Virus informáticos, gusanos, manipuladores de datos, programas asesinos y otras amenazas para su sistema: qué son, cómo funcionan y cómo proteger su PC, Mac o mainframe.

Título original: "Computer Viruses, Worms, data diddlers, killer programs and other threats to your system - What they are, how they work and howow to defend your PC, Mac or Mainframe".

Diseño: Janet Tingey

Catalogación de la Biblioteca del Congreso: McAfee, John.

Virus informáticos, gusanos, manipuladores de datos, programas asesinos y otras amenazas para su sistema / John McAfee y Colin Haynes, pág. cm.

ISBN 0-312-03064-9 (tapa dura)

ISBN 0-312-02889-X (tapa blanda)

1. Virus informáticos. I. Haynes, Colin. QA76.76.C68M38 1989 005.— dcl9

Prólogo

de John C. Dvorak

Recientemente recibí una carta de un seguidor de mi columna en PC Magazine. Había descifrado una sección del código fuente de un virus informático que mostraba cómo el mismo buscaba el aviso de Copyright de IBM en el chip BIOS de memoria de solo lectura del ordenador, el cual controla muchas de las funciones del equipo de escritorio. Al parecer, este virus solo atacaba a máquinas que no eran de IBM. A principios de año predije que los virus podrían diseñarse para ser más específicos en sus objetivos. Sugerí en mi columna que un fabricante o vendedor podría crear un virus que destruyera a su competencia añadiendo pequeños errores a otros programas. Luego, sugerí que los creadores mismos podrían escribir un virus para acusar que terceros intentaban destruirlos. Finalmente, llegué a la conclusión de que de esto nada bueno resultaría. Estos virus y quienes juegan con ellos son una mala noticia para todos. Lo peor de la problemática de los virus es que la comunidad informática no quiere afrontarlo.

Cuando hace un par de años hablé por primera vez sobre virus, me hizo gracia encontrar en mi correo un largo memorándum de un lector que había recortado un fragmento de un pequeño boletín informativo del Medio Oeste estadounidense, publicado por un vendedor de disquetes de dominio público para usuarios de PC. En dicho boletín, el autor me condenaba a mí y a otros escritores de fomentar el miedo público a los virus. Tituló su artículo: «¡Los virus no existen!». Me hizo gracia meses después, cuando la nación entera se horrorizó por la propagación accidental de un virus a través del sistema de correo ARPANET, causando pánico generalizado.

Lo cierto es que los virus han llegado para quedarse, y es fundamental que para evitar desastres, la comunidad de usuarios del cómputo se informe de ello.

En muchos sentidos, la problemática de los virus es similar al del grafiti en las grandes ciudades. Curiosamente, los vándalos disfrutan del caos. Mientras sus grafitis permanezcan intactos, seguirán pintando con aerosol las barriadas. Pero si se borran y cubren de inmediato sin causar revuelo, los vándalos se escabullen a otras zonas de la ciudad donde puedan exhibir su obra. Los creadores de virus tienen la misma mentalidad, en cuanto a llamar la atención. Pero, al igual que con los grafiteros, la forma de lidiar con ellos no es ignorándolos ni glorificándolos. La clave está en mantener el entorno limpio.

Para los usuarios de computadoras, "mantener el entorno limpio" significa usar protección antivirus, realizar copias de seguridad del sistema periódicamente y ser prudentes al usar software de libre distribución o copias pirata. Una vez que los virus puedan ser buscados y eliminados sin problemas, es de esperar que los diseñadores de este tipo de código encuentren nuevas maneras creativas de canalizar su energía y hostilidad. Quizás lo que necesitemos sea un Lotus 1-2-3 del código de virus. Algo tan ingeniosamente diseñado y maravillosamente elegante que todos los demás programas antivirus sean objeto de burla y desprecio. Este enfoque para resolver el problema de los virus -de atravesar el ojo del huracán- podría ser la única solución para evitar que hackers y bromistas incompetentes -pero peligrosos- sigan programando e instalando virus en sistemas y archivos de todo el mundo. Un Lotus 1-2-3 de virus podría desmitificar la idea.

Hasta que ello ocurra, lo que necesitamos es concienciación. Este libro es un paso en la dirección correcta. Desafortunadamente, hay quienes desean proteger la integridad de la industria del software afirmando que nada de esto importa. Afirman que la gente no tiene por qué preocuparse por estas cosas, que todo el software comercial es seguro. Lamentablemente, ningún software es completamente seguro. Ni siquiera el software de proveedores comerciales es más seguro que el software de dominio público. Un compilador utilizado para crear el código final que se distribuirá como producto comercial fácilmente podría contener un virus diseñado para su infiltración subrepticia en productos comerciales. Repentinamente, el producto podría dejar de funcionar o borraría el disco rígido. La concienciación y el conocimiento son las armas clave que tenemos para combatir esta molestia. Utilizo la palabra molestia con temor porque esta molestia puede convertirse fácilmente en un flagelo si los virus se utilizan para infiltrarse en ordenadores militares gubernamentales o para dañar un sistema hospitalario vital. Dichas posibilidades no son descabelladas. La naturaleza indetectable de los virus más insidiosos deja claro que la intención maliciosa puede satisfacerse fácilmente utilizando un virus de forma cobarde para causar daño.

Es de esperar que la comunidad informática rechace la glorificación del código fuente malicioso y de quienes los elaboran. También debe estar al tanto de las amenazas de fuentes externas y rastrear y eliminar diligentemente el código malicioso dondequiera que se encuentre. Sobre todo, es fundamental aumentar el nivel de concienciación del público informático y del público en general mediante la educación. Este libro es un excelente punto de partida para ese proceso.

— John C. Dvorak, Berkeley, CA, junio de 1989

Prefacio

Todos los usuarios de ordenadores tienen la necesidad urgente de ser conscientes de la amenaza que representan los virus para su trabajo, su ocio y la propia integridad de sus sistemas. En este libro presentamos un panorama aleccionador y esperamos que algunos de nuestros peores escenarios no se materialicen. Pero la amenaza es real y debe tomarse en serio. Este libro ofrece soluciones al problema de las amenazas de software malicioso, que van desde bromistas y vándalos hasta delincuentes y terroristas. Todo usuario de ordenador puede contribuir significativamente a proteger su sistema. Sobre todo, no debemos dejarnos llevar por un miedo tan grande a los virus informáticos que nos impida usar esta maravillosa herramienta que la tecnología electrónica nos ha brindado para trabajar con mayor eficiencia y acelerar el progreso de la sociedad hacia una mayor calidad de vida, tanto laboral como personal.

Por eso, las buenas noticias de este libro son tan importantes. Puedes seguir usando y disfrutando de los ordenadores de forma segura si sigues las precauciones que aquí se describen. Esperamos que leas el libro primero para entretenerte e informarte, y luego lo tengas a mano como manual de autoayuda para estar al tanto de la guerra contra los virus informáticos que se libra en múltiples frentes. No se requieren conocimientos de informática para seguir la narración. La información técnica y la jerga informática se explican a medida que avanzamos, con referencias adicionales en el glosario al final. El nivel de conocimientos técnicos entre los usuarios de ordenadores es enorme, y hemos intentado tenerlo en cuenta sin confundir a los principiantes ni aburrir a los expertos. La mejor protección contra los virus es estar lo más informado posible sobre ellos y tomar las medidas de defensa adecuadas cuando sea necesario. Además de ayudarle a proteger su sistema contra la infección por virus y sus consecuencias, este libro revela una nueva dimensión de la informática y la forma en que consideramos y controlamos las máquinas que, más que ninguna otra, se han convertido en parte integral de la vida moderna.

