¿Storm Worm era realmente un gusano (worm)?

No. A pesar de su nombre, Storm Worm era técnicamente un troyano (trojan horse). No se autopropagaba explotando vulnerabilidades de red como un gusano clásico. Requería que el usuario hiciera clic en un enlace o abriera un adjunto del email de ingeniería social. El nombre 'Storm Worm' se lo puso la industria de seguridad por los asuntos de email que usaba inicialmente, referentes a la tormenta Kyrill que azotó Europa en enero de 2007.

¿Cuántas máquinas infectó Storm Worm?

Las estimaciones varían enormemente: desde 1 millón hasta 50 millones de bots. La cifra exacta era imposible de determinar porque la arquitectura P2P descentralizada impedía contar nodos desde un punto central. Las estimaciones más citadas por investigadores de seguridad (SecureWorks, MessageLabs) situaban el botnet entre 1 y 10 millones de nodos activos en su pico de actividad durante 2007.

¿Qué diferencia a un botnet P2P de uno con servidor C2 centralizado?

En un botnet centralizado (IRC o HTTP), todos los bots se conectan a uno o varios servidores de comando y control. Si la policía o los investigadores derriban esos servidores, el botnet queda inutilizado. En un botnet P2P como Storm, cada bot actúa simultáneamente como cliente y servidor. Los comandos se propagan de nodo a nodo sin un punto central. Esto hace que el botnet sea extremadamente resistente a takedowns, ya que no existe un servidor único que derribar.

¿Qué era la Russian Business Network (RBN)?

La Russian Business Network era un proveedor de hosting con sede en San Petersburgo, activo entre 2006 y 2007, que ofrecía servicios de alojamiento 'a prueba de balas' (bulletproof hosting). La RBN alojaba sitios de phishing, servidores de malware, operaciones de spam y contenido ilegal. No respondía a solicitudes de takedown ni cooperaba con las fuerzas de seguridad. Investigadores de Verisign, Spamhaus y otros vincularon a la RBN con Storm Worm, aunque la atribución directa nunca fue confirmada públicamente.

¿Storm Worm sigue activo en 2026?

No. Storm Worm dejó de ser una amenaza significativa a mediados de 2008, cuando su volumen de spam cayó drásticamente. Su sucesor fue Waledac (también P2P, detectado en 2008-2009), que Microsoft desmanteló mediante una orden judicial en 2010. Sin embargo, las técnicas que Storm pioneerizó (P2P C2, fast-flux DNS, polimorfismo automatizado, alquiler de botnet como servicio) son estándar en botnets modernos como Emotet, TrickBot y las variantes de Mirai.

Intermediohistoriabotnettrojanp2pspamcibercrimen

Storm Worm y las Botnets Modernas (2007)

En enero de 2007, un email sobre una tormenta mortal en Europa desató Storm Worm, el primer gran botnet peer-to-peer. Sin servidor central, con binarios polimórficos cada 30 minutos y hasta 50 millones de bots estimados, Storm redefinió el cibercrimen como industria.

MalwareIntel Research·20 de mayo de 2026·15 min lectura·3 técnicas ATT&CK

Serie: Historia del Malware — Parte 10

El contexto: enero de 2007, cuando el spam se convirtió en industria

El 18 de enero de 2007, la tormenta Kyrill azotó el norte de Europa. Vientos de más de 170 km/h causaron 47 muertos y miles de millones de euros en daños. Ese mismo día, millones de buzones de correo electrónico recibieron un email con el asunto "230 dead as storm batters Europe". El email contenía un enlace o un adjunto que prometía más información sobre la catástrofe.

No era un servicio de noticias. Era el inicio de Storm Worm, el malware que transformó los botnets de herramientas de vandalismo en infraestructura criminal profesional.

Para entender por qué Storm fue un punto de inflexión, hay que mirar atrás. Entre 2004 y 2006, el malware había completado una transformación silenciosa. Los virus destructivos de la era anterior (CIH, ILOVEYOU, Slammer) buscaban fama o caos. La nueva generación buscaba dinero. Y el dinero estaba en controlar millones de máquinas ajenas.

De IRC bots a imperios de spam: la evolución de los botnets

Primera generación: IRC bots (1999-2003)

Los primeros botnets usaban IRC (Internet Relay Chat) como canal de comando y control. El operador creaba un canal privado en un servidor IRC, y cada máquina infectada se conectaba automáticamente a ese canal esperando instrucciones.

SDBot (2002) fue uno de los primeros botnets IRC ampliamente distribuidos. Su código fuente se filtró en foros underground, generando cientos de variantes. Agobot/Gaobot (2002-2003) añadió capacidades de propagación automática explotando vulnerabilidades de Windows.

