En el entorno cibernético actual, los programas malintencionados no son nada nuevo. Como hemos hablado anteriormente, la seguridad total no existe. Los usuarios saben que hay personas por ahí que compiten por ser los primeros en lograr el acceso a la información personal más vigilada y sacar beneficios económicos con ella. Y tarde o temprano alguno encuentra un error que explotar. Es una mera cuestión de tiempo.
Hay cosas que podemos hacer para ponerlo muy difícil, pero frecuentemente no las hacemos. De hecho, no seguimos unas pautas básicas de seguridad, como la obviedad de cambiar las contraseñas a menudo, no hacer clic a mensajes sospechosos o no descargar archivos de ningún tipo si no confiamos en la fuente.
Por otra aparte, no ayuda que el perfil del nuevo hacker ha cambiado bastante. En los últimos años, millones de virus aparecieron en la red y todos ellos nos afectaban de diferentes formas, pero los actuales tienen el problema de ser más fáciles de crear. Cualquiera con un mínimo de inquietud tiene acceso a programas que permiten crear virus, gusanos, troyanos o ransomware, propiciando un tipo de pirata informático que deja a un lado la necesidad de técnica y conocimientos, e incluso la ideología que tradicionalmente tenía el gremio, para centrarse en el lucro económico o la simple diversión del desafío. La técnica se simplifica y la creatividad es la clave. Es un reto descubrir la próxima vulnerabilidad, encontrar un hueco con un error; y es tan fácil intentarlo, que un adolescente aburrido puede hacerlo. Es cosa de estadística, más gente intentándolo es igual a más posibilidades de lograrlo.
Hoy, sin ánimo de hacerte entrar en pánico, te traemos una lista de los programas malintencionados más peligrosos que hemos visto en los últimos años, al menos por la cantidad de víctimas afectadas y la velocidad de propagación. Hay más, pero creemos que estos serán suficientes para refrescarte el miedo del cuerpo.
El gusano Morris
El gusano Morris fue el primer ejemplar de malware autorreplicable que afectó a Internet. A finales de la década de los años 80, cuando Internet apenas estaba despegando, un estudiante de informática llamado Robert Morris creó un programa que viajaba por la red y tomaba registro de los servidores por los que pasaba. Errores en su código provocaron que cada servidor terminara duplicando el gusano, lo que generó alto consumo de procesamiento y que los servidores se detuvieran. El ‘gusano de Morris’ paralizó la red por varios días, aproximadamente 6000 de los 60 000 servidores conectados a la red fueron infectados mientras limpiaban la infección.
ILoveYou o Loveletter
En mayo de 2000 infectó aproximadamente 50 millones de ordenadores en dos semanas y provocó pérdidas de más de 5.500 millones de dólares.
Funcionaba a través del correo electrónico. Millones de usuarios de Windows recibieron un mail con el asunto ‘ILOVEYOU’ y un archivo adjunto con el nombre "LOVE-LETTER-FOR-YOU.TXT.vbs". Al abrir el archivo adjunto, se disparaba un programa malicioso. Fueron afectadas organizaciones como la CIA, el Pentágono y el Parlamento Británico. Cinco días más tarde, se reconocían 18 mutaciones del virus. Al multiplicarse tan explosivamente, este gusano condujo a Internet al colapso.
Se sabe que los creadores fueron filipinos: Reonel Ramones, Irene de Guzmán, y el hermano de esta, Onel de Guzmán; pero se salvaron de multa o arresto porque en ese momento no había legislación sobre ciberseguridad en Filipinas.
Code Red
Se dirigía a los servidores que funcionaban con el software Microsoft IIS, y que no habían sido actualizados con un parche. Aunque el gusano fue reportado el 13 de julio, su mayor extensión se realizó el 19 de julio. En este día, el número de servidores infectados ascendió a cerca de 359.000.
Básicamente, se extendía aprovechando una vulnerabilidad conocida como ”buffer overflow”, en el archivo IDQ.DLL. Cuando el virus se descargaba en un ordenador vulnerable, examinaba la existencia del archivo C:NOTWORM o lo creaba. Para infectar, lo que hacía era usar una larga cadena de caracteres repetidos —creaba 100 threads (hilos de ejecución) simultáneos lo que puede provocar que el servidor se colapse y tenga que ser reiniciado— hasta conseguir que se desbordase el buffer, permitiendo al gusano ejecutar código propio e infectar a la máquina que había sido atacada.
La carga útil del gusano incluía un un aviso que decía: “HELLO! Welcome to http://www.worm.com! Hacked By Chinese! :)”; así que aunque no se ha podido determinar quién lo creó, obviamente se piensa que fue originado en China.
SQL Slammer
Este gusano tiene el mérito de haber ralentizado Internet; se cree que frenó el tráfico a través de toda la red a medida que se extendió a partir de las 05:30 GMT del 25 de enero de 2003. Y también hay que reconocerle el extenderse tremendamente rápido: infectó a la mayoría de sus 75.000 víctimas en diez minutos.
