lunes, 13 de abril de 2009

Ciberterrorismo: La evolución de un concepto violento en el mundo offline en un mundo Online

De acuerdo con DENNING (2000) el ciberterrorismo es la convergencia entre el terrorismo y el ciberespacio, una conjunción de fuerzas que utilizando las ventajas y capacidades del terrorismo físico, ahora basado en fallas y vulnerabilidades tecnológicas, logran intimidar o presionar a un estado y sus ciudadanos.

De otra parte NELSON, B., CHOI, R., IACOBUCCI, M., MITCHELL, M. y GAGNON, G. (1999) establecen que el ciberterrorismo esta asociado con las vulnerabilidades asociadas con las infraestructuras críticas de una nación: energía eléctrica, producción, almacenamiento y suministro de gas y petróleo, telecomunicaciones, bancos y finanzas, sistemas de suministro de agua, transporte, servicios de emergencia y operaciones gubernamentales, aquellos sistemas que hacen parte de la dinámica de la economía de una nación y el bienestar de los ciudadanos. Si bien las vulnerabilidades no son sinónimo de amenazas, dado que ellas son debilidades que se presentan en un sistema, las amenazas requieren de un actor con motivación, recursos y deseos de explotar la misma.

De igual forma GORDON, S. y FORD, R. (2003) comentan que las acciones ciberterroristas son actividades terroristas llevadas a cabo completamente (de manera preferente) en el mundo virtual. En este contexto, los investigadores mencionados establecen un modelo base para comprender el ciberterrorismo, como una extensión del terrorismo, para lo cual establecen siete elementos de análisis, a saber:

¿quién es el perpetrador?: un grupo o un individuo
el sitio donde se adelanta la acción;
la acción misma realizada;
la herramienta o estrategia utilizada: violencia, secuestro, bomba, etc.;
el objetivo de la acción: el gobierno, una organización particular;
la afiliación a la que pertenece el perpetrador
y finalmente la motivación.
Como se puede observar, no hay un consenso sobre lo que se debe entender por ciberterrorismo, sin embargo la definición sugerida por Pollit, mencionada en TAYLOR, R., CAETI, T., KALL LOPER, D., FRITSCH, E y LIEDERBACH, J. (2006, pág. 23) muestra una forma interesante de comprender el mismo, la cual conjuga los aspectos mencionados por los autores anteriores: “El ciberterrorismo es un ataque premeditado, políticamente o ideológicamente motivado o una amenaza de ataque contra la información, los sistemas de información, programas de computadores y datos que puede llevar una acción violenta contra objetivos civiles”.

Cuando entendemos el ciberterror como esa fuerza emergente que reconoce en las vulnerabilidades propias de los sistemas y en la tendencia convergente de la tecnologías de información, la manera de ocasionar el mayor daño, con el menor esfuerzo y el mayor impacto en las infraestructuras de misión crítica de una nación, sabemos que está en un margen de acción que escribe una nueva historia de los intrusos, que ahora no conocen límites para demostrar que han aprendido a explotar la ventajas de la tecnología para intimidar y desafiar a los estados en un mundo donde no existen fronteras y cuyo límite no está en las instituciones, sino en la imaginación del hombre.

En este sentido, el ciberterrorismo abarca cuatro (4) variables que deben ser parte del análisis de esta nueva amenaza, la cual se confunde con las fallas mismas de los sistemas de información y deja sin argumentos tanto a los profesionales de la seguridad, como a los analistas de inteligencia.

Las variables propias del ciberterrorismo son:

ataques a la infraestructura de tecnologías de información - TI,
ataques a la información,
utilización de las TI para labores de coordinación de los planes terroristas y
la promoción y difusión de sus consignas ideas, así como del entrenamiento de sus grupos de acción.
Al estudiar como mínimo estas cuatro variables y las relaciones entre ellas, podemos ver comportamientos emergentes que nos permitirán ver cómo las naciones, las organizaciones y los individuos deben cerrar sus filas para que el terror en línea no se convierta en esa amenaza invisible y predecible que todos advertimos pero no queremos enfrentar. Si esta tendencia actual persiste, estaremos allanando el camino para eventos de mayor magnitud, que permitirán al atacante demostrar que puede atemorizar a un estado, que ha faltado a su deber de protección de sus ciudadanos ahora en un mundo online.

CIBERCRIMEN Y CIBERTERRORISMO: DOS AMENAZAS EMERGENTES

Según el autor incrementar la velocidad con la cual la gente y los negocios pueden tener las cosas, facilita de manera rápida y eficiente los
métodos para cometer delitos o crímenes conocidos como fraudes o robos, ahora de una nueva forma.

Esta afirmación es interesante y refuerza una vez más que las inversiones en seguridad informática son inversamente proporcionales a los datos. Es decir, mientras más volátil es la tecnología, en cuanto a sus nuevas funcionalidades y rápida obsolescencia, más eficiente se vuelve el intruso para materializar sus acciones. El no conocer el desarrollo tecnológico y estar sometido a la curva de aprendizaje para dominarlo, son factores claves para avanzar en el reconocimiento de la inseguridad tanto en las aplicaciones como en los servicios que ofrecen las organizaciones a sus clientes. de la información.

Factor No.2 Si el software hace más fácil y rápida la materialización de los delitos informáticos, la cantidad de dinero que se podría ganar en un mes, ahora sólo toma unos segundos.
Rice comenta que ahora nos enfrentamos al segundo factor, un simple incentivo financiero: ganar más dinero con menos esfuerzo. Es decir, la magnitud de las ganancias ilícitas, se están incrementando; existen cantidades enormes de dinero en forma electrónica susceptibles de fallas y asaltos que aún estamos por descubrir. Esta reflexión es desafiante y exigente al tiempo, si ahora los intrusos “saben” que requieren menos tiempo para tener dinero, pues la tecnología es su aliada, la pregunta es ¿qué estamos haciendo nosotros para hacerles la vida más difícil?