Este libro es fruto de la colaboración entre un periodista de investigación y un destacado experto en virus informáticos. Para mayor claridad, está escrito con la voz de John McAfee, pero las opiniones expresadas son compartidas por ambos.

John McAfee

Colin Haynes

Silicon Valley, California

Agradecimientos

Agradecemos a todos los académicos y hackers, a las víctimas de virus y a muchas otras personas cuyo conocimiento y experiencia han contribuido a este volúmen. Un agradecimiento especial a nuestro agente, Bill Gladstone, y a nuestro editor, Michael Sagalyn, por su apoyo y confianza en lo que ha sido un proyecto desafiante, y a Judy y Kate por su lealtad y apoyo.

La Asociación de la Industria de Virus Informáticos (CVIA, por sus siglas en inglés), ubicada en 4423 Cheeney Street, Santa Clara, CA 95054 (Tel.: 408-727-4559), es la única organización internacional dedicada exclusivamente a la lucha contra los virus informáticos. Mantiene una cartelera electrónica especial sobre virus, accesible gratuitamente por módem al número 408-988-4004.

Para mentener un hogar cómodo y seguro, no basta con limpiar el disco rígido. Si una empresa necesita datos de sus disquetes de respaldo originales, el virus podría reaparecer, ya que quizás el origen de la infección sea una copia de respaldo en disco flexible.

No existe una solución fácil, le dice McAfee al empresario. Habrá que volver a introducir todos los datos manualmente, lo que requiere cientos de horas de trabajo, y los disquetes de respaldo de la empresa deben desinfectarse. Aun así, el sistema podría volver a infectarse con el mismo virus.

Aunque este caso está demostrando ser uno de los más persistentes de los más de 500.000 casos de infección por virus informáticos que se produjeron a principios de 1989, John McAfee cree estar cada vez más cerca de resolverlo. Tranquiliza al preocupado interlocutor asegurándole que no todos los datos se perderán. Se dispone a recuperarlos y, al mismo tiempo, a intentar capturar el programa del virus para analizarlo. Con suerte, se podrán desarrollar defensas contra él.

John toma el archivo con las notas del caso de esta víctima del virus y sale corriendo de su oficina hacia la gran autocaravana estacionada afuera. Se le ve cansado después de una semana atendiendo llamadas de emergencia como esta. La mayoría han sido de clientes de uno de los principales proveedores de hardware del Área de la Bahía de San Francisco, que tenían un virus en una computadora utilizada por su departamento de servicio. Esto, a su vez, ha infectado las máquinas de los clientes que pasaron por el departamento para reparaciones. Ahora están fallando, una tras otra, como bolos.

En cuestión de minutos, John introduce su unidad móvil de detección de virus en el denso tráfico que se dirige al norte por la autopista 101 hacia Silicon Valley. La unidad está diseñada para capturar el programa del virus intacto para poder someterlo a un análisis detallado. Una investigación in situ es vital porque es imposible replicar un entorno infectado con exactitud.

La unidad antivirus de John es la primera unidad especialmente diseñada para lanzar contraataques efectivos e inmediatos en la guerra contra los virus. Con el tiempo, es posible que haya muchas unidades móviles de detección, captura y destrucción de virus desplegadas por todo el mundo. Lo que sucede hoy en Silicon Valley, el corazón internacional de la industria informática, ocurre en Nueva York, París, Tokio y otros centros importantes, mientras la guerra contra los virus se extiende y afecta a todos los usuarios de computadoras. Por muchos antivirus que se creen o por muchas "vacunas" de software que se descubran, la epidemia continuará hasta que una gran parte de la población en riesgo alcance la inmunidad. Para los usuarios de computadoras, esa inmunidad podría tardar varios años en llegar, o al menos hasta que se desarrollen nuevas arquitecturas de sistemas con técnicas automáticas integradas para prevenir o retrasar la propagación de virus.

A pesar de los titulares que ha generado como figura clave en la lucha contra los virus, John no es dado a la exageración ni al espectáculo. Es delgado, de elegancia informal, con camisa deportiva y pantalones en otro glorioso día soleado de California; su barba y cabello están bien recortados, y tanto sus movimientos como sus palabras son precisos.

Ojalá fuera cierto, pues la realidad es tan alarmante que sería muy difícil exagerarla. Incluso si no se crearan nuevos virus, ya circulan suficientes como para causar un problema creciente a medida que se reproducen. Parece técnicamente factible que un virus pueda infectar una gran proporción de los 37 millones de ordenadores IBM y sistemas compatibles que existen en todo el mundo.

John fue presidente fundador de la Computer Virus Industry Association, creada por los principales fabricantes de software antivirus, y que ahora ha ampliado tanto su número de miembros como su función de proporcionar información de calidad sobre el fenómeno de los virus. También es presidente de Interpath Corp., una empresa informática de Silicon Valley a la que ha llevado al éxito internacional como proveedor de productos de reconocimiento de voz y seguridad. Lo que distingue a John de muchos de sus contemporáneos es una rara combinación de experiencia técnica en informática y conocimiento directo de las motivaciones de los hackers que propagan virus, así como una amplia perspectiva sobre las posibles consecuencias de sus acciones.

Nacido en Inglaterra, McAfee posee una curiosidad innata por las culturas y el comportamiento humano. Recorrió el mundo como explorador intelectual durante un tiempo. año y se involucró en el extraño mundo del hacking al fundar la National Bulletin Board Society. Está involucrado con los mejores hackers técnicos y los estudia diariamente a través de sus reveladores mensajes en el foro.

Además, mantiene contactos personales regulares con quienes están dispuestos a comunicarse de forma más convencional. La Agencia de Seguridad Nacional lo considera una fuente autorizada, sus clientes corporativos lo contratan como asesor de confianza y la mayoría de los hackers lo ven como un adversario digno.

«Incluso los ordenadores más modernos, como el Next o el modelo 3090 de IBM, son vulnerables a los virus», subraya John. «Hay 50 millones de sistemas expuestos a la amenaza de infección y tendremos un problema que irá en aumento durante muchos años».

John finalmente aparca la autocaravana en el estacionamiento del cliente y se prepara para una tarde ajetreada. Conecta su equipo y comienza a ejecutar una prueba del código ejecutable del sistema del cliente; estas son las instrucciones de software que permiten la ejecución de los programas. Si estas secciones del código original han sido modificadas y, en particular, si esta prueba revela que hay más código ejecutable del que debería haber en el sistema, hay motivos para sospechar que puede haber un virus. La secuencia de pruebas se interrumpe entonces para un examen más detallado.

John registra constantemente el estado de todo el sistema, buscando en los distintos archivos, la programación y los datos almacenados en los discos magnéticos y en las memorias de los microchips. Localiza y examina archivos ocultos, cuya existencia el usuario común jamás sospecharía. John compara periódicamente el funcionamiento del sistema en su estado actual de infección con su funcionamiento óptimo. El volumen de pruebas que debe analizar es abrumador mientras busca las características clásicas de una infección viral. La unidad móvil de detección de virus dispone de un arsenal de herramientas electrónicas, necesarias en este caso particularmente complejo.