El problema de los IRC bots era evidente: el servidor IRC era un punto único de fallo. Derribarlo desconectaba todo el botnet.

Segunda generación: HTTP bots (2004-2006)

Bagle y MyDoom (enero 2004) marcaron la transición. MyDoom se propagó por email a una velocidad sin precedentes, convirtiéndose en el gusano de email más rápido de la historia en ese momento. En su pico, MyDoom generaba el 25% de todo el tráfico de email mundial. Su propósito real era instalar una puerta trasera para un botnet HTTP.

Los botnets HTTP usaban servidores web como C2, más difíciles de distinguir del tráfico legítimo que las conexiones IRC. Rustock (2006) llevó esta técnica al extremo con rootkit a nivel de kernel que hacía invisible al bot incluso para herramientas de seguridad.

Pero HTTP seguía dependiendo de servidores centrales. Un takedown del servidor, una orden judicial contra el hosting provider, y el botnet caía.

Tercera generación: P2P (2007)

Storm Worm eliminó el punto único de fallo. No había servidor central que derribar.

Storm Worm: anatomía de una revolución

Storm Worm nunca explotó vulnerabilidades de software para propagarse. Su vector era exclusivamente la ingeniería social por email. Pero su sofisticación estaba en la adaptación constante de los señuelos.

Los asuntos de email cambiaban según la actualidad:

Periodo	Asunto del email	Evento real explotado
Enero 2007	"230 dead as storm batters Europe"	Tormenta Kyrill
Febrero 2007	"A killer at 11, he's free at 21"	Noticias sensacionalistas
Junio 2007	"You've received a greeting ecard"	Temporada de tarjetas electrónicas
Agosto 2007	"Is It Love? Or Is It Madness?"	Campañas de San Valentín (anticipadas)
Septiembre 2007	"NFL Game tracker"	Inicio temporada NFL
Diciembre 2007	"Merry Christmas!"	Navidades

Esta rotación constante de señuelos era manual y respondía a eventos del mundo real. El grupo detrás de Storm tenía operadores dedicados a crear campañas de email que maximizaran las tasas de clic.

Arquitectura P2P: Overnet/eDonkey

La innovación central de Storm fue su infraestructura de comando y control basada en el protocolo Overnet, una implementación de la red peer-to-peer eDonkey. En lugar de conectarse a un servidor, cada bot Storm se unía a una red P2P donde cualquier nodo podía distribuir comandos a sus vecinos.

Botnet IRC tradicional:              Storm Worm (P2P):

    [C2 Server]                     [Bot A]---[Bot B]
     /  |  \                          |  \   /  |
  [Bot][Bot][Bot]                  [Bot C]-[Bot D]
                                     |       |
  Si cae el server,               [Bot E]-[Bot F]
  muere el botnet.
                                   No hay servidor central.
                                   El botnet sobrevive a
                                   cualquier takedown parcial.

El protocolo funcionaba así:

Un bot recién infectado recibía una lista inicial de peers (nodos conocidos) embebida en el binario
Se conectaba a esos peers y descubría más nodos de la red
Periódicamente consultaba la red por nuevos comandos o actualizaciones
Los comandos se firmaban criptográficamente para que solo el operador legítimo pudiera emitirlos

Fast-flux DNS: infraestructura fantasma

Storm complementaba su arquitectura P2P con fast-flux DNS, una técnica que hacía prácticamente imposible rastrear los servidores reales de la operación.

En un DNS normal, un dominio apunta a una IP fija. En fast-flux, un dominio cambia de IP cada pocos minutos, rotando entre cientos o miles de máquinas infectadas que actúan como proxies. Cualquier máquina del botnet podía ser temporalmente un "servidor" del dominio, reenviando tráfico al verdadero backend oculto.

El resultado: si un investigador resolvía el dominio de Storm a las 10:00, obtenía una IP. A las 10:05, otra diferente. A las 10:10, otra. Todas eran máquinas de víctimas actuando como proxies involuntarios. El servidor real nunca estaba expuesto.

Resolución DNS normal:
  storm-update.example → 1.2.3.4 (siempre la misma IP)

Fast-flux DNS de Storm:
  storm-update.example → 10:00 → 85.34.22.1    (bot en Alemania)
  storm-update.example → 10:03 → 201.45.8.199  (bot en Brasil)
  storm-update.example → 10:05 → 119.72.33.44  (bot en Japón)
  storm-update.example → 10:08 → 77.91.14.202  (bot en Ucrania)

  TTL de 5 minutos. Cientos de IPs en rotación.
  Todas son víctimas, no servidores reales.