Factor No.3 Otro factor que contribuye al explosivo crecimiento de los ataques es el volumen de vulnerabilidades reportadas en el software.
El autor afirma que estas vulnerabilidades ofrecen a los atacantes un sinfín de formas para explotar y vulnerar los sistemas de todos los tipos y sabores, desde aplicaciones corporativas como Oracle y PeopleSoft hasta computadores de uso en casa como Apple OS X y Windows. En este punto el autor dice que con este escenario, es difícil imaginar porqué no existen más personas involucradas con el cibercrimen. Si bien, este factor, no sólo requiere un reclamo a los proveedores del software y sus estrategias de aseguramiento de calidad de software, sino a nosotros los usuarios que “no reportamos” los eventos que puedan ser extraños o fuera del funcionamiento normal. Los atacantes se valen de nuestra “ignorancia” para avanzar y generar la incertidumbre requerida para que sus acciones pasen desapercibidas.

Factor No. 4 Las soluciones de seguridad para proteger el software de ciber ataques son sustancialmente más complejas de configurar correctamente o requieren una importante cuota de “cuidado y alimentación” para asegurar su eficiencia.
El autor sugiere que la configuración y afinamiento permanente de los mecanismos de seguridad, particularmente habla de los firewalls, exige una complejidad propia del mismo y conocimiento de las interacciones para mantenerlo funcionando adecuadamente. Esta afirmación de Rice, apunta precisamente al esfuerzo continuado que requiere la seguridad, a la constante evolución de las infraestructuras y a las maneras como los atacantes desafían las nuevas propuestas de seguridad y control. La inseguridad de la información es dinámica y parte de la labor es tratar de seguirle el rastro y porqué no enfrentarnos con ella para entenderla y desafiarla.


Factor No.5 El quinto factor es la falta de coordinación transnacional de los agentes gubernamentales para tratar el tema del delito informático.
Rice argumenta que a menos que dos naciones no compartan normas o acuerdos sobre control, persecución y judicialización de los temas de crímenes informáticos, los atacantes seguirán manteniendo su estatus de “intocables”, lo cual no envía un buen mensaje a los ciudadanos de los países. Esta connotación del autor, marca un punto importante en el tema de los ataques en Internet y las implicaciones jurídicas del asunto. Por un lado, los abogados y juristas deben avanzar en la era del Electronic Compliance ( GASSER y HAEUSERMANN 2007 ), lo cual implica comprender los riesgos derivados del cruce entre tecnologías, leyes y mercados, como una manera de profundizar en las normas y estrategias para comprender el delito informático y las relaciones entre el mundo offline (mundo real) y el mundo online (virtual) y, por otro, los técnicos y especialistas en seguridad informática (o sencillamente apasionados por el tema) deben avanzar no en la identificación de las vulnerabilidades y sus posibilidades, sino en la comprensión y entendimiento de la inseguridad como esa propiedad inherente a los objetos y que requiere una mente que “piense en el margen”, “sin restricciones” y de manera creativa.

Revisando lo expuesto por RICE y VERTON no es claro identificar hasta donde el ciberterrorismo se basa en el cibercrimen o viceversa, pues los intrusos ahora tienen un panorama mucho más amplio para conquistar y desarrollar. Si el intruso se concentra en atacar una nación y sus recursos computacionales propios de su funcionamiento, algunos expertos lo denominarían ciberterrorismo; mientras otros pueden sugerir acciones punibles en medios informáticos de alcance nacional que responden a tipos penales locales, lo cual implica la utilización de medios informáticos para vulnerar los derechos del estado y sus ciudadanos en la red.

Ante este aparente cruce de conceptos, se presenta este documento que busca abrir la discusión sobre el ciberterrorismo y el cibercrimen como una excusa académica para profundizar más en cada uno de estos temas y advertir posible efectos adversos sobre los individuos, organizaciones y naciones, como amenazas emergentes que deben ser estudiadas en profundidad de manera expedita, para disminuir la incertidumbre propia de los temas, la cual será capitalizada por los intrusos cuando sean procesados por uno u otro contexto.

Los engaños en Internet: De las cadenas, del correo no deseado, de la mensajería basura y otros demonios

La falta de prudencia, de sentido crítico y sobre manera, una sobre valoración de la información disponible en Internet, nos hace presa de las iniciativas de los intrusos en Internet. Esta situación, reiterada una y otra vez,

tanto en los jóvenes como en los adultos, presenta a Internet como una villa desprevenida y generosa en información y posibilidades, donde todos comparten y podemos caminar sin preocupaciones.

Sin embargo, la verdad es otra. Internet, es como cualquier ciudad del mundo; con calles especiales y llenas de lujos, así como con vecindarios intransitables con desconocidos a la vuelta de la esquina a la espera de los incautos que se han atrevido a cruzar los límites del barrio. No es descabellado pensar que existan aún sitios inexplorados en Internet, dada la versatilidad de la red y todos sus complejos sistemas de interconexiones que no alcanzamos a dimensionar. (WELLS, J. 2009, pág. xii)

En este contexto, los nuevos delincuentes informáticos, aquellos que aprovechándose de los sentimientos naturales de compasión, la inspiración filial propia del ser humano, el espíritu de superstición y magia que existe en cada persona, así como del desmesurado egoísmo por poseer, establecen estrategias para potenciar sus intenciones vinculando a más personas en su cruzada expansionista, que no es otra cosa que una forma de lucrarse, desestabilizar o invadir a un tercero con la excusa de una “causa buena”, “denuncia justa” o “logro de lotería”, que en la actualidad denominamos “cadenas”, “correo no deseado” o sencillamente “mensajería basura”.

El fenómeno de las cadenas, es una realidad basada en el “sentimiento” de las personas, en su convicción frente a la vida, que busca un sentido de común unión, loable y necesario en una comunidad, pero que mal orientado, es una forma devastadora que mina la confianza en los medios y servicios de Internet, lo que implica necesariamente un uso inadecuado que impacta tanto a los usuarios como a las tecnologías de información que los soportan.

A lo largo de este documento, revisaremos las implicaciones de las cadenas, desde las perspectivas psicológica, tecnológica y jurídica que nos permitan avanzar en el desarrollo de un criterio más acertado para dar respuesta a una amenaza latente provocada por los atacantes, que no es otra que comprometer la confianza y autorregulación de la red, con la falsa (pero creíble) necesidad de construir comunidad en un mundo interconectado y atento a los cambios propios de cada estado-nación.


