Hagamos un viaje por nuestros recuerdos a mayo de 2000. Un día más en la oficina: prendes la computadora del trabajo, la conectas a internet y descargas el mail más reciente e Microsoft Outlook del cliente. De inmediato notas un extraño mensaje con el asunto “ILOVEYOU”. Una persona que conoces te confiesa su amor. Quizá alguien de la escuela o… ¡Espera, no! Aún mejor: tu antiguo supervisor.
Sea quien sea, definitivamente llama tu atención, así que das clic en el archivo adjunto llamado “CARTA-DE-AMOR-PARA-TI.TXT.VBS” y… parece que no pasa nada. Sin embargo, tiempo después, descubres que documentos importantes del disco duro se han dañado de forma irremediable y se han mandado un montón de cartas de amor parecidas en tu nombre, a todos los contactos de tu directorio.
ILOVEYOU no fue el primer malware en explotar un agujero en el correo electrónico de Microsoft, pero sin duda inició uno de los brotes de virus más graves a principios del nuevo milenio. Demos un vistazo a su historia y hablemos de cómo cambió nuestra percepción del sistema de seguridad informático.
Contexto: el internet es la tecnología de moda
Es el año 2000… hace mucho tiempo atrás; desde 2022, parece ser en la prehistoria. Hoy en día, puedes mirar copias archivadas de sitios web de esos días o sacar del armario una vieja laptop con Windows 98 para recordar los programas que se usaban; era la Edad de Piedra, ¿cierto? Buenos, en realidad no. Claro, la tecnología en el cambio de milenio era primitiva para los estándares de la actualidad. La gran mayoría de los usuarios se conectaban a la red mediante módem, el cual era monstruosamente lento. Pero, en aquel entonces, ya existían prototipos de casi todos los servicios de red modernos.
No existía el video en streaming, pero sí la radio. Había una amplia gama de servicios de mensajería en línea. El comercio por internet se desarrollaba a gran velocidad, aunque en ocasiones era más fácil llamar por teléfono a la tienda que hacer el pedido por su sitio web.
Generalmente, en el 2000, cualquier tecnología de red o cualquier servicio con el prefijo “e-” (o sea, ¡electrónico!) recibió mucha atención e inversión. Un poco más tarde, en 2001, hubo cierta decepción cuando muchas empresas nuevas de internet quebraron y la industria perdió un poco del entusiasmo, pero ganaba algo más de sentido.
Un indicador importante de cómo se había extendido ya el internet es el lanzamiento en 1998 de la popular película Tienes un email, mitas comedia romántica y mitad comercial para el entonces gigante America Online.
Para nuestra historia, es importante que a finales de la década de los 90, Internet ya no era un lugar para unos cuantos: en el 2000, cientos de millones de personas ya estaba en línea. Como tal, el correo electrónico ya era una importante herramienta de comunicación y colaboración en varias empresas y agencias gubernamentales, así como para los usuarios domésticos comunes.
Pero en mayo de 2000, esta “transformación digital”, como fue llamada popularmente más tarde, se detuvo de manera repentina por el brote del virus ILOVEYOU. Muchas empresas se vieron obligadas a cerra de manera temporal sus servidores de correo, ya que simplemente no podían encarar el enorme flujo de miles de mensajes de amor.
Predecesores: Concept.B y Melissa
Estrictamente hablando, ILOVEYOU debe ser clasificado como un gusano de red: un programa malicioso que se propaga a través de la red. Otra característica clave de ILOVEYOU fue que la infección inicial se llevó a cabo mediante un simple programa VBscript. VBscript, a su vez, se basa en la idea más antigua de las macros. Esencialmente programas simples que permiten automatizar acciones particulares, por ejemplo, cuando trabaja con documentos.
Muy a menudo, las macros son utilizadas para realizar operaciones complejas en hojas de cálculo, como Microsoft Excel- Desde la antigüedad, las macros también han sido compatibles con Microsoft Word para, por ejemplo, generar informes de forma automática a partir de datos ingresados en un formulario.