Un portátil Zenith funciona como equipo portátil de diagnóstico y reanimación médica, que puede llevarse a la oficina y conectarse inmediatamente al sistema de la víctima. El portátil cuenta con una amplia gama de herramientas de software especializadas que permiten analizar y descomponer segmentos de código máquina en busca de la infección. Una vez localizado, el virus se captura en un disquete y se transfiere a un ordenador de sobremesa instalado en la autocaravana. Este ordenador de sobremesa se parece a millones de otros en hogares y oficinas, pero su diseño interno y sus componentes han sido modificados exhaustivamente para crear una especie de prisión electrónica donde el virus puede propagarse sin causar daños permanentes.

El sistema de McAfee fomenta la replicación del virus, ofreciéndole diversos entornos informáticos para que pruebe hasta encontrar uno donde prosperar. Un software especializado monitoriza su actividad y, tras varios minutos, el monitor muestra la advertencia: «Posible actividad de virus en curso», y John exclama: «¡Bingo!».

La investigación continúa y las pruebas van surgiendo poco a poco. Ha detectado una variante modificada del «Virus del Viernes 13», que se detectó por primera vez en Israel e infectó miles de sistemas en Estados Unidos en 1988. Volvió a propagarse en Gran Bretaña en 1989, afectando a cientos de sistemas más. John sigue permitiendo que el programa del virus se ejecute para comprender su funcionamiento y replicación. Ahora ha infectado un programa básico de mantenimiento llamado WHERE-IS.COM y también lo ha convertido en un virus. La infección se está propagando rápidamente, ya que el software de detección especial de John muestra que está intentando infectar XDIR, otro programa de mantenimiento que organiza las tareas básicas del sistema operativo de las que dependen las aplicaciones, como procesadores de texto u hojas de cálculo. El ordenador de John, convertido en prisión para virus, está plagado de infecciones, pero cuenta con un disco duro aislado que puede desconectarse del resto del equipo a voluntad para evitar que la situación se descontrole. Si se tratara de un sistema normal, todos los datos y programas operativos ya estarían comprometidos.

«Uno de los problemas al analizar virus es que se suele destruir la información del sistema en el proceso», explica John. Instala más software que tomará una serie de registros de «instantáneas» de lo que está sucediendo, monitorizando cada paso de la propagación de la infección y revelando detalles sobre la habilidad de este virus tan sofisticado para ocultar sus actividades.

Finalmente, logra aislar el virus. Luego, con un software especial, John toma un fragmento del programa del virus y lo guarda en un disquete.

Tras transferir la muestra a un tercer ordenador en la autocaravana, comienza un análisis de laboratorio más detallado. Este sistema cuenta con un conjunto de utilidades de software que descomponen eficazmente el programa del virus, revelando sus secretos e, idealmente, indicando qué contramedidas se pueden tomar de inmediato para ayudar al paciente, angustiado, a salvar al menos parte de sus datos.

Desafortunadamente, en este caso, el tratamiento solo puede ser parcialmente efectivo. El virus es una de varias versiones de un tipo particularmente pernicioso que se divide en diferentes segmentos, todos los cuales pueden replicarse y provocar un rebrote de la infección posteriormente. John está tan frustrado como el cirujano espera.

Ha extirpado todo el tejido canceroso, pero teme que el paciente vuelva pronto a la mesa de operaciones con más focos de malignidad.

Transfiere el disquete con el virus a un cuarto sistema en la autocaravana, uno que cuenta con monitores y controladores especiales para comprobar si hay algún aspecto del virus que se active con ciertos tipos de pantallas. Cierta actividad viral solo se produce en estos entornos. La identificación parece completa y John regresa a la oficina de la víctima. Tranquiliza al preocupado director ejecutivo, asegurándole que aún hay esperanza de que se puedan salvar muchos de los registros corporativos esenciales y que el riesgo de reinfección se ha reducido. Sin embargo, no hay garantías.

John etiqueta cuidadosamente los disquetes infectados que ha creado para llevarlos a su laboratorio para un análisis más exhaustivo. Llevan una distintiva marca de calavera y tibias cruzadas, que solo debe usarse con el hardware especialmente modificado y protegido para la investigación. Luego repara el sistema de la empresa e inicia los procedimientos que permitirán recuperar gran parte de los datos perdidos.

La reacción de la gerencia ante el problema del virus ilustra los importantes efectos emocionales y psicológicos de una infección, que pueden agravar el daño causado a las actividades de procesamiento de datos. Se inicia una búsqueda automática de un culpable mientras se elaboran planes para minimizar las consecuencias de la emergencia en las operaciones de la empresa. El gerente de procesamiento de datos promete implementar procedimientos de seguridad para prevenir otra infección, pero sabe que no puede estar seguro de lograrlo. En el cajón de una secretaria, en una sucursal remota o en el despacho de un ejecutivo en su casa, podría estar oculto un disquete infectado. Está esperando la oportunidad de volver a entrar en este sistema, o invadir otro, para comenzar a replicarse y causar más daño.

John regresa a casa con la evidencia de otra infección viral. El programa rebelde se ha convertido en un prisionero de guerra que proporcionará información importante para fortalecer las defensas contra él, pero esta es solo una pequeña victoria sobre un enemigo formidable.

Capítulo 1: ¿Qué es un virus informático? Definición de un fenómeno tecnológico

Un virus es un programa informático creado para infectar otros programas con copias de sí mismo. Tiene la capacidad de clonarse, lo que le permite multiplicarse y buscar constantemente nuevos entornos. Su única función puede ser replicarse y propagarse de un sistema a otro. O bien, el virus puede estar diseñado para dañar otros programas, alterar datos y, posteriormente, autodestruirse, sin dejar rastro, lo que impide el desarrollo de defensas contra él.

Los virus, al igual que los microorganismos infecciosos, suelen ser pequeños, con relativamente pocas líneas de código que pueden ocultarse fácilmente en software legítimo, lo que dificulta enormemente su detección. Pueden infectar cualquier ordenador, desde un portátil hasta un mainframe multimillonario. Un virus puede crearse en cualquiera de los millones de ordenadores personales en uso y luego transmitirse a través de líneas telefónicas o discos infectados a otros sistemas, donde puede reproducirse en microsegundos y dañar los sistemas más grandes, incluso a miles de kilómetros de distancia.

Los virus informáticos pueden ser inofensivos y causar solo diversión o molestias, o malignos y maliciosos cuando destruyen o alteran datos. Una vez que un virus se activa en un ordenador, la infección puede propagarse rápidamente por la red a otros sistemas.

Un virus puede adjuntarse a otros programas y ocultarse en ellos. También puede infiltrarse en el sistema operativo del ordenador, el programa que actúa como su sistema nervioso. El sistema operativo regula el flujo de información e instrucciones hacia la unidad central de procesamiento (CPU), que es el equivalente al cerebro. Todos los sistemas operativos —por ejemplo, MS-DOS, PC-DOS, UNIX y otros— son vulnerables, algunos más que otros.