--------------------------------------------------------------------------------

Aspectos psicológicos del engaño
Revisando lo que ocurre en el mundo real frente a los engaños de las personas podemos observar algunas características interesantes que nos servirán de excusa para nuestro análisis en un contexto digital.

Cuando una persona es engañada se vulnera la confianza de la otra persona. La confianza es ese valor que una persona da a otra, en la cual reconoce la confiabilidad de su interlocutor, la rectitud de sus acciones y la habilidad para ser consecuente entre sus pensamientos y acciones. En consecuencia, un engaño fisura la imagen del tercero y valía de quien engaña, destruyendo la relación filial existente, la cual queda expuesta y mancillada, mientras no exista un proceso de reconstrucción basado en la revisión misma de aquellos elementos que llevaron al artificio.

Cuando llevamos este tema al mundo de Internet, no existe una persona física que se impacte con nuestra censura, no hay un referente concreto que se afecte por nuestra inconformidad, lo que lleva a que no haya un impacto real y concreto en nuestro actuar, más allá de estar más prevenido ahora frente a lo ocurrido; prevención que perdura lo que conlleve revisar y resolver la dificultad que se presenta, claro si es viable.

Frente al engaño en Internet, las personas tienen un sentimiento de desesperanza, pues evidencian que por más que ellas se esmeren en denunciar o hacer sentir su voz de rechazo, no hay acciones efectivas que impacten a los posible infractores o estafadores, haciendo de su lucha, un clamor estéril que no es otra cosa que una voz más que se queja, dejando impotentes a otros como ellos y con una sensación de incapacidad que es aprovechada por el anonimato del delincuente en Internet.

Si bien esta situación psicológica de los internautas podría ser generalizada, es importante tomar acciones individuales para reconstruir nuestra perspectiva psicológica del engaño en Internet, manteniendo una actitud proactiva y preventiva que limite las acciones del intruso cuando intente vulnerar nuestra confianza personal o invocar nuestras conciencia colectiva en pro de un aparente beneficio. Dichas acciones no son otra cosa que mantener un deseo razonado, una anticipación responsable, que nos lleven a un juicio balanceado entre aquello que ocurre en la realidad frente a eso que se nos presenta a través de Internet y su servicios. (Adaptado de RISO, W. 2008, pág.87)

Los engaños frecuentes en Internet como las cadenas supersticiosas llenas de mensajes como:

“Ha llegado a tu vida el Tótem Electrónico Sagrado de la Prosperidad - TESP, un mítico mensaje que ha saltado del mundo físico al mundo virtual, consagrado en la edad media. Todo aquel que lo reciba estará lleno de bendiciones y realizaciones. Si intenta romper esta tradición milenaria, estará expuesto a las fuerzas oscuras que están destinadas para aquellos que no continúen esta cadena, mostrando el egoísmo de aquel que la rompe. Para que tu vida se llene de mayores logros y realizaciones, distribuye antes de la media noche cuidadosamente el mensaje adjunto, entre aquellos amigos cercanos de corazón noble y generoso, invocando el nombre de los maestros antiguos, con el mantra que sigue a continuación:

“Ven a mi vida prosperidad, ven a llenarme de tus dones y gracias. Haz de cada palabra y acción un canto a la esperanza y ayúdame a ser más con y por los otros, para que al encontrarme con la esencia misma de la Creación, pueda construir contigo, siendo la manos del arquitecto y la mente maestro.”

Recuerda que tienes hasta la media noche de hoy para que los poderes inherentes de esta invocación se materialicen en tu vida.”

Un análisis psicológico de este mensaje muestra algunos aspectos antropológicos del ser humano que son utilizados por los atacantes para intimidar la estabilidad emocional de aquellas personas desprevenidas y temerosas. Las palabras “tótem”, “prosperidad”, “consagrado”, “tradición milenaria”, “mantra” tienen una especial carga de valor que impregna la esfera de la persona que la lee; ve como es comprometido su espacio vital, su realidad externa, sólo por atender y leer estas frases. Recuerde, que NO existe relación directa entre dichas palabras y la realidad circundante, sólo es una forma para manejar sus expectativas sobre la vida, pues finalmente son tus acciones y realidades las que hacen que las cosas pasen y no un mensaje diseñado por un “curioso o delincuente” para lograr impactar sistemas de mensajería por gusto o con ánimo de lucro.


--------------------------------------------------------------------------------

Impactos tecnológicos de los engaños
Estamos expuestos a diario a una evolución de la criminalidad en medios tecnológicos, la cual nos advierte que los intrusos aprenden tan rápido como nuestros miedos y temores, evolucionan con el fenómeno tecnológico. Las tecnologías de información que soportan los servicios de utilizamos a la fecha como son entre otros el correo electrónico, la navegación vía Web, las redes sociales, los sistemas de conversaciones en línea, los mensajes instantáneos, registran cada uno de nuestros gustos, preferencias, sentires y deseos, cada vez que escribimos, navegamos, compartimos y enviamos comunicaciones a través de algunos de los medios previamente mencionados.

No obstante lo anterior, se nos olvida que compartir sin una convicción y sano análisis de la realidad, implica abrir la puerta a una exposición personal más allá de lo que estamos dispuestos a revelar, dejando abierta la ventana para que un tercero se aproveche sin condiciones de lo que sentimos o creemos. En este contexto, los atacantes saben que los jóvenes y algunos adultos, desconociendo lo que ocurre a lo largo de las conexiones de la red, son objetivos relativamente fáciles para convencer y vincular en sus propósitos afiliativos para materializar acciones en contra de terceros o de ellos mismos, convencidos del argumento que pueden construir, basados en la información que hemos expuesto en la red.

En este sentido, cuando una cadena se crea, o cuando una campaña de desprestigio se desarrolla o se arma un perfil en una red social, estamos asistiendo al mal uso de las tecnologías de información, lo que erosiona la estrategia para hacer de Internet una estrategia que desarrolle el comercio electrónico, la participación ciudadana incluyente y una herramienta para la conquista de la generación de valor con la investigación y el desarrollo.