En 1995, esta funcionalidad de Word fue explotada por el virus WM/Concept.A. Este virus de macro infectaba documentos de Microsoft Word y mostraba el siguiente mensaje al abrir un documento:
Y eso es todo. No había una funcionalidad maliciosa como tal, solo una ventana bastante molesta que no dejaba de aparecer. El exempleado de Microsoft, Steven Sinofsky, responsable del desarrollo de las soluciones para oficina de la empresa de 1998 a 2006, se refiere a Concept.A en sus memorias como la primera señal: En ese momento quedó claro que la automatización implementada en todas las soluciones de Microsoft podría utilizarse para su detrimento. Como resultado, se decidió mostrar una advertencia antes de ejecutar macros: el documento contiene un programa, ¿está seguro de que desea ejecutarlo?
Tan pronto como Microsoft comenzó a implementar restricciones en la ejecución de macros, los autores del malware comenzaron a buscar formas de evadir dichas restricciones. El siguiente evento de alta gama ocurrió en marzo de 1999. Steven Sinofsky describió cómo era: cuando revisas tu mail, recibes un mensaje con un archivo adjunto con el asunto “Mensaje importante de…”.
Y luego, unos más de otro remitente. Y otro. Y luego el correo electrónico dejó de funcionar. Ni siquiera el servidor de correos de Microsoft podía soportar la carga. Era el gusano de internet Melissa. El documento de Microsoft Word adjunto contenía un código malicioso que enviaba un mensaje a través de Microsoft Outlook a los primeros 50 contactos de la libreta de direcciones.
Es cuestión de amor
El gusano ILOVEYOU fue una evolución de las ideas utilizadas en Melissa. No aprovechó ninguna vulnerabilidad en los productos de Microsoft, sino que utilizó la funcionalidad estándar en su lugar. El único error fue que no se mostró ninguna advertencia cuando el script se iniciaba desde el correo electrónico de Outlook.
La funcionalidad del gusano no se limitaba solo a enviar mensajes de amor a todos los destinatarios. Además del spam enviado en nombre de la víctima, también tenía la capacidad de propagarse a través del entonces popular IRC Messenger. Además, el gusano descargaba un programa troyano que enviaba las contraseñas de acceso al correo y al internet al creador del malware. Finalmente, borraba, ocultaba y corrompía archivos del disco duro. Canciones en MP3, imágenes JPEG, diversos scripts y copias de páginas web.
La mente maestra detrás del broto de ILOVEYOU incorporó desarrollos de virus de macro anteriores, ideó un tuco de ingeniería social de última generación (¿cómo puede alguien ignorar un archivo con el nombre “Te amo”?), agregó una funcionalidad maliciosa y aprovechó al máximo la propagación automática del malware.
Siguiendo los informes de Kaspersky y los medios de comunicación de la época, es posible reconstruir la secuencia de eventos. En el primer día, 4 de mayo, se detectaron miles de infecciones en sistemas. El 9 de mayo, se reportaron 2.5 millones de computadoras infectadas, lo que significas que se enviaron decenas de millones de mails alrededor del mundo.
El creador del virus ni siquiera intentó ocultar el código malicioso bajo la apariencia de un documento de oficina. El nombre “CARTA-DE-AMOR-PARA-TI.TXT.VBS” aprovechó el hecho de que los correos de Microsoft solo mostraban la primera parte de un nombre largo, como se puede observar en el screenshot al comienzo de este artículo. El código interno estaba en formato abierto, y pronto muchos habilidosos malhechores lo utilizaban para crear diversas variaciones del gusano de Internet. En lugar de ILOVEYOU, otras palabras comenzaron a aparecer en el espacio para el asunto, como engreídas advertencias de virus. La variante NewLove, detectada el 19 de mayo, no eliminó archivos de forma selectiva, sino que borró toda la información del disco duro por completo.
Las estimaciones finales del impacto del virus ILOVEYOU son las siguientes: hasta el 10% de las computadoras conectadas a Internet resultaron infectadas, y el daño total, incluidas las acciones destructivas de sus variantes, se estima que fue de alrededor de $10 mil millones. El incidente fue cubierto por la prensa de manera amplia, e incluso hubo audiencias en el Senado de los Estados Unidos.
