5/99
 

LA RED SE CONVIERTE EN EL PRINCIPAL MEDIO DE TRANSMISIÓN DE VIRUS
 

Mercè Molist
Bichos jugando en los ordenadores desde mediados de los '80, cuando viajaban camuflados en inocentes disquetes y pronto en BBSs, los virus informáticos no sólo no han muerto con el tiempo sinó que se han adaptado al mundo de las redes, convertido en caldo de cultivo para estas pizcas de vida artificial, cada vez más compleja.

Internet es hoy el escenario perfecto de transmisión de virus, la causa primera y con mucha diferencia de los problemas de seguridad de empresas de todo el mundo. En el 80% de los casos, según Trend Micro, llegan a través del correo electrónico, camuflados en archivos .doc, como el famoso Melissa, o .exe, como el Happy99. Los primeros son los llamados virus de macro, reyes absolutos de la escena vírica: los hay a miles desde que apareció el primero, Concept, en julio de 1995; algunos, inofensivos -cambian palabras, colores- y otros, peligrosos -pueden formatear el disco duro, robar contraseñas y claves de PGP o saturar servidores autoenviándose por correo-, se diseñan para infectar archivos Word, Excel, AmiPro, Access o, como el recién presentado GaLaDRiel, Corel.

La razón de que haya tantos virus de macro es que son más fáciles de escribir y también de propagar, ya que es usual que la gente se intercambie documentos y no desconfíe de ellos. La capacidad de algunos lectores de correo de abrir automáticamente los archivos adjuntos a los mensajes, sin que el usuario pueda pensárselo, es miel sobre hojuelas para los virus de macro. Su preponderancia es tal que, según el 'Virus Bulletin', de los diez virus con mayor número de incidencias en marzo de 1999, ocho eran de macro (curiosidad: el archipublicitado Melissa está en el puesto 16), aunque el primero de la lista no era de esta familia sinó un ejecutable que afecta a Windows 95: el también famoso, con razón, CIH.

Y es que la atención de los estudiosos y creadores serios de virus está puesta no en los macros sinó en los .exe que atacan a Windows95/98 y NT, o a ambos a la vez (la nueva familia Win32). Mientras decae la atención por los virus de boot y de archivo en MS/Dos, crece una "especialización más alta en sistemas de 32 bits", asegura Joaquín Caballero, moderador del área VIRUS.R34 de Fidonet. Realmente difíciles de escribir y aún en sus inicios, estos virus afectan directamente al sistema operativo de Microsoft. Algunos de los más conocidos, como el Cabanas, el primer Win32, han sido hechos en España, que hoy parece haber sustituido a Bulgaria como centro creador de virus en Europa, debido al trabajo del grupo 29A, autor de maravillas como el virus Esperanto, que sobrevive tanto en PCs Intel como en Macintosh.

"Estamos en contra de los efectos destructivos de los virus. Los hacemos por hobby, porque es divertido, para inventar nuevas técnicas, aprender más sobre sistemas operativos, no para molestar a la gente", asegura 29A en la última entrega de su ezine. Los virus españoles, en general, no son malos, aunque Caballero admita que un virus se hace "por pura y simple malicia". Eso no significa que, en general, estén dejando de ser peligrosos. La aparición el año pasado del CIH, llamado Chernobyl en su versión 1.2, ha puesto los pelos de punta a más de uno: su poder de destrucción es tal que puede incluso afectar el "hardware", reescribiendo la Flash-BIOS e imposibilitando el arranque del PC hasta que no se cambie el chip. Miles de ordenadores en todo el mundo (600.000, dicen las casas de antivirus) cayeron bajo su influjo el pasado 26 de abril, fecha en que se activó.