Las tecnologías de información no son las únicas armas para luchar contra su mal uso, se hace necesario, educar de manera conciente a los usuarios de las mismas para fortalecer o crear buenos hábitos de higiene informática que erijan una barrera menos porosa para que el posible atacante le cueste más intentar vulnerar nuestra realidad digital o pierda interés en nuestros datos.

Al estar interconectados y compartiendo información todo el tiempo, la propagación de los engaños se vuelve exponencial y geométrica. Detenerla es prácticamente imposible, pues este sistema de conexiones virtuales replica y difunde la información, bien sea por acciones concretas de una persona o por registros y clasificación de los datos por máquinas de búsqueda que llevan un registro cercano de los cambios que sufren los sitios en Internet. Sólo basta mirar el proyecto Internet Achive, para ver la evolución de múltiples sitios en la red. http://www.archive.org

1993, VIRUS Y MÁQUINAS POLIMÓRFICAS

A principios de 1993,
XTREE anunció que iban a abandonar el negocio del software anti-virus. Era la primera gran compañía que renunciaba a la lucha. Casi al mismo tiempo, un nuevo grupo de creadores de virus hizo su aparición en Holanda: su nombre, 'Trident'. El principal creador de virus de este grupo, Masouf Khafir, elaboró una máquina polimórfica denominada, precisamente, 'Trident Polymorfic Engine', y lanzó un virus que la utilizaba llamado 'GIRAFE'. A esto, le siguieron varias nuevas versiones de TPE. Este virus es mucho más difícil de detectar que el MtE, y mucho más difícil de evitar sus falsas alarmas.

Khafir también lanzó el primer virus que trabajaba de acuerdo con un principio que ya fue enunciado por Fred Cohen. El virus 'Cruncher' era un código maligno de compresión que automáticamente se incluía en archivos para autoinstalarse en tantos equipos como fuera posible.

Mientras tanto, 'Nowhere Man' y el grupo 'Nuke' había estado, también, bastante ocupados. A principios de este mismo año, fue lanzado el 'Nuke Encryption Device (NED). Se trataba de otro mutador mucho más difícil de neutralizar que MtE. El virus consiguiente, 'Itshard', pronto siguió a la aparición de esta nueva máquina polimórfica.

También 'Dark Angel' quiso apuntarse a la moda del polimorfismo. Este creador de virus lanzó DAME ('Dark Angel's Multiple Encryptor Device (NED)'). Se trataba de otro mutador cuyo virus era 'Trigger'. Este código relanzó la versión 1.4 de TPE (de nuevo, era mucho más complejo y difícil de erradicar que en las versiones previas), y lanzó un virus llamado 'Bosnia' que lo utilizaba.

Un poco después de esta oleada de códigos polimórficos, Lucifer Messiah, de Anarkick Systems, había tomado la versión 1.4 de TPE y escrito un virus llamado 'POETCODE', utilizando una versión modificada de esta máquina (la 1.4b).

Pero el más famoso de los polimórficos que aparecieron a principios de 1993 fue 'Tremor', el cual ascendió rápidamente a las alturas de la fama cuando fue difundido a través de un show de la televisión alemana dedicado precisamente a las novedades del software. El archivo infectado fue PKUNZIP.EXE, que la mayoría de los recipientes usaban para descomprimir los archivos que recibía.


A mediados de 1993,
el grupo 'Trident' aumentó su preeminencia con la entrada de Dark Ray y John Tardy en el grupo. Tardy había lanzado un virus completamente polimórfico de 444 bytes, y todos los expertos estaban pendientes del grupo, en espera de nuevas y malignas creaciones, posiblemente de rango superior. Lo peor que tuvo lugar en este fatídico año fue la emergencia de un creciente número de paquetes de virus de autor y máquinas polimórficas, que hacían más fácil escribir virus que los escáneres encontraban difíciles de detectar.

También en este año, desaparecieron muchas importantes empresas desarrolladoras de software anti-virus, como Certus (uno de cuyos productos más representativos era Novi) ó Fifth Generation (creadores del producto 'Untouchable'). No obstante, también hubo algunas buenas noticias: la empresa S&S International recibió el galardón 'Queen's Award for Technological Achievement'. Este premio se otorgó por el lenguaje de descripción de virus VIRTRAN, que es la base fundamental de FindVirus y VirusGuard.


Los siguientes años,
Los siguientes años conocieron una superabundancia de virus escritos por medio de paquetes, lo cual causó enormes dificultades a los desarrolladores de software anti-virus. Se hizo, de repente, necesario mecanizar los procesos de análisis de códigos malignos. La solución fue la GDE ('Máquina de Desciframiento Genérico'), que descifraba el código de un archivo sospechoso, permitiendo así llegar a la conclusión de si se trataba o no de un virus. Esto eliminaba el peligro de las falsas alarmas, ya que una vez que un virus es descifrado, se facilita muchísimo el proceso de una identificación positiva del citado virus.

En abril del año 1994, la firma Central Point Software dejó de existir. Central Point llegó a ser uno de las principales empresas del mercado de los desarrolladores de soluciones anti-virus, con su producto CPAV. En este mismo año también aparecieron muchas máquinas polimórficas y nuevos virus, como 'SMEG', que fue lanzado por su autor como 'Smeg.Pathogen' y 'Smeg.Queeg'. Debido a que estos virus se difundieron inmediatamente después de su creación, supusieron una especie de curioso test que denotaba la capacidad de reacción de las empresas desarrolladoras de anti-virus.

El 26 de marzo de 1996, Chrisopher Pile, de 26 años, oriundo de Plymouth (en Inglaterra), fue condenado de acuerdo con la ley de Utilización Errónea de Equipos Informáticos en conexión con la aparición y posterior difusión de los virus 'Smeg'.

1992, UN AÑO MUY COMPLICADO

Enero de 1992
fue el año de la aparición de la 'Self Mutating Engine(MtE) de Dark Avenger. En principio, la comunidad mundial pensó que se trataba de un nuevo virus, de nombre 'Dedicated', pero después hizo aparición la MtE. MtE es un archivo OBJ, con el código fuente de un simple virus e instrucciones para enlazar el archivo OBJ a un virus, de tal manera que, al final, se podía obtener un virus polimórfico. Inmediatamente, los "cazadores" de virus se pusieron a la tarea de desarrollar detectores para la MtE. En un principio, se creyó que habría cientos y cientos de virus haciendo uso de MtE, ya que era muy fácil de usar y permitía a dichos virus ocultarse de forma extraordinaria. Pero los creadores de virus se dieron cuenta rápidamente de que un escáner que fuera capaz de detectar un MtE podía detectar todos.