Aunque la mayoría de los virus afectan al software, algunos han causado daños físicos al sobrecargar el sistema, de forma similar a acelerar el motor de un coche en una marcha intermedia hasta que se sobrecalienta y se avería. Sin embargo, esto rara vez ocurre. El mayor peligro reside en la destrucción o manipulación de datos, lo que puede desencadenar una reacción en cadena con graves consecuencias que se extienden más allá del propio sistema informático. Los efectos de un virus son ilimitados. Un virus podría interrumpir los procesos industriales al corromper los datos enviados a la maquinaria controlada por computadora, provocando fallas en dicha maquinaria o la producción de productos defectuosos. Las consecuencias de una infección viral también podrían ser mortales; por ejemplo, al causar el mal funcionamiento de los sistemas de control de tráfico aéreo y de defensa. A medida que nuestros automóviles incorporan motores, transmisiones y sistemas de control de frenado computarizados más sofisticados, estos podrían volverse vulnerables a un virus introducido en los sistemas de fabricación que producen los componentes computarizados.

Virus

Los virus pueden ingresar a los sistemas informáticos desde una fuente de software externa, a menudo ocultos en un programa aparentemente inofensivo, al igual que los griegos dentro del caballo de Troya. Estos programas suelen ser atractivos para la víctima inicial, de modo que exista un incentivo para ejecutarlos, quizás en forma de un nuevo juego o disfrazados como un correo electrónico de un amigo o socio comercial.

La infección se propaga principalmente mediante (1) discos contaminados, en particular copias piratas de software comercial propietario; o (2) mediante la comunicación informática a través de líneas telefónicas, ya sea dentro de una red o directamente con otro sistema. Cuando un virus se introduce en una red, puede propagarse en cuestión de horas a miles de computadoras conectadas a ella, como ocurrió con la infección de Internet/Arpanet en noviembre de 1988 por el virus informático de un estudiante de posgrado.

Los virus pueden volverse destructivos tan pronto como ingresan a un sistema, o pueden programarse para permanecer latentes hasta que se activen mediante un desencadenante: una bomba lógica o de tiempo integrada en el programa. Este desencadenante puede ser una fecha o hora predeterminada, o una secuencia inocente de pulsaciones de teclado para realizar una función rutinaria, como buscar un directorio en el disco. Incluso si un sistema infectado parece haber sido desinfectado, existe una forma perniciosa de virus que puede reaparecer y causar nuevos problemas.

Los programas de virus informáticos son relativamente fáciles de escribir, por lo que muchos programadores pueden adquirir fácilmente los conocimientos necesarios para crearlos. Se requieren aún menos conocimientos informáticos para infiltrarse en sistemas desprotegidos y propagar la infección. Incluso los virus más simples pueden ser peligrosos, ya que pueden reproducirse rápidamente y sobrecargar el sistema sin ninguna intención deliberada de dañar los datos.

Los síntomas de una infección viral suelen ser difíciles de detectar, a veces incluso para los expertos. La mayoría de los sistemas de seguridad informática actuales no son completamente eficaces contra los virus; de hecho, algunos incluso facilitan su propagación. Cada vez hay más programas de detección y protección de virus en el mercado, pero algunos de ellos tienen un valor muy limitado.

Aunque los usuarios de computadoras deben proteger sus sistemas de los virus, no todos los virus representan una amenaza para el sistema. Existe un lado positivo en este oscuro fenómeno. Los programas de virus que se reproducen y se adaptan a diferentes entornos informáticos pueden utilizarse de forma positiva para aumentar la versatilidad del software. Algunos virus pueden resultar graciosos, sin intención maliciosa, pero su capacidad inherente de replicación puede provocar que se descontrolen. A menudo, los virus incluyen errores de codificación que hacen que los virus maliciosos sean extremadamente dañinos. La mera presencia de un virus aparentemente inofensivo en un sistema puede causar problemas, ya que los virus pueden entrar en conflicto con programas preexistentes. Otra consecuencia importante de la infección es el tiempo perdido para encontrar el problema, solucionarlo y recuperar los datos perdidos, sumado a la interrupción que sufre la organización al perder sus recursos informáticos mientras esto sucede. La Asociación de la Industria de Virus Informáticos (CVIA) estimó que la infección de InterNet/Arpanet en Estados Unidos en noviembre de 1988 costó a los usuarios al menos 98 millones de dólares. Fue creada por un estudiante de posgrado de la Universidad de Cornell como una broma.

Capítulo 2: El potencial de daño no realizado

El riesgo de infección por virus informáticos se ha convertido en un peligro inherente a la informática que empeorará antes de mejorar. Aunque no se creen más virus, ya circulan suficientes como para que los grandes desastres informáticos sean inevitables. Más de cien de las mayores corporaciones industriales de Estados Unidos ya han sido infectadas por virus; los detalles sobre estos virus y los daños que causan son secretos corporativos celosamente guardados. Naturalmente, estas corporaciones no desean divulgar ninguna vulnerabilidad implícita.

La mayoría de las organizaciones que han sufrido un ataque viral no calculan con precisión el daño sufrido en términos monetarios directos, ya sea por las horas de trabajo perdidas o por la interrupción de sus actividades. La CVIA realizó un análisis detallado de los costos de la reacción en cadena que siguió a la infección de las redes InterNet/Arpanet en Estados Unidos el 2 de noviembre de 1988. (Esta infección, quizás un anticipo de brotes peores por venir, se describirá en detalle más adelante). Robert T. Morris, Jr., un joven graduado en informática de la Universidad de Cornell, creó un virus y lo insertó en las redes InterNet/Arpanet interconectadas. El Pentágono tiene un gran interés en estas redes porque facilitan el diálogo entre investigadores que realizan actividades con posibles aplicaciones de defensa. De hecho, toda la nación debe preocuparse por los ataques de virus a dichas redes, que son un activo nacional invaluable, que conecta a algunas de nuestras mentes más brillantes de manera altamente eficiente para ayudar a mantener nuestra competitividad tecnológica.

La confianza en Internet se vio gravemente comprometida por la facilidad con la que El virus fue la causa de la invasión del sistema por parte de Robert Morris y su rápida propagación. Como resultado, la eficiencia de la red como medio de comunicación para la investigación, la docencia y la tecnología se vio mermada, aunque no de una forma fácilmente cuantificable en términos económicos. Sin embargo, la encuesta de la CVIA sí sitúa otros aspectos de este incidente en una dura perspectiva financiera.

El daño económico del virus de Internet

Estimaciones conservadoras sitúan el impacto del virus de Internet en aproximadamente 8 millones de horas de tiempo de acceso perdido y más de un millón de horas de mano de obra directa necesarias para recuperarse de la infección. El coste total se estima en 98 millones de dólares. El virus resultó ser el incidente más costoso en la historia de la informática, a pesar de que el programa escrito por Robert Morris era relativamente inocuo y se difundió sin ninguna intención maliciosa, más bien como una broma o un juego intelectual. El daño habría sido mucho mayor si el virus hubiera sido clasificado como destructivo.

