Aquí también estamos

Glosario actualizado el

Historias de virus: ILoveYou

Durante la mañana del 4 de mayo del 2000, empezaba a saltar la alarma. Un virus se reproducía con gran rapidez entre los servidores de las empresas causando colapsos en los servicios SMTP de un gran número de corporaciones, aparecía así el gusano ILoveYou.
La forma de actuación del virus recordaba en gran medida a Melissa, aunque las primeras informaciones que llegaban decían que este nuevo gusano era mucho más peligroso que su famoso predecesor.
Desde la aparición, en 1988, de un desarrollo creado por Robert Morris Jr que colapsó ARPANET (predecesora de la actual Internet), ningún otro gusano informático había causado tantos daños a la infraestructura de Internet. A pesar de tratarse de un simple virus en Visual Basic Script, su elevada capacidad de reproducción y una buena dosis de ingeniería social hicieron posible que VBS/LoveLetter se pasease por un gran número de ordenadores de todo el mundo.
Este gusano, de nombre técnico VBS.LoveLetter, era realmente un espécimen bastante sencillo, cuyo mayor éxito era el perfecto uso de la ingeniería social para lograr la ejecución del programa por parte del usuario desprevenido. El gusano estaba escrito en Visual Basic Script (VBS) y logró infectar miles de ordenadores de todo el mundo a través del correo electrónico y el IRC.

Un adjunto tentador

ILoveYou se reprodujo rápidamente; a primeras horas del día ya había un gran número de afectados. A pesar de lo sencillo del código y de lo fácil que resultaba entender su actuación y ofrecer soluciones, muchos antivirus tardaron en ofrecer una solución efectiva, lo cual contribuyó a aumentar la confusión de los usuarios. Y todo por culpa de un mensaje de correo con el asunto «ILOVEYOU», el fichero adjunto «love-letter-for-you.txt.vbs» y el texto que decía: «kindly check the attached LOVELETTER coming from me» (abre con cariño mi CARTA DE AMOR adjunta). Sin duda alguna, éste es el mayor mérito del gusano; propició su difusión, mucho mayor que la de otros similares con una elección menos atractiva para los usuarios.

El Watchdog Anti-Malware es un escáner de malware multimotor de segunda opinión basado en la nube y diseñado para proteger su computadora del malware que su antivirus principal no detecta.
Es fácil de usar con solo apuntar y hacer clic.

El gusano propiamente dicho consistía en el archivo «love-letter-for-you.txt.vbs», un ejecutable Visual Basic Script (VBS). Sin embargo, la extensión VBS (propia de los ejecutables Visual Basic Script) podía permanecer oculta en las configuraciones por defecto de Windows, lo que llevaba a pensar que se trataba de un inocente archivo de texto. Por tanto, el usuario no avisado, ilusionado ante una carta de amor, ejecutaba el archivo y la infección ya se había producido. Asimismo, los usuarios de IRC también podían verse afectados, ya que el gusano también se propagaba a través del cliente mIRC enviando vía DCC el fichero «loveletter- for-you.htm».

Interpretación del código

Resultaba sorprendente el revuelo que había armado un virus tan sencillo como éste. Cualquier programador se habría sorprendido al saber cómo estaba realizado, pues se trataba de un simple script. El código era interpretado; ni siquiera llegaba a nosotros un programa compilado, sólo había que abrir el archivo adjunto con el editor de notas para ver el código y lo que hace.
Al tratarse de Visual Basic Script (VBS), el virus se hacia más sencillo aún. Ninguna complicación técnica, un simple script en VBS de menos de 275 líneas. No era necesario tener grandes conocimientos para observar sus acciones. De hecho, cualquier técnico informático de una empresa afectada debería haber sido capaz de poner los medios suficientes para detener su propagación sin recurrir a ninguna ayuda externa. Bastaba con abrir el archivo e interpretar el código.

En busca de su autor

La repercusión de LoveLetter provocó que en todo el mundo se empezara a buscar a su autor. En principio las pistas eran pocas, pero la cabecera ya daba algunos indicios sobre dónde iniciar la búsqueda.
Según las primeras líneas de código, el gusano procedía de Manila, Filipinas, y el autor se apodaba «spyder». Aunque no tiene por qué significar nada, fue el punto de partida para que los investigadores comenzaran su trabajo y, días después, lograran atrapar al programador del virus.
Las dos primeras líneas del virus eran las siguientes:
rem barok -loveletter(vbe) <i hate go to school>
rem by: spyder / ispyder@mail.com / @GRAMMERSoft Group / Manila,Philippines

Por ello, todas las miradas apuntaron hacia Manila. Durante algunos días, las fuentes eran muy poco precisas, incluso se llegó a acusar a varios individuos antes de lograr detener al auténtico creador: Onel de Guzmán, un joven filipino de 24 años. Su nacionalidad y la ausencia de legislación en el país oriental sobre este tipo de delitos hacían muy difícil que Onel fuera a la cárcel.
Según se pudo saber, el virus formaba parte de una tesis de uno de los alumnos más aventajados de la Facultad de Informática del colegio universitario AMA, en la capital de Filipinas. El texto de la tesis representaba todo un tutorial sobre cómo acceder a códigos secretos, introducirse en ordenadores ajenos, robo de información electrónica, etc. Curiosamente el trabajo que presentó Onel fue rechazado por los profesores y le suspendieron. Según los investigadores que lo acusaron, éste activó el virus y lo propagó por toda la Red como venganza al suspenso.