A la MtE le siguió 'Commander Bomber', también de 'Dark Avenger'. Antes de 'Commander', uno podía prever fácilmente en qué archivo estaba oculto un virus. Muchos desarrolladores de productos aprovechaban esta facilidad para crear rápidamente herramientas anti-virus. Pero 'Commander Bomber' cambió esto, de tal manera que los escáneres se veían obligados a chequear todos los archivos, o bien localizar el virus mediante un seguimiento completo del código.

Otro virus importante que surgió durante este periodo fue 'Starship'. Se trata de un virus completamente polimórfico, que constaba de una serie de trucos anti-debbuging y anti-checksumming. Los programas de 'checksumming' sirven para detectar un virus en función de que posee código ejecutable que muta para replicarse. 'Starship' solamente infectaba los archivos cuando éstos eran copiados desde el disco duro al disquete. Por lo tanto, los archivos residentes en el disco duro no cambiaban nunca. Pero la copia del disquete estaba infectada, por lo que si este disquete se introducía en otro equipo y se chequeaba el sistema por medio del 'checksummer', éste lo aceptaba sin problemas. El virus 'Starship' se instalaba a sí mismo en el disco duro, pero sin hacer ningún cambio en el código ejecutable. Cambiaba los datos, eso sí, de partición, efectuando una nueva partición en el 'boot'. Esta nueva partición contenía el código del virus, que se ejecutaba antes de pasar el control a la partición 'boot' original.

Probablemente, el virus más importante durante 1992 fue el conocido 'Michelangelo'. Uno de los más conocidos vendedores de productos anti-virus norteamericano dio la alerta: cerca de cinco millones de PCs podían venirse abajo el 6 de marzo de este año. En muchas empresas cundió el pánico, cuando los medios de comunicación se hicieron eco de este asunto. Sin embargo, el 6 de marzo sólo tuvieron problemas entre 5.000 y 10.000 equipos informáticos, y naturalmente los vendedores de software tuvieron que moderar el ímpetu de sus avisos de alarma. Probablemente, nunca llegaremos a saber cuánta gente, en realidad, se vio afectada por 'Michelangelo', pero lo cierto es que en los días previos al 6 de marzo la mayoría de los usuarios llevaron a cabo exhaustivos exámenes de sus equipos en pos del virus. Después de esta fecha, muchos expertos en virus de todo el mundo vieron como sus opiniones, siempre tenidas en cuenta, eran objeto del más absoluto desprecio.


En Agosto
asistimos a la aparición de los primeros paquetes de virus de autor. Primero apareció el VCL ('Virus Creation Laboratory'), de 'Nowhere Man', y a continuación 'Dark Angel' generó el 'Phalcon/Skism Mass-Producer Code Generator'. Estos paquetes hicieron posible que cualquier persona pudiera hacer uso de un PC para escribir su virus personal. En el transcurso de un año, aparecieron, en consecuencia, docenas de nuevos virus en el mercado, todos ellos creados mediante el uso de estas herramientas.


A finales de 1992,
un nuevo grupo de creadores de virus, ARCV (Asociación de Virus Auténticamente Crueles) apareció en el Reino Unido, y al cabo de un par de meses, la Unidad de Crimen Computacional de Scotland Yard los localizó y arrestó, gracias a la inestimable ayuda de la comunidad de expertos en soluciones anti-virus. El efímero florecimiento de la ARCV duró sólo tres meses, durante los cuales crearon unas cuantas docenas de nuevos virus y reclutaron a algunos miembros para su causa particular.

Otro de los hechos destacables en este año tan movido fue la aparición de personas que se dedicaban a la venta de colecciones de virus. Para ser más precisos, se trataba realmente de colecciones de archivos, algunos de los cuales eran virus. En los Estados Unidos, John Buchanan ofreció su colección de unos cuantos miles de códigos al precio de 100 dólares por copia, y en Europa, la Unidad Clínica de Virus sacó a la venta varias colecciones por 25 dólares la copia.

1991, LANZAMIENTO DE PRODUCTOS Y POLIMORFISMO

En el año 1991,
el problema de los virus ya era lo suficientemente preocupante como para atraer a las grandes compañías de marketing. Symantec lanzó a principios de este año el producto Norton Anti Virus, y Central Point CPAV en abril. Pronto los siguieron Xtree, Fifth Generation y unos cuantos más. Muchas de estas compañías reutilizaron los programas de otras empresas (casi todas las israelíes, por ejemplo). Pero el gran problema de este año fue el llamado 'glut'. En diciembre de 1990, había alrededor de 100 ó 300 virus. En diciembre del siguiente año, 1000 (ya que en este año se escribieron gran cantidad de virus).

'Glut' quiere decir algo así como 'superabundancia', lo cual, referido al tema de proliferación de virus, causó la aparición de múltiples y desagradables nuevos problemas. Los programar tenían muchas limitaciones. En particular, era necesario el almacenamiento de gran cantidad de datos en memoria para proceder a un escaneo en busca de virus, y bajo DOS sólo había disponibles 640 Kb utilizables. Otro problema es que algunos escáneres eran demasiado lentos, en proporción al gran número de virus que debían detectar. Además, el análisis de virus requiere no sólo su detección real, sino su desinfección efectiva. Si cada día hubiera que proceder al análisis de un nuevo virus, solamente se podrían detectar, analizar y desinfectar unos 250 por año. Eso quiere decir que más virus significa también más trabajo para los desarrolladores.

