18:27 16/04/04
 

UNA GUERRA ENTRE CREADORES DE VIRUS TRIPLICA EL VOLUMEN DE CORREO ELECTRÓNICO INFECCIOSO
 

Mercè Molist
En el primer trimestre de 2004 ha habido más gusanos (virus que se difunden solos) en los mensajes de correo electrónico que en todo el año pasado. La razón es una competición entre los creadores de Netsky, Bagle y Mydoom, por quién infecta el mayor número de ordenadores con sistema operativo Windows. Desde febrero hasta hoy, han aparecido decenas de nuevas versiones de estos virus, que colapsan buzones y redes. Sus creadores se insultan entre ellos, mediante mensajes camuflados en el código fuente de los gusanos.

Entre febrero y marzo, los buzones de correo de todo el mundo han visto como aumentaba vertiginosamente el volumen de mensajes con gusanos, hasta sobrepasar al correo comercial no deseado. Según el Centro de Alerta Temprana Antivirus, la media en España en el 2003 fue del 5% de mensajes infectados por virus. La semana pasada, era del 15,2%. Casi diariamente sale una nueva versión de los gusanos en liza, Bagle, Netsky y, siguiéndoles de lejos, Mydoom. Los dos primeros van ya por la versión W, a punto de llegar al final del alfabeto, que las casas antivirus usan tradicionalmente para designar las nuevas variantes de un mismo virus, lo que las obligará a redefinir sus sistemas de nomenclatura.

Los norteamericanos lo califican de avalancha, provocada por una competición en pos de la atención mediática. Netsky fue el responsable del 60% de ataques de virus durante el mes de marzo, según la empresa Sophos. De este gusano, que empezó la guerra y la está ganando, se dice que es responsable de más de diez millones de mensajes infectados. El objetivo de los tres gusanos es crear grandes redes descentralizadas de máquinas infectadas, a sus órdenes para bombardear ordenadores o mandar correo basura.

Bagle fue el primero en aparecer, el 18 de enero de 2004. Lo siguió Mydoom el 27 de enero. Probablemente de origen ruso, Mydoom es famoso por su vertiginosa propagación y por hacer que sus víctimas bombardeasen a la empresa estadounidense SCO, cuyos servidores quedaron fuera de combate. El 16 de febrero, nacía Nestky y, con él, la guerra. Estaba programado para borrar a Mydoom y otro famoso gusano, Mimail, de los ordenadores. Actualmente, borra también a Bagle. En su código fuente se escondía el mensaje: "Queremos matar a los escritores de código malicioso!".

Bagle respondió, en una nueva versión: "No me arruines el negocio, quieres empezar una guerra?". Otra versión de Netsky llamaba "perdedor" a Bagle y le retaba a citarse en una ciudad de Estados Unidos. Mientras, Bagle añadía en sus funciones el borrado de Netsky. En dos meses, han aparecido versiones de Bagle o de Netsky casi diariamente, a veces ambos el mismo día, siguiendo ciclos en los que ha tenido más actividad uno u otro grupo.

Junto a los mensajes insultantes, destaca el uso de ingeniería social para hacer que sus víctimas abran un adjunto o pinchen un enlace que supuestamente lleva a un sitio inocuo cuando, en realidad, descarga el gusano. Algunos mensajes de Netsky aseguran que una conocida marca antivirus certifica que están libres de virus. Bagle se disfraza como un mensaje legítimo que no ha podido ser entregado. Otros usan la confusión de iconos: mandan virus bajo iconos inocentes, como el de archivo de texto.

Aunque la mayoría de estas técnicas ya eran conocidas, nunca como ahora se habían desplegado tanto. Pero Bernardo Quintero, de Hispasec, no le ve mérito: "La ingeniería social es muy efectiva para engañar a los usuarios, pero técnicamente es lo más simple que hay. No se requiere un gran nivel de programación para los gusanos actuales, copian las mismas técnicas una y otra vez. Puedes programar un gusano en pocas horas sin ser un experto y causar una epidemia global a través del correo. El nivel de los creadores de virus ha bajado mucho, sin embargo su capacidad de propagación y efectos colaterales se han multiplicado".

La malignidad de estos gusanos no reside en el daño que hacen al ordenador, sinó a Internet. Mydoom y Netsky convierten a sus víctimas en armas para lanzar ataques distribuidos de Denegación de Servicio. También, dice Quintero, "están causando bastante daño por el volumen de envíos de mensajes, son casi un problema de "spam"". Miguel Pérez, del Centro de Alerta Antivirus, explica otra tendencia: "Se están enviando en un primer momento mediante listas de direcciones para hacer "spam". Por eso los sectores más infectados son la administración autonómica (20,7%) y la central (18,4%), cuando en infecciones normales no pasan del 1%, ya que tienen muchas direcciones en la web, que aparecen en estas listas".