Errores que se cometieron
En 2022, conociendo toda la historia de principio a fin, uno quisiera preguntarse: ¿pudo haberse evitado de inmediato el brote de un virus trivial? No fue hasta el 8 de junio de 2000 que Microsoft lanzó una importante actualización de seguridad para su servicio de correo Outlook, la cual finalmente introdujo serias restricciones en la ejecución de scripts. De manera predeterminados todos los archivos adjuntos en un correo electrónico no eran de confianza, y se introdujeron comprobaciones si alguna aplicación externa accedía al directorio de Outlook o intentaba enviar varios correos a la vez.
No lo hicieron antes, porque al momento de elegir entre seguridad y comodidad, Microsoft prefería esto último. Y los usuarios igual. En 1995, cuando Microsoft introdujo una simple advertencia en Microsoft Word (“Este documento contiene macros”), la empresa recibió comentarios negativos de los clientes. En algunas empresas, este reconocimiento adicional desbarató los procesos internos basados en scripts. Por tal, incluso al desarrollar un parche a raíz de ILOYOU, la pregunta “¿Va a causar molestia en los usuarios?” estaba en la agenda, pero esta vez ya tenían claro que la seguridad necesitaba mejoras y rápidamente.
Virus Viejo, problemas modernos
La epidemia de ILOVEYOU ha planteado diversas preguntas que siguen siendo relevantes hasta el día de hoy en el campo de la seguridad de la información. La más importante parece ser: ¿no podemos enviar parches más rápido? Definitivamente hubo problemas con esto: Microsoft lanzó un kit de parches para Outlook más de un mes después de que iniciara el brote. Además, los mecanismos de entrega automática de estas actualizaciones eran rudimentarios, por lo que los brotes locales de infección de correos tardaban mucho en cesar.
Ya se había demostrado que la industria de las soluciones de seguridad era muy beneficiosa en ese sentido. Como recalca Eugene Kaspersky, no fue difícil proteger a los usuarios de antivirus de la empresa. Incluso entonces, se introdujo un sistema de entregas online de actualizaciones periódicas en el software de seguridad, mientras que los desarrollados de otro tipo de programas tardaron varios años más en implementar un esquema similar para la distribución rápida de parches. Un poco más tarde, de desarrollaron métodos de análisis heurísticos para detectar y bloquear automáticamente incluso scripts maliciosos desconocidos.
Aunque la seguridad de los programas y sistemas operativos populares ha mejorado enormemente en los últimos 22 años, los creadores de malware siguen encontrando nuevas lagunas para los ataques cibernéticos exitosos.
El utilizar macros de forma maliciosa tampoco se han esfumado. En febrero de 2022, Microsoft prometió, finalmente, restringir la capacidad de distribuirlos prohibiendo la ejecución de cualquier script en los documentos de Office obtenidos a través de internet. A principios de julio de 2022, esta prohibición se levantó; es razonable suponer que el temor de que algo moleste a los usuarios se hiciera realidad. Más tarde, en julio del mismo año, Microsoft decidió una vez más comenzar a bloquear macros de forma predeterminada, esta vez explicando a quienes lo necesiten, cómo eludir tal prohibición.
Hay menos brotes a gran escala en los que una pieza de malware se propaga a decenas o cientos de millones de computadoras, pero aún no podemos prevenirlos del todo. Lo que ha cambiado, en definitiva, es la forma en que se monetizan los ataques cibernéticos, tomando como rehenes los datos de empresas y de usuarios, exigiendo rescate.
Terminemos nuestra historia con un breve resumen del destino del creador del gusano de internet ILOVEYOU. Onel de Guzmán era un estudiante de 24 años al momento del brote. En el año 2000, funcionario del FBI pudieron determinar que los mensajes originales que contenían el gusano se habían enviados a listas de correo populares para usuarios de Filipinas, donde Guzmán todavía vive. En el 2000, fue incluido en la lista de presuntos autores de ILOVEYOU. Pero no recibió sanciones por dos motivos: la falta de pruebas y la ausencia de un artículo penal por ciberdelincuencia en la legislación local de la época.
En 2020, periodistas localizaron a de Guzmán. Les dijo que originalmente ILOVEYOU no tenía una función de correo masivo para el directorio de Outlook y que creó el gusano para robar contraseñas de acceso a internet porque no podía pagarlo. De Guzmán nunca pudo monetizar su talento malicioso. Cuando el artículo fue publicado, trabajaba en un modesto taller de reparación de teléfonos en Manila.