Polimorfismo automatizado: un binario nuevo cada 30 minutos

Storm cambiaba su binario cada 30 minutos aproximadamente. Cada variante usaba un empaquetador (packer) diferente o modificaba su estructura interna para que su hash fuera único. Los antivirus basados en firmas estáticas no podían seguir el ritmo.

En un día típico, Storm generaba más de 48 variantes únicas de su propio ejecutable. Los laboratorios antivirus recibían muestras, generaban firmas, las distribuían a sus clientes, y para cuando llegaban a los endpoints, Storm ya había rotado a una nueva variante.

Contramedidas anti-investigación

Storm incluía una defensa activa contra los investigadores de seguridad. Cuando detectaba que alguien intentaba analizar su tráfico de red o descargar muestras de forma automatizada (comportamiento típico de honeypots y crawlers de seguridad), respondía con un ataque DDoS contra la IP del investigador.

Esto era inédito. El malware anterior ignoraba a los investigadores o, como mucho, detectaba sandboxes y se negaba a ejecutarse. Storm atacaba activamente a quienes intentaban estudiarlo.

Joe Stewart de SecureWorks, uno de los principales investigadores de Storm, reportó que sus sistemas recibieron ataques DDoS cada vez que sus honeypots intentaban infiltrarse en la red P2P de Storm.

Mapeo MITRE ATT&CK de Storm Worm

Técnica	ID	Implementación en Storm
Application Layer Protocol	T1071	Protocolo Overnet/eDonkey para C2 sobre UDP
Encrypted Channel	T1573	Comunicaciones P2P cifradas, comandos firmados criptográficamente
Proxy	T1090	Fast-flux DNS con bots como proxies involuntarios
User Execution	T1204.001	Usuario hace clic en enlace del email de ingeniería social
Obfuscated Files	T1027.002	Packer polimórfico, nuevo binario cada ~30 minutos
Boot or Logon Autostart	T1547	Persistencia en registro de Windows para sobrevivir reinicios
Application Layer Protocol: DNS	T1071.004	Fast-flux DNS para rotación de infraestructura

La escala: ¿cuántas máquinas controlaba Storm?

Las estimaciones variaron enormemente y se convirtieron en un punto de debate en la comunidad de seguridad:

Fuente	Estimación	Método
MessageLabs (sept. 2007)	1-10 millones	Análisis de tráfico de email
SecureWorks (oct. 2007)	~250.000 activos	Infiltración parcial de la red P2P
Commtouch (2007)	2-5 millones	Volumen de spam atribuido a Storm
Prensa generalista	"50 millones"	Estimaciones infladas sin metodología

La discrepancia se explica por la naturaleza P2P del botnet. No existía un servidor central que mantuviera un registro de nodos conectados. Los investigadores solo podían estimar contando los nodos que descubrían al infiltrarse parcialmente en la red, lo cual era como estimar el tamaño de un iceberg viendo solo lo que asoma.

Lo que sí era medible era su producción. En su pico (septiembre-octubre de 2007), Storm era responsable de aproximadamente el 20% de todo el spam mundial.

La economía del cibercrimen en 2007

Storm no solo fue una innovación técnica. Fue la consolidación de un modelo de negocio.

Monetización: de vandalismo a beneficio

El botnet Storm se usaba para tres actividades principales:

1. Spam masivo. La función principal. Storm enviaba miles de millones de emails de spam diarios, promoviendo farmacias online fraudulentas (Canadian Pharmacy), esquemas pump-and-dump de acciones, y phishing bancario.

2. DDoS como servicio. Porciones del botnet se alquilaban a terceros para lanzar ataques de denegación de servicio contra objetivos específicos. Un DDoS-for-hire usando miles de bots era virtualmente imposible de mitigar con la tecnología de 2007.

3. Pay-per-install. Storm instalaba malware adicional de terceros en las máquinas infectadas, cobrando una tarifa por instalación. Un operador de otro botnet o un distribuidor de adware podía pagar para que Storm desplegara su software en miles de máquinas.

La Russian Business Network (RBN)

En el centro de esta economía estaba la Russian Business Network, un proveedor de hosting con sede en San Petersburgo que se convirtió en sinónimo de cibercrimen organizado.

La RBN ofrecía "bulletproof hosting": servidores que no respondían a denuncias de abuso, no cooperaban con fuerzas de seguridad, y garantizaban uptime para operaciones criminales. Phishing kits, servidores de malware, paneles de control de botnets, tiendas de datos robados. Todo encontraba alojamiento en la RBN.