"Otro fenómeno que se está observando es la inclusión de técnicas que hasta la fecha formaban parte de otras escenas, como la criptografía seria y el 'hacking', que pueden dar lugar a virus muy sofisticados. Podrán ocultar sus objetivos bajo cifrado fuerte y aprovecharán técnicas de 'hacking' para penetrar en las redes y obtener información sensible", explica Bernardo Quintero, especialista en seguridad de Hispasec. La red, otra vez. La red que, para Quintero, es "la fiebre: los creadores están implementando nuevos procedimientos para aprovecharla al máximo, ya que para ellos representa el medio de transmisión que siempre habían soñado". Correo electrónico pero también Internet Relay Chat -por donde se propagó velozmente hace unos meses el troyano Back Orifice o su hermano mayor, Netbus, y también el gusano DMSETUP, dirigido específicamente al programa mIRC, que se autoenvía a todos los que estén en un mismo canal-, FTP y la nueva diversión: la web.

Los códigos móviles maliciosos -que pueden transportar virus, robar ficheros o provocar denegaciones de servicio-, llamados también 'rogues' y vándalos, son el futuro de la inseguridad en la web. Viajan en 'applets' de Java y controles ActiveX, aplicaciones autoejecutables desde la web visitada hacia el ordenador del usuario, no se replican ni infectan ficheros pero van directos al blanco, el sueño de cualquier creador de código maligno. De momento, los mecanismos de seguridad en este tema son pocos y no excesivamente fiables, a no ser que se desactive la opción de aceptar Java o ActiveX en el navegador, con lo que se pierde parte de la gracia de algunas webs. Aunque de momento son pocos los 'applets' y ActiveX hostiles conocidos, la previsión es que aumenten. Como asegura Quintero: "Apenas hay un par de virus escritos en Java, prácticamente son cosas de laboratorio, es un mundo por explotar, pero hay muchas posibilidades".

Donde también se ve luz es en los 'scripts' colocados en páginas web y escritos en VisualBasic, como algunos GIFs y el recientemente descubierto HTML.Internal (sólo para IE), o los virus WinScript.Rabbit, que infectan los archivos 'script' de cualquier Windows de 32 bits, y los JavaScripts maliciosos. Todos tienen en común que se contraen simplemente visitando una página en la web. Pero estas amenazas no preocupan aún excesivamente a los fabricantes de antivirus, asegura Paco Rubira, director general de Panda Software, quien considera que "están a la baja". A Rubira le quita más el sueño la llegada del nuevo Windows 2000, que por su estructura hará más difícil la localización y eliminación de virus.

El futuro, pues, seguirá centrado en Microsoft e Internet, en lo que algunos llaman, comparando informática y agricultura, una monocultura que hace a la infraestructura extremadamente vulnerable a las plagas. Plagas de virus mutantes y veloces, cada vez más inteligentes, virus a medida, algunos dirigidos también hacia otra monocultura cada vez más implantada: Linux. Decía GriYo, miembro de 29A, en una reciente entrevista a 'PC Actual': "Los virus, tal y como ahora los conocemos, desaparecerán para dar lugar a sofisticados hackers electrónicos desarrollados al amparo de instituciones gubernamentales".

¿Fantasía? Neal Stephenson, autor de "Snow Crash", imaginaba en 1992 un virus informático que afectaba a personas, concretamente a programadores, acostumbrados a leer código y, por tanto, sensibles a las líneas que el virus les mostraba en la pantalla. ¿Virus que atacan mentes? Es también la teoría del "meme", desarrollada por Daniel Dennett y Richard Dawkins, quienes lo ven como unidad fundamental de replicación en la evolución social, ideas que se transmiten como virus, antes sólo a través del habla pero hoy, en una sociedad mediática, por todos los canales y especialmente la red. Pirámides de correo, leyendas urbanas, avisos de virus falsos (Good Times), pánico exagerado por virus ciertos (Melissa), 'spam', noticias engañosas con las que se tambalea la bolsa... Virus de contenido. Virus para el cerebro.
 

29A. http://www.virusexchange.org/29a
Virus Bulletin. http://www.virusbtn.com
Memetics. http://www.lucifer.com/virus/alt.memetics