Su fuerte, la ingeniería social

Su código era tan simple que puede llegar a interpretarse directamente y sin ningún esfuerzo abriendo el archivo con el Bloc de Notas. Sin duda no ha hecho historia técnicamente, ya que no aportaba nada nuevo, todo se basaba en métodos ya utilizados por otros virus anteriormente. Sin embargo, sí marcó un hito importante por la alta dosis de ingeniería social empleada. ¿Quién se resiste a abrir un mensaje de el/la compañero/a de trabajo titulado como I Love You? Esto sin duda fue lo que provocó que en una mañana todo el mundo desde Estados Unidos hasta Europa estuviera contagiado, sin dar apenas tiempo de reacción a las firmas antivirus.

Activación y curación del gusano

Lo primero que hacía la muestra era copiarse a sí misma con diferentes nombres en distintos directorios del sistema. Creaba el archivo MSKernel32.vbs en el directorio system de Windows, Win32DLL.vbs en el directorio de Windows y «love-letter-foryou.txt.vbs» en el directorio System de Windows. Para asegurarse de que cada vez que se iniciara el ordenador el virus entrara en acción, se empleaba el registro. Así, había que borrar ciertas claves del registro para evitar que el virus se ejecutara de forma automática nada más iniciar el sistema. De la misma forma, también era necesario borrar los archivos: WIN32DLL.VBS, MSKERNEL32. VBS y LOVE-LETTER-FOR-YOU.VBS. Con estos sencillos pasos ya se había conseguido eliminar el gusano del sistema. No había que trabajar demasiado para entender cómo funcionaba, lo que hacía y cómo eliminarlo. De ahí que resultaba inexplicable el revuelo organizado por esta sencilla pieza de código. Desde luego, LoveLetter realizaba más acciones, pero todo se reducía a esto.

Consecuencias de ILoveYou

ILoveYou, al igual que Melissa, producía un efecto colateral en la estructura de la Red. Aparte de los problemas que causaba en la máquina infectada, como la eliminación de determinados archivos, todo Internet se veía afectado por los millones de emails que, de forma extraordinaria, empezaban a sobrecargar los servidores de correo, hasta tal punto que los propios administradores debieron bloquearlos para evitar un daño aún más grande. Esta desconexión y bloqueo es lo que originaba el mayor perjuicio. En estos casos, el problema se extendía ya no sólo a los afectados por el virus, sino que la desconexión de servidores hacía que pueda llegar a resultar una labor compleja el enviar un simple correo. Con todo, aún se tenía que dar «gracias» porque el gusano no contemplara ninguna acción dañina, como por ejemplo borrar los ficheros de los sistemas por donde pasaba.
En conclusión, sea como fuere, lo que más dio que hablar de LoveLetter fue su rápida propagación, que colapsó los servidores de correo de muchas empresas en poco tiempo. Por ejemplo, a raíz de LoveLetter, Microsoft se vio obligada a presentar una actualización de seguridad para los productos de la familia Outlook con el fin de elevar su nivel. Estaba disponible para Outlook 98 y 2000 y se encontraba principalmente dirigida a entornos corporativos.

Sus variantes

LoveLetter no sólo representaba un peligro por sí mismo: otro problema añadido venía de las variantes del virus. Unas simples modificaciones en el código podían hacer que el gusano se presentara bajo otros nombres y pasar por alto los motores antivirus actualizados para el original. Por ello, no tardaron en aparecer variantes y a los pocos días ya se contaban 30 de ellas, aunque desde luego un número bastante alejado de las 500 diferentes que se aventuraron a pronosticar algunos fabricantes de antivirus. Sin embargo, su mayor mérito era la ingeniería social y sólo una de las variantes consiguió provocar que los usuarios abrieran el archivo adjunto.
De todas ellas, la que más incidencias pudo llegar a tener era la catalogada como VBS.LoveLetter.E o también conocida como Mother’s Day. Esta muestra hacía creer que se había realizado un cargo de 326,92 dólares por la compra de un diamante como regalo del día de la madre; se incitaba a abrir el archivo adjunto para obtener información de cómo evitar dicho cargo. Lógicamente, asustados ante un posible cargo en la tarjeta de crédito fueron muchos los que abrieron el archivo y se vieron infectados.

Ver también

En el glosario: AntivirusCódigoCódigo fuenteCorreo electrónicoDCCGusanoIngeniería socialRegistroVBSVirus.

Más contenido

Apartados: ¿Cómo optimizar y aumentar la velocidad de Internet?¿Cómo surge una idea?¿Existe la seguridad absoluta?Consejos en la ergonomía informáticaConsejos para aprender a programarEl auge de las redes socialesEn la búsqueda de archivos torrentsEntrevista laboral: cualquier cosa te llamamosEstrategias para crear un sitio web profesionalHerramientas de respaldo y recuperación de archivosPython, el lenguaje a aprenderUna cursada diferente


Virus/gusanos: El origen de los virusCIHHappy99HybrisLife StagesMelissaTimofónicaZippedFilesInfecciones vía correo electrónicoDistintas vías de infecciónVirus informáticos con historia


Historias: Acerca de paquetes ofimáticosEl CDEl MP3Evolución de la informáticaAppleGoogleLa evolución de los Disc JockeysLinux La lógicaMicrosoftNavegadores de InternetOrigen y evolución de InternetRedes neuronales artificialesSurgimiento de la criptografíaTarjetas gráficas


Videojuegos/consolas: Evolución de las consolasEvolución de los videojuegosInventores de videojuegosJugando con la XboxSimCity