El coste inusualmente elevado del virus de Internet se debe al tamaño de la red y al número de máquinas infectadas. Internet comprende 1200 redes individuales y un total de 85 000 ordenadores conectados. El virus se propagó por toda la red e infectó a más de 6200 ordenadores. Tras el ataque, la mayoría de las redes quedaron fuera de servicio, algunas durante hasta cinco días. Los usuarios cuyo trabajo dependía del acceso a la red quedaron aislados y la productividad se vio afectada. Los ordenadores diseñados para comunicarse, funcionar como servidores de archivos o realizar funciones relacionadas con la red quedaron inactivos. Esta pérdida de acceso y el tiempo de inactividad de los equipos constituyen una pérdida indirecta cuantificable. De forma conservadora, se estima que las pérdidas ascienden a unos 65 millones de dólares.

La mano de obra directa también representó una pérdida económica considerable. Se requirió tiempo de programadores para identificar los ordenadores infectados, desinfectarlos y volver a ponerlos en funcionamiento. Durante las primeras horas de la infección, se desconocía el mecanismo del virus y muchos equipos desinfectados se reconectaron a la red, solo para volver a infectarse. Este proceso de reinfección requirió decenas de miles de horas de trabajo para su eliminación.

Tras la clara identificación del virus, cientos de programadores de todo el país unieron esfuerzos para diseñar e implementar un parche que previniera la reaparición de la infección. Este esfuerzo, una vez más, requirió decenas de miles de horas de trabajo. Estas y muchas otras actividades, algunas de las cuales se prolongaron durante semanas, sumaron un total de 796 000 horas de programación. El costo, con un promedio nacional de 22 dólares por hora de programación, superó los 17 millones de dólares.

El tiempo administrativo y de gestión costó casi tanto como el tiempo de programación. El personal directivo participó desde el principio. Dirigir el trabajo de los programadores, planificar las respuestas adecuadas, informar a la alta dirección sobre el proceso de recuperación, supervisar el progreso, gestionar las relaciones con los medios y resolver otros numerosos problemas derivados del virus consumieron más de 300 000 horas administrativas y de gestión. Con un costo promedio de 42 dólares por hora para dicho personal, los costos administrativos se acercaron a los 15 millones de dólares.

El costo total de esta infección ascendió a 98 253 260 dólares. El gráfico titulado «Costos del virus de Internet» detalla los gastos por partida.

Estas estadísticas son estimaciones conservadoras del daño causado por un virus simple que no tenía la intención de provocar daños reales. Errores en la programación, por lo demás muy hábil, de Morris, hicieron que el virus continuara replicándose tras infectar un nuevo sistema anfitrión, sobrecargando así tanto los sistemas como las redes mediante esta clonación. Los sistemas sobrecargados colapsaron a pesar de que el virus no contenía instrucciones específicas para dañarlos.

Más allá de Internet

El incidente de Internet generó una gran repercusión mediática. Debido a la facilidad con la que los medios de comunicación pudieron identificar a las víctimas y a la visibilidad de las consecuencias de la infección, se ha convertido en un fenómeno legendario, el primer gran problema de virus informáticos. De hecho, muchos sistemas sensibles de defensa y otros sistemas gubernamentales, así como sistemas empresariales de gran importancia comercial, ya habían sido vulnerados por hackers y saboteadores. A menudo, los elaborados procedimientos de seguridad siguen demostrando ser vulnerables a las actividades de adolescentes talentosos con modestos microordenadores y módems telefónicos, empleados descontentos que buscan venganza, rivales comerciales o grupos de protesta política. Todos ellos cuentan con una nueva arma terrorista gracias a la tecnología moderna, fácil y segura de usar.

Sistemas con potencial para influir en decisiones de vida o muerte, como los sistemas de historiales médicos, también han sido vulnerados. Una infección en estos sistemas expone a todos a las consecuencias más graves del delito informático y el vandalismo. El mayor riesgo proviene de los "hackers del lado oscuro", adictos a la informática que exhiben un comportamiento antisocial o incluso delictivo y que demuestran repetidamente su capacidad para infiltrarse en sistemas. Solo recientemente se les ha clasificado con precisión como una amenaza.

Un gran avance en este sentido se produjo con el arresto en Los Ángeles de Kevin Mitnick, de veinticinco años, en diciembre de 1988. Mientras estaba detenido por cargos que incluían daños por valor de 4 millones de dólares a Digital Equipment Corporation mediante sus actividades de piratería informática, fue descrito en las audiencias como un ciberterrorista. No había forma de proteger a la sociedad de él si quedaba en libertad; incluso sus llamadas telefónicas desde prisión estaban supervisadas. Estos ciberdelincuentes han desarrollado una habilidad extraordinaria para invadir sistemas, y los programas virales les proporcionan armas inimaginables para causar daños.

El potencial de daño de las infecciones se ve enormemente incrementado por su efecto de fuego cruzado. Un virus puede crearse y dirigirse a un propósito específico, pero, una vez liberado, puede multiplicarse y atacar aleatoriamente.

Los sistemas informáticos personales son particularmente vulnerables. Hasta febrero de 1989, más de 500.000 ordenadores de sobremesa personales habían sido infectados en todo el mundo; muchos más casos no se denuncian. Algunas infecciones incluso pueden pasar desapercibidas cuando son causadas por virus diseñados para permanecer invisibles. Con frecuencia, los sistemas se infectan con virus de acción retardada que solo revelan su presencia tiempo después.

Las consecuencias de una infección pueden ser devastadoras para los usuarios de un sistema personal que falla; ya estamos experimentando el equivalente a nivel individual de los desastres informáticos corporativos. Un autor que ha dedicado años a preparar un manuscrito, un médico con historiales clínicos y resultados de pruebas en su ordenador, un estudiante que trabaja en una tesis compleja, una pequeña empresa con contabilidad informatizada, un científico dedicado a una investigación importante.

Otro daño potencial de los virus informáticos, en gran medida desconocido, es que pueden utilizarse para la extorsión dentro de la comunidad informática. El miedo a los programas capaces de destruir datos valiosos puede aterrorizar a una posible víctima. Las amenazas anónimas de que se ha introducido un virus en un sistema o las falsas alarmas de infección han interrumpido gravemente las operaciones normales de muchas empresas. La comprobación del buen funcionamiento de los sistemas fue una de las consecuencias más costosas de la infección de Internet. Del mismo modo que las amenazas de bomba se han convertido en una amenaza en muchos países, las falsas amenazas de virus podrían causar un caos similar entre los usuarios de ordenadores. Mucho se puede hacer, incluso con las limitadas defensas actuales contra los virus, y los capítulos posteriores muestran cómo los usuarios pueden desarrollar la suficiente confianza en las precauciones que han tomado para continuar procesando sus datos a pesar de este tipo de terrorismo, del mismo modo que las aerolíneas mantienen sus aviones en vuelo a pesar de las amenazas de sabotaje.

Aunque una amenaza de virus puede ser grave, la complacencia puede surgir si hay demasiadas falsas alarmas: la clásica situación de «¡Que viene el lobo!». Las estadísticas de la CVIA indican que el 96 % de todas las infecciones reportadas no son virus, sino bombas lógicas, troyanos, gusanos, errores de programación, errores del operador, fallos de software o problemas similares que incitan a los usuarios a correr riesgos. Hay una pesadilla en particular que atormenta a quienes han estudiado a fondo el problema de los virus y comprenden el daño extremo que pueden causar estos programas maliciosos.

