{"id":25146,"date":"2022-08-18T11:41:25","date_gmt":"2022-08-18T17:41:25","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=25146"},"modified":"2022-08-18T11:45:25","modified_gmt":"2022-08-18T17:45:25","slug":"history-lessons-code-red","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/history-lessons-code-red\/25146\/","title":{"rendered":"La evoluci\u00f3n de la seguridad: la historia de C\u00f3digo Rojo"},"content":{"rendered":"

C\u00f3digo Rojo era un gusano dirigido a los sistemas basados en Windows con Microsoft IIS (Servicios de Informaci\u00f3n de Internet para Servidores Windows por sus siglas en ingl\u00e9s) instalado. Su historia al menos tiene un feliz comienzo: la propagaci\u00f3n del malware fue detectada justo al inicio del brote. Quienes descubrieron el C\u00f3digo Rojo<\/a> eran investigadores de eEye Security, y al momento de la detecci\u00f3n (13 de julio de 2001) desarrollaban un sistema para encontrar vulnerabilidades de Microsoft IIS. De repente, su servidor de prueba dej\u00f3 de responder. A esto le sigui\u00f3 una noche sin poder dormir, donde se la pasaron examinando los registros del sistema en busca de rastros de infecci\u00f3n. Nombraron al malware por el primer objeto que llamo su atenci\u00f3n: una la de refresco Mountain Dew Code Red (C\u00f3digo Rojo en espa\u00f1ol).<\/p>\n

Sin embargo, la detecci\u00f3n relativamente temprana hizo poco para detener la pandemia. El malware utiliz\u00f3 sistemas ya infectados para ataques posteriores y, en cuesti\u00f3n de d\u00edas, ya se hab\u00eda extendido a nivel mundial. Despu\u00e9s, el Centro de An\u00e1lisis de Datos de Internet Aplicados (CAIDA por sus siglas en ingl\u00e9s) dio a conocer las estad\u00edsticas del 19 de julio, las cuales demostraron claramente la velocidad de distribuci\u00f3n del C\u00f3digo Rojo. Seg\u00fan varias fuentes, m\u00e1s de 300.000 servidores fueron a tacados en total.<\/p>\n

Propagaci\u00f3n del gusano C\u00f3digo Rojo a partir del 19 de julio de 2001Spread of the Code Red worm as of July 19, 2001. <a href=\"https:\/\/www.caida.org\/archive\/code-red\/\" target=\"_blank\">Fuente<\/a>

Propagaci\u00f3n del gusano C\u00f3digo Rojo a partir del 19 de julio de 2001Spread of the Code Red worm as of July 19, 2001. Fuente<\/a><\/p><\/div>\n

C\u00f3mo funciona C\u00f3digo Rojo<\/h2>\n

El gusano de internet explot\u00f3 una vulnerabilidad trivial en uno de los m\u00f3dulos del servidor web, de forma m\u00e1s espec\u00edfica una extensi\u00f3n para la indexaci\u00f3n de datos. Hubo un error de desbordamiento de b\u00fafer en la biblioteca idq.dII. La vulnerabilidad recibi\u00f3 el identificador MS01-33. El error es f\u00e1cil de explotar: solo hay que enviar al servidor una solicitud demasiado larga como esta:<\/p>\n

GET \/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a\u00a0 HTTP\/1.0<\/p>\n

Como resultado, los resultados despu\u00e9s de los numerosos caracteres \u201cN\u201d se interpretan como instrucciones y se ejecutan. Toda la carga \u00fatil maliciosa est\u00e1 contenida directamente en la solicitud; o sea, con una instalaci\u00f3n vulnerable de Microsoft IIS, se garantiza que el sistema ser\u00e1 infectado de forma instant\u00e1nea. La consecuencia m\u00e1s visible de dicha infecci\u00f3n fue, literalmente, la desfiguraci\u00f3n de los sitios servidos por el servidor web. En lugar de su contenido usual, se mostr\u00f3 el siguiente resguardo:<\/p>\n

C\u00f3mo se ve\u00eda un sitio web en un servidor infectado con C\u00f3digo Rojo. <a href=\"https:\/\/www.kaspersky.com\/about\/press-releases\/2001_a-new-generation-of--fileless-network-worm-has-unleashed-global-chaos\" target=\"_blank\">Fuente<\/a>

C\u00f3mo se ve\u00eda un sitio web en un servidor infectado con C\u00f3digo Rojo. Fuente<\/a><\/p><\/div>\n

De acuerdo con Kaspersky<\/a>, la desfiguraci\u00f3n no fue permanente: 10 horas despu\u00e9s del exitoso ataque, el gusano restaur\u00f3 el contenido normal del sitio web. Otras acciones depend\u00edan de la fecha. Del 1 al 19 de cada mes, el gusano se propagaba mediante solicitudes maliciosas enviadas a direcciones IP aleatorias. Del 20 al 27, varias direcciones IP fijas fueron atacadas mediante DDoS, incluida la del sitio web de la administraci\u00f3n presidencial de Estados Unidos. Desde el 28 y hasta fin de mes, C\u00f3digo Rojo tomaba un nada merecido descanso.<\/p>\n

