evitar el SPAM. Bloquear las invitaciones sospechosas o de gente que no se conoce. Adems, el usuario de estos servicios puede denunciar al proveedor, generalmente mediante un formulario o un correo electrnico, las cuentas que pudieran corresponder a un bot conversacional, para que se revisen y se deshabiliten en casos de fraude. En caso de que se haya aceptado una invitacin por error, o por curiosidad, no hay que dar conversacin al bot, porque en caso contrario reconocera que la cuenta est activa, y divulgara la cuenta para otras actividades maliciosas. Muchos de ellos son fcilmente detectables por la falta de coherencia en las respuestas generadas o el idioma empleado. Sospechar de los enlaces a pginas web o a programas que aparezcan en las conversaciones, aunque sean de amigos de confianza, sobre todo, si se tratan de enlaces o archivos que no se han solicitado. Algunos clientes de mensajera instantnea avisan al usuario del peligro de visitar estos enlaces:

Figura 3. Ventana de aplicacin de mensajera instantnea

Utilizar un analizador de URLs para conocer la confiabilidad de los enlaces antes de abrirlos y analizar con un antivirus actualizado los ficheros descargados.

Bots conversacionales

11

En clientes de mensajera instantnea tales como Pidgin o MSN existen herramientas que ayudan a eliminar o prevenir este tipo de bots. Un ejemplo de ello es el plugin bot-sentry para Pidgin. Con este plugin, si alguien intenta agregarse a una lista de contactos, tendr que responder a un captcha lgico antes. A continuacin se muestra una ventana de configuracin de uno de estos complementos:

Figura 4. Configuracin de un complemento de una aplicacin de MI

Otro ejemplo de esta clase de complementos es WLM Safe. Se trata de un script para Messenger Plus! Live que permite incorporar una capa ms de seguridad al cliente MSN. Una de sus caractersticas es avisar al usuario del envo de SPAM por parte de bots. Por otra parte, los proveedores de servicio son conscientes de esta amenaza y toman medidas para evitar su proliferacin como: Implantar el uso de captchas. Desactivar las cuentas que, por su comportamiento, pueden pertenecer a un bot; por ejemplo, aquellas que enven muchas invitaciones en poco tiempo.

Bots conversacionales

12

6.

REFERENCIAS

http://es.wikipedia.org/wiki/Bot_conversacional http://www.eset-la.com/company/1645-masiva-propagacion-troyano-msn-creador-redesbotnets http://www.pandasecurity.com/spain/homeusers/security-info/217587/ButterflyBot.A http://www.pandasecurity.com/spain/homeusers/security-info/cybercrime/others/ http://www.symantec.com/connect/es/blogs/new-yahoo-messenger-worm http://www.zonavirus.com/noticias/2010/palevo-el-virus-de-yahoo-pasa-a-skype.asp http://www.zonavirus.com/noticias/2009/virus-de-messenger-que-ofrece-entrar-enhttpchatearxxxxxxcom.asp

Bots conversacionales

13