Una infección tan letal no sería difícil de crear: un hacker brillante de quince años podría hacerlo y mantener su secreto para que nadie más supiera de la existencia de un programa malicioso. El virus podría haberse colocado en una BBS pública con una mecha muy larga, quizás de dos años, hasta que se propagara a millones de ordenadores personales en todo el mundo.

El hacker podría haber preparado la espoleta, por ejemplo, para el 2 de enero de 1991, y simplemente esperar. Desde un sistema de cartelera electrónica se propagaría a otros sin ser detectado, infiltrándose en redes y en discos duros y disquetes, en Estados Unidos y en el extranjero. Cuando se activara, el virus destruiría cantidades inimaginables de datos simultáneamente. Un virus de este tipo podría atacar los 37 millones de ordenadores IBM existentes y sus sistemas compatibles (por supuesto, también podría alcanzar minicomputadoras y mainframes).

Armas terroristas

Las autoridades suelen mostrarse escépticas ante las sugerencias de que los virus se conviertan en un arma terrorista importante o una amenaza para la seguridad nacional. Un informe del Congreso sobre el tema reconoció que la posibilidad de actividad terrorista por virus informáticos tiene implicaciones inquietantes, pero prestó poca atención a este tema porque hasta ahora se han registrado pocos casos de ataques virales dirigidos a objetivos específicos. De hecho, las autoridades se están tomando la amenaza terrorista mucho más en serio de lo que están revelando. Afortunadamente, ahora hay conciencia de ello.

Entre los asesores de agencias gubernamentales en materia de seguridad informática, se señala que, contrariamente a algunas opiniones de expertos ampliamente difundidas, los terroristas pueden seleccionar objetivos vulnerables para los virus con relativa facilidad.

Resulta preocupante que grupos terroristas de alto nivel estén estudiando el uso de virus, del mismo modo que los gobiernos temen que los terroristas puedan utilizar algún día dispositivos nucleares o tecnología química y biológica para promover sus objetivos políticos. El virus informático les resulta especialmente atractivo. Podrían formar un equipo con conocimientos de ingeniería informática que, con muy poco riesgo, podría lanzar una ofensiva electrónica con el potencial de perturbar gravemente los asuntos de cualquier nación.

De hecho, los virus informáticos podrían empezar a cambiar el equilibrio político de poder de forma notable. Representan las primeras armas que podrían ser desplegadas a bajo coste y con relativamente poco riesgo por individuos, grupos o países pequeños contra las grandes empresas o las principales potencias. Un gobierno hostil del Tercer Mundo puede adquirir fácilmente la capacidad potencial de causar graves daños a las instalaciones informáticas en Moscú, Washington o cualquier otro centro de poder político, militar o económico. Un país que no dependa críticamente de las computadoras podría lanzar virus capaces de paralizar el procesamiento de datos en naciones tecnológicamente más avanzadas. Dicho gobierno no tendría que preocuparse por dirigir con precisión esos virus para contener su propagación y, por lo tanto, proteger a los responsables del riesgo de infección.

Por otro lado, los virus pueden dirigirse fácilmente a objetivos específicos cuando sea necesario. Si, por ejemplo, los soviéticos quisieran lanzar una ofensiva de virus informáticos, podrían tomar precauciones para evitar que la infección se les volviera en contra. Existen muchas maneras de asegurar que solo se inactiven sistemas específicos, incluso si se adopta un enfoque indiscriminado para infectar la mayor cantidad de sistemas posible. Se podría crear un virus que se replicara entre los 37 millones de PC y compatibles en Occidente, pero el programa podría escribirse de tal manera que permaneciera oculto y no causara daños hasta que alcanzara un sistema central específico. El objetivo podría ser, por ejemplo, los Laboratorios Lawrence Livermore, cuyos sistemas no clasificados y de menor seguridad ya han sido infectados por virus en varias ocasiones, incluso durante el brote de Internet.

El programa podría enviarse a cualquiera de los 28.000 sistemas de carteleras electrónicas, muchos de los cuales tienen "puertas traseras" (puntos de entrada ocultos que eluden los procedimientos de seguridad) y, por lo tanto, nunca se pueden garantizar completamente su seguridad. Robert Morris utilizó una puerta trasera dejada en el sistema operativo de Internet por un ingeniero de software que quería acceder a su programa posteriormente para modificarlo. En realidad, no importa a qué cartelera electrónica se infiltre el virus —podría ser una pequeña BBS local en Nashville—, ya que eventualmente se propagará a otras BBS y sistemas.

Cuando la infección del virus alcance un nuevo host, comprobará automáticamente si el sistema está en su lista de objetivos. El programa podría estipular que el virus solo cause daños si se identifican ciertas características en el sistema host. El virus podría afectar únicamente a sistemas que operen en inglés y no causar daños si encuentra caracteres griegos, franceses, alemanes, rusos u otros caracteres distintivos de idiomas extranjeros. Si el virus llega a un sistema que su creador no desea atacar, podría permanecer inactivo, aunque aún puede reproducirse y propagarse cuando surja una oportunidad a través de la red o el intercambio de disquetes.

Con el tiempo, ese virus comenzará a propagarse a grandes organizaciones; prácticamente todos los mainframes procesan datos que se originan en microordenadores. Tarde o temprano, el virus alcanzará su objetivo y se activará automáticamente para causar daños, incluso podría enviar un mensaje a su creador informándole de que ha comenzado a trabajar. Podría llevar años, pero ese escenario es posible. (De hecho, es posible que un virus de este tipo ya se haya introducido y esté propagándose por el mundo de los ordenadores personales). Hemos visto cómo un virus puede ocultarse y evadir la detección mientras continúa replicándose rápidamente. El virus Pakistani Brain, que ha infectado miles de ordenadores personales, creó sectores especiales en los discos magnéticos utilizados para almacenar programas; sectores que el operador del ordenador no puede leer, por lo que la mayoría de los usuarios desconocen su existencia. El virus se oculta en esos sectores y los utiliza para reproducirse sin ser detectado.

Una enfermedad insidiosa

Las infecciones informáticas pueden permanecer prácticamente indetectables hasta que sus creadores deciden hacerlas visibles. Por ejemplo, los principales propagadores de virus pertenecientes al Chaos Computer Club de Alemania Occidental manipularon archivos de la NASA durante cinco meses antes de ser descubiertos. Afirman haber dejado programas maliciosos que pueden activar a voluntad. Los expertos de la NASA han desestimado estas afirmaciones. Afirmaciones, pero sin convencer a quienes respetan la destreza técnica del Club. No hay forma de estar completamente seguros de que no existan más virus ocultos en diversos sistemas de la NASA o, incluso, en los sistemas del FBI, la CIA o el IRS, que se esperarían seguros, pero que ya han sido vulnerados por hackers. Las técnicas de diagnóstico y verificación de seguridad disponibles actualmente no pueden ser 100% efectivas para identificar y combatir todas las variantes de virus informáticos, especialmente porque constantemente se crean nuevos virus para ser más eficientes en eludir la detección.