Además, todos estos nuevos virus eran similares unos a otros, provocando errores de identificación, y por lo tanto una desinfección ineficaz. Muchos escáneres fallaban en la clasificación del virus en cuestión. La mayoría de los virus procedían de Europa del Este y Rusia, pero en Bulgaria se localizó otro importante foco de producción de códigos malignos. Enseguida muchos países se unieron a la nefasta carrera de producción de virus: Alemania con 'Gonorrea', Suecia con 'Demoralised Youth', Estados Unidos con 'Hellpit', Reino Unido con 'Dead on Arrival' y 'Semaj'. Algunos de estos virus jamás salieron del laboratorio, pero contribuyeron a extender la fama de estos códigos por todo el mundo, animando a los creadores de virus a ser cada vez más productivos. La rapidez de creación produjo el efecto de contribuir al plagio: cualquier creador de virus no tenía más que descargar código fuente y efectuar en él unos cuantos cambios.


1991 fue también el año de los virus polimórficos,
que tuvieron un gran impacto sobre los usuarios. En abril de 1991, 'Tequila' recorrió el mundo de parte a parte. Fue escrito en Suiza, y fue robado al autor por un amigo, que lo introdujo en los equipos informáticos de su padre. El padre era un vendedor de shareware, y así fue como 'Tequila' se difundió ampliamente.

Se trató del primer virus polimórfico difundido a escala mundial. En mayo, los nuevos motores de búsqueda lo detectaban, pero no fue hasta septiembre que se empezó a reducir su expansión. Si no se desinfectaba totalmente existía un riesgo de pérdida de un 1 por ciento de los archivos, y esto se incrementaba cada vez que se detectaba el virus pero no se desinfectaba de forma efectiva.


En septiembre de 1991,
el virus 'Maltese Amoeba' hizo de las suyas por toda Europa. Se trataba de otro virus polimórfico que provocó la aparición de una docena de variantes antes de fin de año, todas clasificadas como 'de difícil erradicación'. En este año se anunció la inmediata aparición de un virus que podía tomar nada más y nada menos que 4 billones de formas diferentes, pero esto sucedería ya para 1992, y no se trataba de un virus.

1990, EL TEMA SE COMPLICA

En el año 1990,
surgieron algunas novedades en el panorama de los virus. Mark Washburn había creado el primer virus polimórfico a partir del 'Viena'. Los virus polimórficos representaron un paso adelante en la evolución de los códigos malignos, al ser capaces de encriptar de forma diferente su código cada vez que cometían una nueva infección; por ello, era necesario desarrollar un algoritmo que pudiera aplicar tests lógicos al archivo, decidiendo de esta manera si los bytes eran malignos o no, para crear la herramienta anti-virus que bloqueara dichos códigos.

Aunque Washburn publicó el código de su virus, y se temió que muchos creadores de virus decidieran crear nuevos códigos a partir de aquel, la invasión de virus polimórficos no tuvo lugar en el mercado. Además, la mayoría de las empresas del sector (excepto Virus Bulletin, IBM y pocos más) tampoco fueron capaces de desarrollar herramientas anti-virus apropiadas, ya que no es tan fácil crear un algoritmo de desencriptación. No obstante, la idea del polimorfismo se ha utilizado profusamente después en la creación de 'criaturas víricas' más modernas.

Otra de las consecuencias de los virus polimórficos es el incremento de las falsas alarmas. Si un vendedor de software anti-virus consigue escribir el software apropiado para detectar algo con tantas posibilidades de mutación como 'Viena', existen muchas posibilidades de que en realidad lo que el escáner detecte sea una línea de código inofensivo. Y una falsa alarma puede ser más engorrosa para el usuario que un auténtico virus, ya que obliga a poner en funcionamiento absolutamente todos los mecanismos anti-virus de defensa.

También en 1990 asistimos a una oleada de virus procedentes de Bulgaria, especialmente de aquellos cuyo autor se identificaba con el alias 'Dark Avenger'. Los virus 'Dark Avenger' introdujeron dos conceptos nuevos: la infección rápida (el virus se instalaba en la memoria, y la simple apertura de un archivo provocaba una infección vertiginosa del disco duro) y el ataque remoto (algunos de estos virus sobreescribían código cada cierto tiempo, por lo que si el usuario no se daba cuenta y hacía 'backup' de los datos periódicamente, autoreplicaba sin querer todas las líneas de código maligno). Otros virus clásicos de parecida actuación durante este periodo fueron 'Number-of-the-Beast' y 'Nomenklatura'.

Sin embargo, 'Dark Avenger' era el más creativo en el proceso de distribución de sus virus.
Cargaba sus códigos malignos en BBS's, infectando los programas anti-virus shareware, y en sus ataques víricos incluía un archivo que cumplía la función de tranquilizar a todo aquel que comprobara el tamaño del archivo o realizara un 'checksumming'. Incluso se permitía el lujo de incluir su código fuente para que los legos pudieran aprender cómo se creaban virus.

En este mismo año tuvo lugar otro evento en Bulgaria: la aparición de la primera BBS de intercambio de virus. En ella la gente podía descargarse cualquier virus en el que estuviera interesado, si previamente había dejado algún código maligno propio para los usuarios de este sistema. Esto, claro está, favoreció tanto la creación de nuevos virus como la difusión masiva de muchos de ellos.


En la segunda mitad de 1990,
hizo su aparición 'The Whale'. Se trataba de un código muy largo y complejo, que denegaba el servicio al sistema cuando éste se intentaba poner en marcha. Realmente, se trataba más bien de un ejercicio de complejidad y ofuscación, un auténtico puzzle para el cazador de virus. En la práctica, este virus se podía rastrear perfectamente con la mayoría de las herramientas disponibles en aquel momento, por lo que su fama se debe más a su complejidad que a sus efectos devastadores.

A finales de este año, los fabricantes de anti-virus se dieron cuenta de que estaban mucho más
organizados, casi hasta alcanzar el nivel que tenían los mismos creadores de virus. Así, decidieron agruparse en el EICAR ('European Institute for Computer Anti-virus Research') en Hamburgo, en diciembre de 1990. Esta iniciativa supuso la constitución de un foro muy activo sobre la amenaza de los virus, en el cual participaban vendedores de software, cazadores de virus y expertos, con el objeto de intercambiar ideas (y 'especímenes'), así como animar a las autoridades para la llevar a cabo auténticas estrategias de defensa contra la incidencia de ataques víricos. Cuando esta organización fue fundada, se habían catalogado alrededor de 150 virus, y la 'factoría búlgara' estaba en auténtica ebullición.