Investigadores de VeriSign iDefense y Spamhaus documentaron conexiones entre la RBN y la infraestructura de Storm Worm. La RBN proporcionaba la capa de hosting que permitía a Storm operar sus fast-flux DNS proxies y sus servidores de distribución de binarios.

La RBN "desapareció" a finales de 2007, migrando sus operaciones a otros proveedores. No hubo arrestos. Sus operadores simplemente se redistribuyeron.

Money mules: el eslabón de cobro

Para convertir la actividad criminal en dinero real, la cadena requería "money mules" (mulas de dinero): personas reclutadas (a menudo sin saber que participaban en actividades ilegales) que recibían transferencias bancarias fraudulentas en sus cuentas personales y reenviaban el dinero mediante Western Union o similares, quedándose con un porcentaje.

Los anuncios de reclutamiento aparecían como ofertas de empleo legítimas: "trabajo desde casa, procesamiento de pagos internacionales, gane 2.000 USD/mes". El flujo era: phishing roba credenciales bancarias, se transfiere dinero a la cuenta del mule, el mule reenvía a una cuenta en Rusia o Ucrania. Cuando la víctima detecta el fraude, el dinero ya cruzó tres jurisdicciones.

Botnets notables del periodo 2004-2008

Storm no existía en un vacío. Formaba parte de un ecosistema de botnets que competían por máquinas y cuota de spam:

Botnet	Año	Tipo C2	Especialidad	Tamaño estimado
Bagle	2004	HTTP	Spam, proxy abierto	150.000-230.000
MyDoom	2004	HTTP	Email worm, DDoS	Millones (pico)
Srizbi	2007	HTTP	Spam (60B emails/día en pico)	315.000-450.000
Cutwail	2007	HTTP	Spam, distribución de malware	1.5-2 millones
Rustock	2006	HTTP+rootkit	Spam farmacéutico	150.000-300.000
Storm	2007	P2P	Spam, DDoS, PPI	1-10 millones
Kraken/Bobax	2008	HTTP	Spam	400.000-600.000

En 2007, estos botnets generaban colectivamente más del 80% de todo el spam mundial. La competencia entre ellos era real: Srizbi y Storm luchaban por cuota de mercado de spam, y ocasionalmente un botnet intentaba desinstalar el malware de un competidor de las máquinas infectadas.

Línea temporal: la era de los botnets modernos

Fecha	Evento	Significado
1999-2002	SDBot, Agobot, GT-Bot	Primera generación de IRC bots
Enero 2004	MyDoom	Gusano de email más rápido de la historia, instala backdoor HTTP
2004-2005	Bagle wars	Múltiples variantes de Bagle compiten entre sí
2006	Rustock aparece	Rootkit kernel-mode, prácticamente indetectable
Enero 2007	Storm Worm	Primer gran botnet P2P, fast-flux DNS, polimorfismo cada 30 min
2007	RBN documentada	Investigadores exponen el ecosistema de bulletproof hosting ruso
2007	Srizbi supera a Storm en volumen	Guerra de botnets por cuota de spam
2007	Cutwail se expande	Segundo botnet de spam más grande
Mediados 2008	Storm declina	Volumen de spam cae drásticamente
2008-2009	Waledac sucede a Storm	Mismo grupo, misma arquitectura P2P
Noviembre 2008	McColo desconectado	ISP de hosting de botnets desconectado: spam global cae 75% temporalmente
Noviembre 2008	Conficker aparece	Siguiente salto evolutivo: autopropagación + P2P + cifrado

El cambio de paradigma: de vandalismo a negocio

Storm Worm cristalizó un cambio que llevaba gestándose varios años. La tabla siguiente resume la transformación:

Dimensión	Era anterior (1999-2004)	Era Storm (2005-2008)
Motivación	Fama, curiosidad, vandalismo	Beneficio económico
Operadores	Individuos, script kiddies	Grupos organizados, división de trabajo
Infraestructura	Servidores IRC gratuitos	Bulletproof hosting, fast-flux, P2P
Persistencia	Básica (registro, startup)	Rootkits kernel-mode, anti-análisis
Evasión AV	Minimal o nula	Polimorfismo automatizado, packers custom
Modelo de negocio	Ninguno	Spam-as-a-service, DDoS-for-hire, PPI
Resiliencia	Baja (takedown del IRC server)	Alta (P2P sin punto único de fallo)
Anti-investigación	Pasiva (detectar sandbox)	Activa (DDoS contra investigadores)

Herramientas modernas para análisis de botnets P2P

El análisis de botnets P2P requiere técnicas diferentes a las de malware tradicional:

Wireshark + filtros de protocolo P2P: captura de tráfico para identificar el protocolo de comunicación (Overnet, Kademlia, custom UDP).