Los sistemas estratégicos, como las redes de defensa, cuentan con mayor protección contra infecciones que los sistemas informáticos empresariales típicos, ya que suelen emplear sistemas operativos muy diferentes. Sin embargo, siempre existirá cierto riesgo debido a la creciente sofisticación de los virus. Puede ser muy difícil para un virus acceder a un sistema de este tipo, pero una vez dentro, y debido a la rápida evolución de la situación y a la gran cantidad de factores desconocidos, nadie puede cuantificar con precisión el alcance de la infección viral actual ni lo que probablemente se desarrolle en el futuro. Incluso si no se creara ni se lanzara ningún otro virus, el problema persistiría. Los virus existentes continuarán replicándose e infectando más sistemas. Existe una escasez de información de calidad sobre la propagación de virus más eficientes, especialmente aquellos diseñados para ocultarse y los que utilizan programación de acción retardada. Una infección primaria suele pasar desapercibida y se atribuye a otros factores, como hardware defectuoso o errores del usuario. Solo cuando dos o tres personas en una red o que intercambian información experimentan dificultades similares, se empieza a sospechar que un virus sea la causa.

En cierto modo, las agencias de defensa y otras agencias gubernamentales parecen haber comprendido el potencial de daño de la amenaza de los virus con mayor rapidez que el sector privado. El software malicioso y autorreplicante capaz de invadir sistemas y dañar registros está fuera del ámbito de experiencia del típico responsable de seguridad corporativa, y la mayoría de los directores ejecutivos ni siquiera sabían de la existencia de los virus hasta que leyeron sobre ellos en BusinessWeek o Time. En la primera gran conferencia sobre virus para el sector empresarial, organizada por la firma de contabilidad Deloitte, Haskins + Sells en Nueva York en octubre de 1988, solo una pequeña proporción de los delegados tenía experiencia directa con un virus. En contraste, se han celebrado numerosas sesiones informativas confidenciales sobre seguridad informática para altos funcionarios gubernamentales. En estas reuniones a puerta cerrada se han presentado pruebas inquietantes sobre virus informáticos, gusanos y programas destructivos similares que se han infiltrado en sistemas de defensa, aeroespaciales, médicos, fiscales, de investigación y otros sistemas sensibles.

Sin embargo, los expertos en seguridad de organizaciones tanto gubernamentales como del sector privado, con los sistemas más grandes y mejor protegidos, no han logrado implementar medidas defensivas totalmente efectivas para proteger sus sistemas contra el sabotaje, la infiltración y la infección por virus. Un factor clave es que la seguridad informática debe ir más allá de su función tradicional de proporcionar únicamente protección física para datos y equipos. Este problema está generando gran confusión entre los profesionales de la seguridad, acostumbrados a gestionar el control de acceso y la protección de datos contra el robo o la manipulación por parte de personas malintencionadas.

En los inicios de los virus —la etapa de infección cero— la principal amenaza era interna (proveniente de personas con acceso directo al entorno informático, que podían instalar programas maliciosos). Ahora, nos enfrentamos a la necesidad de lidiar con software dañino que puede actuar por iniciativa propia. Este punto es crucial. Ningún sistema es seguro si carece de defensas contra el código máquina que, sin interacción humana, busca automáticamente multiplicarse y destruir. Mantener a los hackers maliciosos fuera de un sistema es solo una parte del desafío de seguridad, ya que existe tanto software infectado en circulación que los virus provienen de diversas fuentes insospechadas. La infección ahora ingresa a los sistemas en manos aparentemente seguras, desde fuentes confiables y sin intenciones maliciosas. Los mismos principios que se aplican actualmente al virus del VIH se aplican a la informática: al insertar un disquete desconocido o descargar de una red, uno se expone a una larga cadena de contactos potencialmente infecciosos.

Steven Levy, uno de nuestros redactores más expertos en informática, describió con elocuencia la reacción de su esposa cuando pensó que había contraído un virus e infectado su ordenador.

«Mi esposa supuso, en tono acusatorio, que yo “Me dedicaba a explorar las redes informáticas, descargando cualquier archivo, ignorando alegremente el hecho de que potencialmente estaba poniendo en riesgo no solo mis propios datos, sino también los de mi familia”, escribió en Macworld. El éxito de las computadoras personales es ahora indiscutible. Como resultado, nuestra cultura está dando un paso de gigante hacia lo desconocido. ¿Quién puede predecir el impacto secundario de la saturación informática total?

Los ingenieros de software con la visión de comprender cómo se está desarrollando la informática y el impacto que los virus podrían tener en la sociedad han sido los primeros en abordar y comprender la importancia de los nuevos patrones de infección por virus. Es preocupante observar que la mentalidad de muchos profesionales de la seguridad ha tardado en adaptarse; esta actitud agrava el potencial de daño. Los programas con voluntad destructiva —un enemigo invisible e inhumano sin motivación— constituyen un concepto ajeno que resulta difícil de aceptar como realidad para quienes no tienen conocimientos de teoría informática. Esta situación se refleja en el patrón de ventas de software antivirus. Los programas de seguridad informática son adquiridos principalmente por ingenieros de software y administradores de procesamiento de datos familiarizados con el problema, pero no por los profesionales de la seguridad, quienes tradicionalmente compraban estos productos.

La seguridad de los sistemas informáticos está pasando del ámbito del profesional de la seguridad al del experto en informática, en gran medida como consecuencia de los virus. Durante los últimos quince años, la seguridad informática ha sido un campo poco relevante; de repente, con la aparición de los virus, ha acaparado titulares nacionales y la portada de la revista Time. Es un tema candente, y las ramificaciones de lo que está sucediendo solo son evidentes para quienes comprenden las complejidades del procesamiento electrónico de datos. Muchos profesionales de la seguridad no están adecuadamente preparados para protegerse contra este nuevo problema. El problema actual es doble: si bien la seguridad física del hardware, las impresiones y, en general, las oficinas, sigue siendo necesaria, las empresas y los particulares deben protegerse de la exposición no autorizada e involuntaria a programas ocultos que destruyen datos y hacen perder tiempo a los ordenadores. Si los gerentes de empresas y otras organizaciones que dependen del procesamiento de datos quieren proteger sus instalaciones informáticas al máximo contra ataques virales, necesitan saber que sus expertos en seguridad y computación trabajan juntos de forma constructiva, en lugar de competir por falta de comprensión o rivalidad profesional.

Otro peligro derivado de la actitud humana ante el problema de los virus es la tendencia natural a minimizar un asunto tan difícil de comprender. Además, si se produce una pausa temporal en la publicidad sobre brotes virales, corremos el riesgo de confiarnos ante los peligros de la infección. Nos enfrentamos a un programa informático sin moral ni procesos de pensamiento predecibles. Ha sido creado por un ser humano, cuyos motivos pueden investigarse una vez conocidos; sin embargo, una vez liberado, el virus persigue inexorablemente un único objetivo: encontrar entornos informáticos en los que pueda reproducirse lo más extensamente posible. Los procesos de infección y replicación ahora ocurren automáticamente.

Datos infravalorados

Un problema persistente para quienes se preocupan por la seguridad informática ha sido, durante mucho tiempo, la incapacidad de muchos líderes empresariales para apreciar el verdadero valor de los datos confiados a las computadoras. Esta es una de las principales razones por las que no se reconoce más el potencial de daño que representan los virus. Los datos procesados y almacenados en computadoras provienen en gran medida del esfuerzo intelectual, que es difícil de cuantificar en términos de costo/valor de la misma manera que se incluye la mano de obra en el precio de los bienes manufacturados. Los datos parecen intangibles y no se valoran adecuadamente, por lo que la amenaza potencial de virus, gusanos y otros programas maliciosos similares no se cuantifica con precisión, y no se destinan los recursos proporcionales para protegerlos. Las cosas que podemos ver y tocar tienen una tangibilidad que crea automáticamente un valor percibido. La información no se percibe de la misma manera, excepto, por supuesto, si es altamente confidencial y su utilidad para los adversarios o competidores puede medirse.

