Nuevo informe: Detección de botnets en Twitter durante eventos deportivos

Una botnet es un número de dispositivos conectados a Internet, cada uno de los cuales está ejecutando uno o más bots. Las botnets pueden utilizarse para realizar ataques DDoS, robar datos, enviar spam y permitir al atacante acceder al dispositivo y a su conexión. El propietario puede controlar la botnet mediante C&C.

Muchos usuarios de Twitter son bots, que son cuentas controladas y a veces creadas por ordenadores. Los bots de Twitter pueden enviar tweets de spam, manipular la opinión pública, ser utilizados para el fraude en línea y, en nuestro caso, para promover el acceso por URL a contenidos deportivos ilegales. La botnet contiene un único tipo de bot, que muestra exactamente las mismas propiedades en toda la botnet. Los bots se venden por dinero como falsos seguidores.

Este informe es un análisis de las redes sociales de bots. Hemos analizado dos grandes conversaciones de Twitter e identificado el comportamiento de varios grupos de perfiles con actividades automáticas y no estándar. La primera conversación se centra en la Copa Mundial de la FIFA 2018, celebrada entre el 14 de junio y el 15 de julio. Hemos trabajado en las comunidades de toda la conversación y descubrimos varios grupos de perfiles que se comportaban de forma extraña. Después de aplicar algoritmos propietarios, confirmamos que esas comunidades eran botnets de difusión de contenidos que fueron activadas durante los partidos de fútbol para compartir URLs ilegales de streaming.

Imagen 1,2,3: Tweets con varios links hacía retransmisiones ilegales de partidos de fútbol

Con el fin de hacer un análisis más amplio, hemos investigado un mayor número de deportes en todo el mundo durante cinco semanas: desde el 1 de noviembre hasta el 10 de diciembre. Esta nueva conversación cubrió el tema del streaming deportivo en Twitter e incluyó importantes eventos como la Premier League, la UEFA Champions League, los partidos de las ligas de cricket o los partidos semanales de la NFL en Estados Unidos.

Mapa de calor de la monitorización de tweets durante 5 semanas sobre la retransmisión de deportes.

Para tener una visión clara de la difusión de streamings deportivos en Twitter, creamos una consulta formada por los principales deportes y ligas del mundo y terminología relacionada con estas retransmisiones. El sistema de análisis de grafos de Aldara permite quitar el “ruido” de la conversación para así poder centrar la investigación en las áreas de interés.

Conversación en Twitter sobre la retransmisión de deportes.

Tras este análisis, descubrimos que las botnets identificadas en la conversación del Mundial de Rusia siguen activas y están difundiendo contenidos actuales y, además se identificaron nuevas botnets enfocadas en varios deportes. El tamaño y la composición de cada botnet suele variar de forma continua, ya que a menudo se suspenden o eliminan las cuentas en Twitter.

Como resultado, con Aldara hemos sido capaces de identificar botnets en Twitter por las formas de los grafos y los algoritmos de la herramienta. Este tipo de analisis e identificación han sido utilizado en varios casos de uso, como crisis reputacionales.

Twitter botnet (caótica y multidireccional)

Además del análisis de los botnets de la conversación, hemos analizado las direcciones IP de los sitios web de streaming distribuidos en los tweets.

Número de servidores por país

Para evitar este tipo de difusión ilegal, la TSA (Telco Security Alliance) dispone de diferentes métodos para luchar contra este delito cibernético en particular que incluye desde procedimientos específicos con los principales ISPs del mundo para realizar las tomas necesarias hasta la inversión en start-ups para proteger la propiedad intelectual y el uso indebido de sus contenidos digitales.

Tras haber analizado todos los resultados, una de las conclusiones es que, si se compara todo el “ruido” que genera un deporte en Twitter con la difusión de retransmisiones ilegales, el deporte más afectado por éstas últimas es el fútbol americano. El número de tweets que contenían vínculos hacia retransmisiones ilegales representaba el 0,5% del total de tweets sobre el deporte en general (incluyendo partidos, resultados, jugadores, publicidad, etc.)