# Capturar tráfico UDP sospechoso de un bot en sandbox
tcpdump -i eth0 -w storm_capture.pcap 'udp and not port 53'

# Filtrar en Wireshark por protocolo eDonkey/Overnet
# Display filter: edonkey || overnet

Network simulation: herramientas como PeerSim o OverSim permiten simular redes P2P para entender la topología sin conectarse a la red real del botnet.

Sinkholing P2P: técnica avanzada donde los investigadores inyectan nodos controlados en la red P2P del botnet para monitorizar comandos y estimar el tamaño de la red.

Legado: lo que Storm enseñó al mundo

Storm Worm desapareció gradualmente durante 2008, pero sus innovaciones se convirtieron en el estándar de la industria del cibercrimen.

La descentralización funciona. Después de Storm, prácticamente todo botnet serio incorporó alguna forma de redundancia en su C2. Zeus usó DGA (Domain Generation Algorithms). Conficker combinó P2P con DGA. TrickBot usó múltiples capas de proxies. La lección de Storm fue clara: un servidor central es un punto de fallo.

El polimorfismo es obligatorio. La técnica de generar nuevos binarios con frecuencia se convirtió en estándar. Los frameworks modernos de C2 (Cobalt Strike, Brute Ratel) incluyen ofuscación automatizada como feature nativa.

El spam financia todo. Storm demostró que un botnet grande podía generar ingresos sostenibles enviando spam. Este modelo financió la siguiente generación de malware y eventualmente dio paso al ransomware como modelo de negocio dominante.

El cibercrimen es una industria. La combinación de Storm, la RBN, los money mules y el ecosistema de bulletproof hosting demostró que el cibercrimen ya no era cosa de individuos aislados. Era una cadena de valor con especialización, subcontratación y economías de escala.

La atribución es difícil. A día de hoy, no existe una atribución pública definitiva de quién operaba Storm Worm. Las conexiones con la RBN y actores en Rusia/Ucrania son circunstanciales. La arquitectura P2P y las técnicas de anonimización hicieron que la atribución forense fuera enormemente compleja.

Conexión con Conficker (próximo capítulo)

Storm Worm demostró el poder de la descentralización P2P. Pero seguía dependiendo de que un usuario hiciera clic en un email. El siguiente salto evolutivo fue un malware que no necesitaba intervención humana para propagarse, que incorporaba P2P y cifrado avanzado, y que creó el botnet más grande jamás visto.

En noviembre de 2008, apenas unos meses después de que Storm declinara, apareció Conficker. Explotaba una vulnerabilidad crítica de Windows (MS08-067), se propagaba automáticamente por redes corporativas, usaba un sistema de DGA que generaba 50.000 dominios diarios, y llegó a infectar entre 9 y 15 millones de máquinas en 190 países.

La era de los botnets modernos que Storm inauguró estaba lejos de terminar.

Fuentes y referencias

Stewart, J. "Storm Worm DDoS Attack." SecureWorks Counter Threat Unit Research, 2007.
Holz, T., Steiner, M., Dahl, F., Biersack, E., Freiling, F. "Measurements and Mitigation of Peer-to-Peer-based Botnets: A Case Study on Storm Worm." USENIX LEET, 2008.
Lemos, R. "Storm Worm Strikes Back at Security Researchers." SecurityFocus, 2007.
Nazario, J. "Politically Motivated Denial of Service Attacks." The Virtual Battlefield, NATO, 2009.
Symantec. "The Downadup Codex (Conficker Analysis)." Symantec Security Response, 2009.
Krebs, B. "Spam Nation: The Inside Story of Organized Cybercrime." Sourcebooks, 2014.
Stone-Gross, B., Cova, M., Cavallaro, L., et al. "Your Botnet is My Botnet: Analysis of a Botnet Takeover." ACM CCS, 2009.
MITRE ATT&CK T1071 - Application Layer Protocol
MITRE ATT&CK T1573 - Encrypted Channel
MITRE ATT&CK T1090 - Proxy

Técnicas MITRE ATT&CK referenciadas

T1071 T1573 T1090

Preguntas frecuentes

Libros recomendados

Spam Nation (Brian Krebs)

Amazon (enlace afiliado)

Kingpin: How One Hacker Took Over the Billion-Dollar Cybercrime Underground (Kevin Poulsen)