1989, EL AÑO DE LA AVALANCHA

1989,

será siempre recordado como el año en el que las cosas se pusieron difíciles. El virus 'Fu Manchú' (una modificación del 'Jerusalem') fue difundido por alguien anónimo en el Reino Unido, junto con el '405'. Por otra parte, los búlgaros y los rusos empezaron a interesarse por el tema. En marzo de este año, un pequeño incidente fue el aviso de la gran avalancha que se avecinaba: en Holanda, un tal Fred Vogel contactó con Alan Solomom, para contarle que había encontrado un virus nuevo en su disco duro, llamado 'Datacrime', y que estaba preocupado porque al parecer, su fecha de activación estaba prevista para el día 13 del mes siguiente.

Cuando el virus fue analizado, sin embargo, se llegó a la conclusión de que, cualquier día después del 12 de octubre de 1989, podría formatear a bajo nivel el cilindro cero del disco duro, lo cual en la mayoría de los discos, borraría la FAT, dejando al usuario sin su información. También se desplegaba un mensaje con el nombre del virus, 'Datacrime'.

Se redactó un informe sobre los efectos de este virus, que se publicó en una revista, y otros medios de comunicación se hicieron eco del caso, llegando en Junio a la errónea conclusión de que este virus se activaría cada 12 de octubre, cuando en realidad podría activarse cualquier día entre el 12/10 y el 31/12 y era capaz de borrar toda la información contenida en el disco duro.

En Norteamérica, la prensa empezó a llamarle 'El virus del Descubrimiento', y se corrió la voz de que había sido escrito por terroristas noruegos, hartos de que se otorgara la autoría del Descubrimiento de América a Colón, en vez de a Erik el Rojo.


Mientras,
en Holanda,

la policía empezó a distribuir un detector del virus 'Datacrime', vendiéndolo a un dólar en todas las comisarías de policía. Se vendió muy bien, pero daba una serie de falsas alarmas, por lo que enseguida fue sustituido por una segunda versión. Esto provocó mucha confusión en la opinión pública, porque realmente nadie era capaz de saber si tenía o no el virus. En el mes de julio, debido al mayor índice de concienciación ciudadana, un gran número de compañías holandesas solicitaron información a IBM sobre si los virus eran realmente un problema serio. Existían muchas posibilidades de que una empresa pudiera infectarse de 'Datacrime', 'Jerusalem', 'Cascade' o 'Stoned'. IBM contaba con un programa software de detección y eliminación de virus para su uso interno, que si no ofrecían inmediatamente a sus clientes, podía representar un menoscabo en su reputación. Los técnicos sabían que en cualquier momento podría producirse una infección masiva de cualquiera de estos virus, en especial de 'Datacrime'. En septiembre de 1989, IBM lanzó su versión 1.0 de este escáner, junto con una carta en la que explicaba a sus clientes lo que era y para qué servía. Las empresas usaron el software, y se encontraron con que no estaban infectados por 'Datacrime', pero sí por multitud de versiones de los virus vigentes en ese momento.


El 13 de octubre de ese año fue viernes,
y por tanto fecha posible de activación de dos de los virus más conocidos en aquel momento: 'Jerusalem' y 'Datacrime'. En los Estados Unidos, los avisos de alerta sobre la actividad de 'Datacrime' habían sido excesivos, dado el carácter prácticamente inocuo del citado código, pero no se registró ninguna infección. En Europa, sólo afectó a unos pocos usuarios. El Instituto Nacional de Ciegos (RNIB) anunció que había sido infectado, y que había perdido gran cantidad de datos de sus cuentas y muchos meses de trabajo. Pero se trataba de una infección de baja intensidad de 'Jerusalem', que había borrado unos cuantos archivos fácilmente reemplazables. Cuatro PC's fueron infectados, pero este hecho pasó a la historia de los virus como "el Gran Desastre del RNIB".

Este año tan agitado terminó con la distribución de 20.000 copias de un famoso código malicioso, el Aids Information Disquette, que fueron enviadas por correo a usuarios que figuraban en bases de datos de diversos organismos, por ejemplo el PC Business World. Este documento contenía instrucciones de instalación detalladas que originaban la creación de archivos y directorios ocultos, editando el contenido de AUTOEXEC.BAT, de modo que uno de estos archivos estaba presente en cada motor de arranque. El 'troyano' que contenía encriptaba todos los archivos del disco duro, otorgándoles los atributos alojados en él.


La consecuencia más destacada
de este incidente es que consiguió otorgar mayor popularidad a los virus, aunque el código malicioso protagonista del hecho en realidad era un troyano. Además, un sorprendente número de personas instalaron el software, de tal manera que PC Business World tuvo que desarrollar un programa para solucionar los desaguisados que provocó la distribución de este 'troyano'.

1988, EMPIEZA EL BAILE

Este año será recordado siempre entre los expertos en seguridad informática como "el año en el que empezó el baile". De hecho, fue el año en el que comenzaron a aparecer los fabricantes de anti-virus, creando una moda de lo que en principio sólo era un problema potencial. Los vendedores de software anti-virus eran pequeñas compañías, que ofrecían sus productos a muy bajo precio, en algunos casos gratuitamente. Fue en este año cuando la compañía IBM se dio cuenta de que tenía que tomarse el asunto de los virus completamente en serio. Esta conclusión no la tomaron debido a la incidencia del popular 'gusano del árbol de Navidad', de amplia difusión, sino porque IBM sufrió un brote del virus 'Cascade', y se encontró en la embarazosa necesidad de tener que comunicar a sus clientes que ellos también habían sido infectados. Desde este momento, el 'High Integrity Laboratory' de IBM fue el encargado del área virus.

En 1988 aparecieron, desde luego, múltiples rebotes de 'Brain', 'Italian', 'Stoned', 'Cascade' y 'Jerusalem'. Esto representó la prueba definitiva de la existencia real de los virus. Peter Norton, en una entrevista, había comentado que eran una leyenda urbana, como los cocodrilos de las alcantarillas de Nueva York, y un experto informático del Reino Unido llegó a proclamar que tenía la prueba de que los virus eran un producto de la imaginación de mentes calenturientas...

