Los virus 'Sobig.F', 'Blaster' y 'Nachi' causan la mayor epidemia de Internet
'Sobig.F' fue lanzado a partir de un envío masivo de correos a millones de direcciones de buzones electrónicos. Los expertos temen que la família vírica Sobig responda a un plan delictivo más que a la aventura de un 'hacker'
Tras la calma, llegó la tempestad. Agosto convulso, como de costumbre, en el panorama de la virología informática. En menos de dos semanas, internautas de todo el mundo se han visto obligados a capear las embestidas de Blaster, Nachi y Sobig.F, tres de los especímenes con mayor potencial expansivo conocidos hasta el momento.
Sobig.F, el más peligroso a priori de la tríada, pasará además a la posteridad vírica por haber pulverizado los registros de rapidez de propagación. A diferencia de la mayoría de los gusanos, que son liberados en redes universitarias, cibercafés o usuarios individuales seleccionados al azar de una lista de correo, Sobig.F fue lanzado a partir de un envío masivo de correos a millones de direcciones. Esta técnica, conocida como spam, es utilizada por muchas empresas para darse a conocer rápidamente y sin costes a través de la Red. Sin embargo, nunca había sido puesta al servicio de la distribución de un patógeno informático. Los resultados han rebasado cualquier expectativa.
"Casi 22 millones de los 38 millones de e-mails que procesamos a lo largo del pasado jueves 21 estaban infectados por Sobig.F", declaró Nicholas Graham, portavoz de America Online (AOL). En Estados Unidos, donde la proporción habitual de una epidemia vírica es de un mensaje portador por cada 150 enviados, la ratio de este gusano llegó a ser de 1 de cada 17.
En España el impacto fue mayor: 1 de cada 11, porcentaje insólito que sin embargo, por la precaución de los internautas y quizá por el hecho de que los correos portadores están escritos en inglés, no acarreó consecuencias tan graves como las de otros impactos víricos.
Se calcula que, en total, más de dos millones de usuarios de cinco continentes han sido afectados por la acción del virus, que finalmente ha resultado inocua, gracias a una persecución contrarreloj de decenas de expertos informáticos.
Sobig.F tenía programados sendos ataques, entre las 21.00 y las 0.00 del jueves 21 y del domingo 24. Durante ese lapso, millones de copias del virus debían descargar y activar un programa que se temía que tuviese como propósito el colapso de Internet. La aplicación estaría alojada en un total de 20 sedes web. A las 20.55, 19 de ellas habían sido localizadas y desconectadas; sólo 10 minutos más tarde se conseguía desactivar la vigésima.
La primera oleada hostil del patógeno había sido neutralizada con éxito; la segunda, sólo tres días después, también fracasó. Las 20 máquinas involucradas en el ataque, todas ellas de banda ancha y preparadas para procesar cantidades ingentes de tráfico web, se encontraban en Estados Unidos, Canadá y Corea del Sur. Giorgio Talvanti, experto en virología digital del portal de seguridad informática Hispasec, afirma: "Esta es la sexta mutación de una serie de experimentos controlados y con fecha de caducidad. La séptima, Sobig.G, ya ha visto la luz, antes de que la sexta haya expirado. No parece ser el juego de poder de un adolescente cualquiera; podríamos estar, de hecho, ante un avanzado ejemplo de crimen informático organizado".
El convidado de piedra y tercero en discordia del festín estival que se han repartido Blaster y Sobig.F ha sido Nachi, un gusano atípico. Este espécimen, asentado en los mismos mimbres tecnológicos que Blaster, surgió el pasado martes 19 como un antibiótico diseñado contra su análogo. Con una capacidad de propagación mayor (procesando simultáneamente grupos de 300 direcciones aleatorias en lugar de 20, como Blaster), Nachi se reproducía por Internet sin otro objetivo que instalar en todas las máquinas que lo necesitasen el parche oficial de Microsoft que tapaba la vulnerabilidad por la que se filtraba Blaster. Así, surgía una vez más entre los expertos el eterno dilema: ¿es lícito un virus bueno, que sea inocuo y proteja a miles de ordenadores de infecciones originadas por otros patógenos?
Los detractores de Nachi alegaron en su contra que, a pesar de sus buenos propósitos, su consumo de ancho de banda podía traducirse en pérdidas económicas. Un caso fue el de Air Canada, obligada a cancelar o retrasar algunos de sus vuelos.
El fantasma de 'Blaster'
A pesar de que su impacto pudo ser reducido a tiempo y de que Sobig.F ha acaparado la mayoría de los titulares, la iniciativa corrió a cargo de Blaster, un gusano que ha derribado barreras conceptuales en el plano de la propagación.
Su epidemia, de no haber sido por un error de programación que provocaba inestabilidad en el sistema, podría haber sido la mayor de la historia. Tradicionalmente, un patógeno electrónico no podía infectar un sistema a menos que el usuario ejecutase, engañado, el código maligno; desde hace cinco años, los virus son capaces de activarse en un sistema, inyectados a través de un correo que sólo necesita ser leído; desde la noche del pasado lunes 11, con Blaster, la aparición de especímenes diseñados para autorreproducirse sin depender ni tan siquiera del correo es una realidad. Sin Outlook, sin engaños... Sólo aprovechando una grave vulnerabilidad encontrada en Windows XP, NT y 2000, conocida como desbordamiento de RPC DCOM.
A través de este agujero de seguridad, Blaster se propagó por más de 100.000 ordenadores a escala mundial en sus primeras 24 horas de vida. Una vez dentro de nuevos sistemas, filtrado por la puerta trasera, el patógeno generaba direcciones aleatorias en un bucle ad infinitum, buscando en todas ellas la vulnerabilidad requerida que le permitía reproducirse sin autorización ni conocimiento de sus víctimas.
Los internautas afectados descubrieron la infección por un nimio error de programación en el código vírico, que causaba inestabilidad en el funcionamiento del ordenador y provocaba diversas manifestaciones; entre éstas, las más habituales fueron los reinicios inesperados y constantes del sistema tras pocos minutos de uso y la disfunción de la mayoría de los enlaces web. Por su método de reproducción, las posibilidades de propagación de Blaster eran exponenciales. Su cometido consistía en perpetrar un ataque de denegación de servicio contra la web de actualizaciones de Microsoft, con la intención de desconectarla de Internet.
Debido al error de programación, el avance de Blaster pudo ser detectado, frenado y solucionado a tiempo gracias a un parche ya que los internautas pudieron copiar, precisamente, de la sede de Microsoft Windows Update, blanco teórico del patógeno.
La semana pasada el FBI arrestó a Jeffrey Lee Parson acusado de crear la versión más dañina del virus Blaster. El norteamericano tiene 18 años, mide 1,95 metros y pesa 145 kilos. Parsons no desató la epidemia, pero admitió al ser interrogado haber modificado el gusano original y haber creado el Blaster B.
La variante creada por el joven de Minesota hacía que los ordenadores infectados se conectaran automáticamente con su equipo, de manera que podía seguirles la pista. El FBI asegura que tiene noticia de unas 7.000 máquinas contagiadas por el virus.