La vista desde 2022<\/h2>\n

Todav\u00eda ocurren incidentes parecidos hoy en d\u00eda, pero suelen estar asociados con vulnerabilidades de d\u00eda cero que se detectan m\u00e1s frecuentemente cuando se investiga un ataque activo. Un t\u00edpico ejemplo es una serie de vulnerabilidades<\/a> en el servidos de correo de Microsoft Exchange que se explot\u00f3 de manera activa al momento de la detecci\u00f3n. M\u00e1s de 30.000 organizaciones alrededor del mundo se vieron afectadas y los administradores de servicios de correo de muchas empresas se vieron obligados a instalar un parche y a realizar una auditor\u00eda en caso de que ya se hubiera producido una infecci\u00f3n.<\/p>\n

Este ejemplo no solo muestra que los ataques se han vuelto mucho m\u00e1s sofisticados, sino tambi\u00e9n que las defensas han progresado. C\u00f3digo Rojo no explot\u00f3 una vulnerabilidad de d\u00eda cero, sino una que se detect\u00f3 y cerr\u00f3 un mes antes de la pandemia. Pero en aquel entonces, la lentitud en la instalaci\u00f3n de actualizaciones, la falta de herramientas para instalaciones autom\u00e1ticas y la poca conciencia de los usuarios corporativos jugaron un papel muy importante. Otra diferencia importante entre C\u00f3digo Rojo y los ataques modernos es la falta de monetizaci\u00f3n. Actualmente, un ataque al servidor de una empresa vulnerable dar\u00eda pie, indudablemente, al robo o cifrado de datos, adem\u00e1s de una demanda de rescate. Adem\u00e1s, los cibercriminales de hoy en d\u00eda rara vez desfiguran los sitios hackeados; al contrario, es m\u00e1s probable que tomen todas las medidas posibles para ocultar sus huellas en una infraestructura de una empresa TI.<\/p>\n

Una amarga lecci\u00f3n<\/h2>\n

Hay que decirlo: C\u00f3digo Rojo abandon\u00f3 la escena bastante r\u00e1pido. En agosto de 2001 apareci\u00f3 una versi\u00f3n ligeramente modificada. C\u00f3digo Rojo II<\/a> era capaz de infectar sistemas que ya hab\u00eda sido \u201cvisitados\u201d por la primera variante del gusano. Sin embargo, en t\u00e9rminos generales, a principios de los 2000 hubo muchos otros ataques en escenarios perecidos. Para septiembre de 2001 vimos la epidemia del gusano Nimda<\/a>, el cual tambi\u00e9n aprovech\u00f3 las vulnerabilidades parcheadas en Microsoft IIS durante mucho tiempo. En 2003, el gusano Blaster<\/a> se extendi\u00f3 por todas partes.<\/p>\n

Finalmente, se corri\u00f3 la voz de que los parches para las vulnerabilidades cr\u00edticas en el software corporativo deben ser instaladas cuanto antes: cuando se lanza una actualizaci\u00f3n, los cibercriminales estudian cuidadosamente y comienzan a explotar la vulnerabilidad de inmediato, con la esperanza de que algunos usuarios no hayan instalado la actualizaci\u00f3n. Pero incluso ahora, no se puede decir que el problema est\u00e1 resuelto. Existen ejemplos m\u00e1s recientes, como el ataque WannaCry de 2017.<\/p>\n

Sin embargo, lo que se puede decir es que C\u00f3digo Rojo, as\u00ed como muchos otros programas maliciosos responsables de infectar cientos de miles de sistemas en todo el mundo, ayudaron a dar forma a los enfoques de seguridad corporativa que nos gu\u00edan hoy en d\u00eda. A diferencia de hace 21 a\u00f1os, ahora dependemos totalmente de los sistemas de TI para todo, desde las comunicaciones hasta los pagos, sin mencionar la infraestructura cr\u00edtica. Hemos aprendido c\u00f3mo defendernos ante los ataques cibern\u00e9ticos, pero todav\u00eda tenemos que producir una bala de plata para todos los problemas comerciales en el ciberespacio. A medida que la ciberseguridad evoluciona, inevitablemente debemos reconocer que la seguridad perfecta no es algo que se mantenga fijo, sino una lucha constante.<\/p>\n

\"M\u00e1s<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

La historia del primer ataque serio a una infraestructura TI corporativa.<\/p>\n","protected":false},"author":665,"featured_media":25147,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2795,3540],"tags":[5808,5807,1886,2275,973],"class_list":{"0":"post-25146","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-smb","9":"tag-cronica","10":"tag-desfiguracion","11":"tag-epidemia","12":"tag-gusanos","13":"tag-historia"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/history-lessons-code-red\/25146\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/history-lessons-code-red\/27478\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/history-lessons-code-red\/33795\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/history-lessons-code-red\/10909\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/history-lessons-code-red\/45082\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/history-lessons-code-red\/19258\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/history-lessons-code-red\/19826\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/history-lessons-code-red\/29122\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/history-lessons-code-red\/25320\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/gusanos\/","name":"gusanos"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/25146","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/665"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=25146"}],"version-history":[{"count":4,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/25146\/revisions"}],"predecessor-version":[{"id":25154,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/25146\/revisions\/25154"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/25147"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=25146"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=25146"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=25146"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}