Los fallos de Windows y la desidia del internauta favorecen la propagación de virus
Decenas de patógenos han causado epidemias gracias a agujeros de seguridad conocidos desde hace meses
12 de agosto de 2003. Aproximadamente dos millones de personas de todo el mundo detectan en su ordenador un problema que les impide mantener el sistema encendido más de cinco minutos. Están infectados por Blaster, un gusano afortunadamente inocuo que, por mor de un error de programación, delata su presencia a las pocas horas de activarse.
El espécimen se ha filtrado a través de un agujero de seguridad de Windows conocido como DCOM RPC, descubierto, descrito y documentado el 16 de julio por Microsoft. El parche ha estado a disposición de todos los internautas durante casi un mes, y podrí...
12 de agosto de 2003. Aproximadamente dos millones de personas de todo el mundo detectan en su ordenador un problema que les impide mantener el sistema encendido más de cinco minutos. Están infectados por Blaster, un gusano afortunadamente inocuo que, por mor de un error de programación, delata su presencia a las pocas horas de activarse.
El espécimen se ha filtrado a través de un agujero de seguridad de Windows conocido como DCOM RPC, descubierto, descrito y documentado el 16 de julio por Microsoft. El parche ha estado a disposición de todos los internautas durante casi un mes, y podría haber evitado la propagación de Blaster y la de sus sucesores, Autorooter y Nachi; este último no sólo se propagaba a través del DCOM RPC, sino que también explotaba la vulnerabilidad WebDAV, identificada desde el 17 de marzo.
Paradójicamente, Nachi no se infiltraba en los ordenadores para infectarlos, sino para protegerlos e instalar en ellos los parches que habrían evitado la epidemia mundial provocada por Blaster, una de las mayores de la historia de Internet.
No son los primeros casos de virus que se reproducen a través de agujeros de seguridad previamente documentados; son los más recientes. A principios de 1999 todavía circulaba de buzón en buzón uno de los bulos pioneros de la mitología internáutica, el del virus Good Times. No había usuario más o menos avezado que no se riese al leer que Good Times podría formatear su disco duro con sólo leer un mensaje portador. ¿Cómo iba un programa a ejecutarse en su ordenador por abrir un correo? Con los años la leyenda perdía gas, ya muy pocos eran tan crédulos como para temer un ataque semejante. El 10 de noviembre de ese año, sin embargo, todo cambió. Bubbleboy, un gusano de origen argentino, obró la taumaturgia y el bulo de Good Times se hizo profecía.
Posible lo imposible
Bubbleboy irrumpió con dos giros conceptuales en el panorama de la virología informática: el primero, ser capaz de hacer posible lo aparentemente imposible: convertir cada e-mail en una amenaza potencial de infección; el segundo, aplicar el corpus teórico de los expertos en detectar vulnerabilidades informáticas (como el español Juan Carlos Cuartango o Georgi Guninski) en la praxis vírica, aprovechar los puntos débiles de Windows para encontrar vías de propagación.
Se trataba de dejar de depender de la interacción del usuario para conseguir que un virus pudiese autoejecutarse en una máquina remota, y el de Bubbleboy fue un primer paso decisivo en tierra firme.
Todo fue posible gracias a la vulnerabilidad Scriptlet.Typelib, descubierta el 31 de agosto y corregida desde el 2 de septiembre en los ordenadores de todos los usuarios que se hubiesen interesado en proteger su sistema: pocos.
Cabría haber esperado una rápida reacción por parte de millones de internautas asustados por el impacto del virus, pero la realidad es que la desidia a la hora de instalar el parche de Microsoft trajo la aparición de epidemias similares, como el gusano chino Unicle.
Otro vástago de la misma subespecie, el ruso Kak, delató en julio de 2000 que, ocho meses después, todavía cientos de miles de ordenadores seguían siendo vulnerables. La sangre, sin embargo, no llegó al río. Bubbleboy era un especimen de laboratorio; Unicle había sido programado para funcionar sólo en China, y Kak era un patógeno inocuo, a pesar de su longeva prevalencia en Internet.
También lo era el virus Sadmind, descubierto el 22 de mayo de 2001, a pesar de que atacaba una vulnerabilidad del IIS (Internet Information Server, el servidor de páginas de Microsoft) documentada apenas tres semanas antes. Pero el camino había quedado abierto y debidamente sembrado.
Hubo que esperar hasta el 10 de agosto para topar con las primeras consecuencias económicas de consideración derivadas de una negligencia a la hora de parchear el sistema.
El gran colapso
El agujero, similar al explotado por Sadmind y recogido en la web de Windows desde el 18 de julio, propició la aparición en escena de CodeRed y CodeGreen; el primero cobró especial prevalencia en empresas y provocó uno de los mayores colapsos recordados en Internet, equiparable a los de Melissa o I love you. No en vano, CodeRed, al igual que ha sucedido en el caso reciente de Blaster, también tuvo su Nachi: un patógeno de las mismas características y calificable como "benigno", CodeBlue, surgió con el cometido de vacunar los ordenadores y desinfectar o prevenir el ataque de CodeRed.
La oleada de los Code, no obstante, tuvo una repercusión mínima entre los usuarios, dado que la aplicación IIS está dedicada de manera casi exclusiva al uso empresarial.
Poco después aparición la vulnerabilidad IFRAME. Microsoft la descubrió el 29 de marzo de 2001, pero por motivos que nunca han sido explicados con claridad, transcurrieron dos meses hasta la distribución del parche de protección.
Demasiado tarde. Y suficiente para que se aprovechara Vecna, un veterano brasileño del panorama vírico, reconocido como uno de los mejores autores a nivel internacional.
Miles de copias de su gusano Puron fueron localizadas en Internet el 9 de mayo, pero Microsoft no movió pieza hasta el día 25. Por suerte, la distribución del patógeno brasileño, al encarnar un ensayo conceptual más que un intento de epidemia, no llegó a traducirse en términos críticos; pero el precedente quedaba sentado para que otros lo emulasen y superasen.
La vulnerabilidad IFRAME, heredera directa de Scriptlet.Typelib (la que Bubbleboy explotaba), permite la autoejecución de código arbitrario sin aquiescencia o conocimiento por parte del usuario, bastando la simple lectura de un correo portador para desencadenar una infección local.
Es la más peligrosa, junto con DCOM RPC (empleada por Blaster), y también la más prolífica. De ella se han aprovechado ya más de diez virus, encabezados por Klez y Nimda, que aun hoy, transcurrido más de un año desde su aparición, se encuentran entre los cinco patógenos más activos.