En aquel momento, cada nueva aparición de virus provocaba la aplicación de un análisis paso-a-paso.
El software existente era utilizado para detectar virus de sector de arranque, y solamente fue escrito un programa anti-virus, de manera excepcional, para afrontar los rebrotes de 'Cascade' y 'Jerusalem'.


Entonces, apareció
el virus
'Virus-B'.
No se alojaba en memoria residente, y resultó ser una modificación de aquel que borraba los archivos todos los viernes y 13. Cuando 'Virus-B' se ponía en funcionamiento, desplegaba el siguiente mensaje: "Warning! This program is infected with Virus-B!
It will infect every .COM file in the current sub directory!". Un virus que se manifiesta de una manera tan obvia, obviamente no puede ser tan pernicioso: evidentemente, se trata de la demostración de la forma de actuación de un virus, de ahí el mensaje.


A finales de 1988,
se dieron varios sucesos importantes. En primer lugar, se produjo la aparatosa intrusión del virus 'Jerusalem' en una importante institución financiera, que durante varios días se vio en la necesidad de 'limpiar' a conciencia sus bases de datos. Por otro lado, la compañía S&S impartió el primer 'Seminario sobre Virus', en el cual se explicó pormenorizadamente lo que era un virus y de qué forma actuaba. Por último, en enero del año siguiente rebrotó otra vez 'Jerusalem', como todos los viernes y 13, y se difundió ampliamente en diversas empresas e instituciones... Estaba clara la necesidad de una herramienta que permitiera limpiar masivamente los sistemas de cualquier virus en activo. El doctor Alan Solomon, consciente de esta necesidad, desarrolló un anti-virus, le añadió algunas herramientas que, según su experiencia, podían ser útiles, y creó de esta forma la primera herramienta anti-virus, 'Dr. Solomon's Anti-Virus Toolkit'.

A finales de 1988, 'Jerusalem' se había difundido de forma espectacular por España y Reino Unido.
Debido al comportamiento destructivo de este virus, los expertos llegaron a la conclusión de que era necesario habilitar algún tipo de alarma para alertar a los usuarios. Pero los medios de comunicación también entraron en el juego: la posibilidad de predecir la aparición de un virus cautivó su imaginación, y de esta forma la actividad de los virus informáticos traspasó las fronteras de las universidades y empresas de informática y llegó al usuario habitual de PCs.

LOS ORIGENES DE LOS VIRUS INFORMÁTICOS

La aparición de los primeros virus informáticos se remonta a 1986

En este año, Basit y Amjad se percataron de que el sector boot de un disquete contenía código ejecutable, y que este código corría siempre que se reiniciaba el PC con un disquete en A:. También se dieron cuenta de que podía reemplazar código con su propio programa, pudiendo ser éste un programa en la memoria residente, y que podía instalar una copia de sí mismo en cada disquete, accesible desde cualquier dispositivo. Como el programa se copiaba a sí mismo, le dieron el nombre de 'virus', por su semejanza con los virus biológicos. Este proyecto de virus solamente infectó 360Kb de disquetes.

También en 1986, un programador llamado Ralf Burger vio que un archivo podía hacer una copia de sí mismo por el método simple de atacharla en otros archivos. Entonces desarrolló una demostración de este efecto, que llamó 'Virdem'. Lo distribuyó en la 'Chaos Computer Conference' de diciembre de ese año, en la cual el tema principal eran precisamente los virus. La demostración tuvo tanto éxito que Burger escribió un libro sobre el tema, en el que no se mencionaba aún a los virus del sector de arranque.


Fehler beim Aufruf ,
Al año siguiente,

la Universidad de Delaware se dio cuenta de que tenía un virus cuando empezaron a ver una extraña y sospechosa 'etiqueta' que aparecía en los disquetes. Y eso es todo lo que este pequeño virus hacía (autoreplicarse y colocar una 'etiqueta'). La alerta la dio una empleada de soporte técnico de la misma Universidad, que advirtió de que estaba encontrando la 'etiqueta' en muchos de los disquetes.

Este mismo año, Franz Swoboda tuvo noticia de un virus incluido en un programa llamado 'Charlie'. Por ello, le llamó el 'Virus Charlie'. Hubo mucho revuelo en la opinión pública acerca de este virus, al difundirse las dos versiones de una misma historia: Burger afirmó que había obtenido una copia del virus de manos de Swoboda, pero Swoboda lo negó siempre. En cualquier caso, Burger se hizo con esa copia que envió a Bernt Fix, el cual 'desarmó' el virus, y Burger incluyó en su libro la demostración del análisis, después de añadirle varios parches para variar su comportamiento. El comportamiento normal de 'Vienna' (o 'Charlie', como lo llamaba Swoboda) era colocar un archivo entre otros ocho para reiniciar el PC (el virus 'parchea' los primeros cinco bytes de código); Burger (o quizá Fix) reemplazaron este código con cinco espacios. El El efecto fue que los archivos 'parcheados' colgaban el PC, en vez de reiniciarlo. No era una mejora muy satisfactoria.

Mientras tanto, en los Estados Unidos Fred Cohen acababa de completar su tesis doctoral, que versaba precisamente sobre los virus informáticos. El doctor Cohen demostró que uno no puede escribir un programa que sea capaz de, con un cien por cien de aciertos, visualizar un archivo y decidir si es o no un virus. Desde luego, nadie pensó jamás en esa posibilidad, pero Cohen hizo buen uso de un teorema matemático, y así fue como se ganó el doctorado. Sus experimentos sobre la difusión de virus en los sistemas informáticos demostraron que la expansión de las infecciones resultaba ser mucho más rápida de lo que nadie hubiera esperado.


En 1987,

Cohen visitó la Universidad Lehigh, y allí se encontró con Ken van Wyk. De este encuentro surgió el virus 'Lehigh', que nunca abandonó el laboratorio, porque sólo podía infectar COMMAND.COM y dañar increíblemente su host después de tan sólo cuatro replicaciones. Una de las reglas básicas sobre los virus es que aquel de ellos que dañe de forma muy rápida su host, no sobrevive durante mucho tiempo. De todas formas, el virus Lehigh se hizo muy popular, y fomentó la aparición del grupo de noticias sobre virus de Ken van Wyk en Usenet.