Fernando de la Cuadra, de Panda Software, resalta que los nuevos virus no tienen fecha de activación, como los antiguos, sinó de caducidad, con el objetivo, dice, de "dejar el ciberespacio libre para los demás hackers, para que así puedan infectar Internet con otro código distinto. Aunque dentro de los códigos de los virus se insulten y se amenacen, la confabulación que entre ellos existe no hace sino unirlos más para que sus programas puedan infectar por turnos, en una inmoral competición".

Algunos ven en esta guerra un intento de dejar los antivirus obsoletos constantemente. Según Bernardo Quintero, "ponen el dedo en la llaga: con una pequeña modificación en el código de un virus conocido puede obtenerse otro que no reconocen los antivirus, necesitando una nueva actualización. Sin embargo, pese a que pueda parecer que esta plaga es perjudicial porque deja en entredicho a los antivirus, está más que demostrado que sus ventas suben cuando hay una infección significativa".

La comunidad vírica ha optado por ignorarlos. El 3 de marzo, el weblog de F-Secure anunciaba: "Hemos decidido que describir los detalles de esta pelea sólo hará que todo vaya a peor". Bruce Schneier, en la última edición de Crypto-Gram, asegura: "Esta guerra no tiene signos de acabarse, seguramente hasta que sus participantes crezcan o se cansen. Mientras, tendremos que soportarlo". El boletín de VSAntivirus pide "que no nos distraiga una simple pelea callejera. Hemos decidido no dar mayor relevancia a este hecho porque sería dar a estas personas lo que pretenden".
 
 
 

"ES UN SIMPLE JUEGO"

Nadie tiene una respuesta cierta al por qué de esta guerra de virus.  La hipótesis mayoritaria, explica Bernardo Quintero, es que estamos ante "una competición, una lucha entre creadores de gusanos para lograr el mayor número de sistemas infectados, un simple juego, al que personalmente veo una analogía clara en la prehistoria de los gusanos informáticos, con las llamadas "core wars"".

Las "guerras de núcleos" se inventaron en los laboratorios de AT&T Bell en los años 60, explica Quintero: "La memoria de núcleo de ferrita contenía instrucciones y datos. El juego consistía en crear un programa que al reproducirse fuera ocupando toda la memoria, al tiempo que borraba de ella el programa del contrincante. Ganaba el jugador que se hacía con toda la memoria o tenía el mayor número de reproducciones". Uno de los tres estudiantes que crearon el juego era Robert Morris, padre del programador del primer gusano que colapsó Internet, llamado "Gusano de Morris".

Según Quintero, "estamos ante una versión moderna de las "core wars", con la diferencia de que en vez de disputarse la memoria de un ordenador, el campo de batalla es Internet. Hoy, programar un gusano es mucho más fácil que entonces y está al alcance de cualquier programador medio. Si además se trata de una competición pública que ocupa la atención de los medios de comunicación, tenemos todos los ingredientes".
 
 

¿CÓMO PARAR ESTO?
 

A la pregunta de "¿Cómo parar esto?", responde Manuel García, del Equipo de Emergencias Informáticas (esCERT): "No se puede hacer nada". Y es que la rápida aparición de nuevos virus y técnicas para colarse en los ordenadores deja descompuesto al mejor programa antivirus. La prevención es el mejor remedio, según los expertos de VSAntivirus, que recomiendan:

"1. Usar regularmente un programa antivirus y actualizarlo cada día.

2. No abrir ningún mensaje ni archivo de fuentes desconocidas o muy poco conocidas. En caso de personas conocidas, se deben igualmente tomar precauciones, asegurándose de que esa persona es la responsable del envío. Ante cualquier duda, borrar el mensaje.

3. Estar informado de cómo operan los virus y las novedades sobre éstos, alertas y anuncios críticos.

4. No bajar nada de sitios web de los que no se tenga referencias de seriedad, o que no sean medianamente conocidos. Si se bajan archivos, copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de abrirlos."
 

Alerta Antivirus
http://www.alertaantivirus.es
Las víctimas de las guerras víricas
http://www.vsantivirus.com/fdc-guerras-viricas.htm
Fechas de caducidad de los virus
http://www.vsantivirus.com/fdc-caducidad.htm
Que no nos distraiga una simple pelea callejera
http://www.vsantivirus.com/05-03-04.htm
Top Ten marzo Panda Software
http://www.pandasoftware.es/about/prensa/verNoticia.aspx?noticia=4912&entorno=&ver=&pagina=&producto=
Hispasec
http://www.hispasec.com
Weblog de F-Secure
http://www.f-secure.com/weblog/archives/archive-032004.html
Unprecedented level of Virus Alerts
http://slashdot.org/article.pl?sid=04/04/06/0024208&mode=thread&tid=126&tid=172
Virus creators share code online to create copycats
http://washingtontimes.com/business/20040316-093754-4080r.htm
The virus avalanche
http://www.vnunet.com/News/1153550
War of the worms turns into war of words
http://www.theregister.co.uk/content/56/36006.html
 
 

Copyright (C) 2004 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any medium, provided this notice is preserved.
 

<<