Era un programa de aproximadamente 376 bytes, apenas un pequeño trozo de código, que creaba direcciones maliciosas y dirigía a los usuarios a esos lugares. Generaba al azar direcciones IP y se enviaba a sí mismo a esas direcciones rociando Internet con más copias del programa de gusano. Aprovechaba un error de desbordamiento de buffer en los productos de motor de base de datos de Microsoft SQL Server y los productos Microsoft SQL Server Data Engine, por lo cual los PCs del hogar mayoritariamente no fueron vulnerables.
MyDoom
En enero de 2004 salió un gusano que hasta la fecha mantiene el récord del gusano de correo electrónico que más rápido que se propagó. Se difundió a través del correo electrónico de Windows y simulaba ser un mensaje de error. El correo contenía un archivo adjunto que, si se ejecutaba, reenviaba el gusano a todos los contactos de la víctima, tomando las direcciones de correo electrónico que se encuentran en archivos locales, tales como la libreta de direcciones del usuario.
Parece haber sido encargado por spammers para enviar correo basura a través de ordenadores infectados y, como contiene el mensaje "Andy, estoy haciendo mi trabajo, nada personal, lo siento", muchos piensan que el creador del gusano fue pagado. De hecho, muchas empresas de seguridad apuntaban a que fue programado en Rusia, pero la realidad es que se desconoce el autor real del gusano, su nacionalidad o su motivación.
Conficker
También conocido como Downup, Downandup y Kido, nació en octubre de 2008 y golpeó hasta 15 millones de servidores con el software de Microsoft. De hecho, había contagiado el 6% de las computadoras del mundo para marzo de 2009. Básicamente, explotaba una vulnerabilidad en el servicio Windows Server: se propagaba a sí mismo principalmente a través del desbordamiento de buffer; en los sistemas Windows 2000, Windows XP, Windows Vista, Windows Server 2003 y Windows Server 2008.
Cuando ha infectado un computador, Conficker desactiva varios servicios, como Windows Automatic Update, Windows Security Center, Windows Defender y Windows Error Reporting. Luego contacta con un servidor, donde recibe instrucciones posteriores sobre propagarse, recolectar información personal o descargar malware adicional.
Llegó hasta hospitales, Gobiernos, las Fuerzas Armadas y muchos negocios. Microsoft ofreció una recompensa de 250.000 dólares por cualquier información sobre el creador del gusano, pero hasta la fecha nadie ha sido identificado como su creador.
Ransomware
A diferencia de un virus, troyano o adware, que roban tus datos, ralentizan tu ordenador o lo inutilizan directamente; el ransomware tiene como propósito impedirte el acceso a tus archivos o a tu computadora. Secuestran la información.
Debido a WannaCry, podemos decir que la categoría en sí misma ya es una de las más famosas de toda la historia de los programas malintencionados, pero no debemos olvidar que hubo más antes de WannaCry. De hecho, el ransomware es bastante popular, principalmente porque cualquiera puede desarrollarlo, enviarlo a una lista de correo, infectar varios equipos y obtener un beneficio económico con el mínimo esfuerzo.
El primer ransom probablemente fue AIDS’, data de finales del 89, y se promovió principalmente por disquetes de 5,25 pulgadas. Permanecía inactivo durante 90 ciclos de arranque, entonces encriptaba todos los nombres de archivo en el sistema, mostrando un aviso y pidiendo 189 dólares que debían ser enviados a un apartado de correos en Panamá con el fin de recibir un programa de descifrado —el Museo del Malware de Internet Archive recoge algunas imágenes de AIDS—.
Entre este y WannaCry hay unos cuantos originales más, y cientos de réplicas, pero quizás los que más resuene en la memoria sean CryptoWall y Locky.
CryptoWall terminó estando entre los ransomwares más comunes. Tenía como objetivo los equipos que ejecutan Microsoft Windows y básicamente funcionaba como todos los ransom: cifraba; específicamente ciertas extensiones usando una clave RSA de 20148 bits. Se distribuye principalmente a través de campañas de spam, sitios web comprometidos, anuncios maliciosos u otros malwares. Los operadores de CryptoWall extorsionaron con éxito alrededor de 18 millones de dólares.
Locky también llega por correo, y se lanzó por primera vez en 2016. El adjunto del mail es un documento de Microsoft Word con macros que a la vista parece no tener sentido. Al abrir el documento y ejecutarse, la macro infecta tu equipo y borra cualquier copia de seguridad de los ficheros que haya hecho Windows y comienza a cifrarlos.
Una vez finaliza, abre el Block de notas con un fichero de texto llamado “_Locky_recover_instructions.txt” que contiene instrucciones para descargar el navegador Tor y visitar un sitio web que exige un pago para descifrar los archivos.
Por último, por supuesto, WannaCry ya merece estar en esta lista, pero seguro que ya has leído demasiado sobre él y no te voy a machacar con lo mismo. En cambio, te dejaré la cronología de los virus y gusanos informáticos que Internet ha vivido desde 1949 hasta el presente; para que si no tuviste bastante con los más grandes, busques por ti mismo la historia de algunos más.