Muchas empresas, especialmente las pequeñas, ni siquiera guardan sus registros contables en papel en un lugar seguro, con copias en una segunda ubicación para proteger los datos contra pérdidas convencionales por peligros físicos como incendios, inundaciones o robos. No sorprende, por lo tanto, que exista tanta negligencia con los datos almacenados en ordenadores. El sector empresarial nunca abordará adecuadamente el problema de los virus hasta que todos los directivos, en todos los niveles, y los empleados de cada departamento, consideren los datos de sus sistemas como esenciales para su supervivencia. Solo entonces una organización podrá tomar medidas prácticas para combatir los virus.

El colectivo de la La comunidad informática también ha tardado en reaccionar ante los riesgos de seguridad informática a los que se enfrenta, debido a que la magnitud de la epidemia se ve oculta por el secretismo. Más de la mitad de los delitos informáticos no se denuncian, y la proporción es mucho mayor en el caso de las infecciones informáticas. Además, muchas personas que ya son víctimas desconocen que sus sistemas están infectados porque aún no presentan síntomas ni se han sometido al equivalente electrónico de un análisis de sangre. Algunos sistemas aparentemente sanos están gravemente infectados; bytes cruciales de información están siendo destruidos por amenazas informáticas, mientras que los sistemas siguen funcionando con normalidad.

Algunos virus no son intencionadamente destructivos y no presentan síntomas, pero pueden replicarse sin destruir ni alterar datos hasta que su sola presencia provoca una disfunción del sistema. Pueden causar daños enormes simplemente estando presentes, como una partícula metálica en el aceite lubricante a punto de averiar el motor de un coche. El coche funciona perfectamente y la partícula circula sin causar ningún daño hasta que obstruye un conducto de aceite esencial o se introduce entre las superficies de un cojinete. Los filtros de los motores suelen atrapar los objetos extraños antes de que causen daños graves, pero no existen filtros para los sistemas informáticos actuales que puedan funcionar con tanta eficacia. Los mejores programas antivirus son cada vez más eficaces, pero su capacidad para detectar amenazas tan rápidas como la aparición de nuevas cepas y versiones pirateadas de virus existentes es limitada.

Preste atención a las advertencias

Las advertencias sobre virus, provenientes de numerosos expertos, son ya demasiado contundentes como para ignorarlas.

«Los ataques informáticos, a menudo llevados a cabo con la ayuda de personas con información privilegiada, se están convirtiendo en un nuevo tipo de guerra ofensiva sistemática», advirtieron Scott A. Borman, profesor de sociología de la Universidad de Yale, y el matemático Paul R. Levitt en Signal, la revista de electrónica militar.

«Los mínimos conocimientos de programación necesarios para crear un virus, junto con el alto nivel de daño que puede causar, representan una amenaza formidable para la integridad de los sistemas informáticos», declaró un informe especial al Congreso.

«Una "enfermedad" electrónica, antes poco común, ha alcanzado proporciones epidémicas», afirmó la revista Time. En todo Estados Unidos, está interrumpiendo operaciones, destruyendo datos y planteando inquietantes interrogantes sobre la vulnerabilidad de los sistemas de información en todas partes.

Surcados cuarenta años del inicio de la era informática, cuando la sociedad se ha vuelto dependiente del procesamiento de información a alta velocidad para todo, desde cajeros automáticos hasta sistemas de defensa militar, el mundo de la informática se ve amenazado por un enemigo interno.

El reconocido columnista informático John C. Dvorak admitió en 1988 que se había equivocado fundamentalmente en su pronóstico inicial sobre los virus. Al principio no los tomó en serio, y su actitud refleja bien la mentalidad predominante en la industria informática. John es uno de los periodistas mejor informados de Silicon Valley. Desde esa perspectiva cercana a la industria, la advertencia en su columna de PC Magazine sobre el alarmante potencial de los virus para sabotear el software propietario debería tomarse muy en serio. No se refería a virus instalados por hackers, sino a la idea de que empleados descontentos o competidores sin escrúpulos podrían introducir deliberadamente virus en software propietario de marca para desacreditarlo y perjudicar al fabricante.

«¿Se imaginan el tipo de intrigas que podríamos presenciar en los próximos años?», preguntó. «Los esquemas de archivos propietarios, el código basura misterioso y la manipulación del código ya son rampantes. Esto no se debe a la confianza que nuestras empresas de software depositan entre sí, ¿verdad?». El siguiente paso lógico en el marketing de software es impedir a toda costa que la gente utilice el producto de la competencia.

Poco después de la publicación de estas palabras, un hacker nos reveló un plan para utilizar las pruebas beta de nuevos programas informáticos como método de propagación de virus. (Las pruebas beta consisten en que los prototipos se distribuyen a usuarios típicos para comprobar su rendimiento en condiciones reales). El hacker predijo que más de 30 millones de ordenadores podrían infectarse en tres años mediante esta metodología. Ya se han producido infecciones por virus durante las pruebas beta. Se trató de una actualización del software Aldus FreeHand, como se describe más adelante. El daño a la reputación de un fabricante de software si se sabe que sus programas contienen virus puede ser devastador. Dado que no todas las empresas son tan honestas y responsables como Aldus, es posible que hayan existido casos similares que se han mantenido en las sombras.

¿Existe realmente una epidemia?

De hecho, la tendencia al secretismo por parte de todas las víctimas de ataques dificulta enormemente la cuantificación de la magnitud de la epidemia.

Las estimaciones varían considerablemente. Más de la mitad de los delitos informáticos nunca se denuncian, por lo que se desconoce cuántos virus se han creado y el alcance de los daños causados. Sin embargo, existen suficientes datos concretos para confirmar la presencia de infecciones a escala epidémica. A principios de 1989, la CVIA estimó que había al menos 400.000 infecciones sistémicas en Estados Unidos, incluidas las de 100 de las mayores empresas industriales del país. Algunos expertos consideran esta estimación muy conservadora. En un caso, un fabricante de aeronaves sufrió infecciones en más de 600 ordenadores personales con datos importantes, lo que demuestra que un brote en una ubicación puede afectar a cientos de máquinas.

Solo la CVIA registró más de 70.000 casos confirmados en 1988, lo que representa solo una pequeña proporción de los brotes, ya que la mayoría de los casos no se notifican a ninguna autoridad central; ni siquiera se reconocen como infecciones por virus. Cuando un sistema falla, la reacción inmediata es atribuirlo a un fallo de hardware, un error de software, una sobretensión o un error del operador. Solo cuando varias máquinas dentro de la misma empresa o red, o muy cerca unas de otras, comienzan a mostrar síntomas, el usuario promedio considera que un virus sea el responsable. Dado que los virus informáticos aún no se consideran una "enfermedad" de declaración obligatoria y no existe una agencia que recopile datos exhaustivos sobre brotes, en muchos casos no se registran en ningún lugar.

Además, la mayoría de los virus que se repiten actualmente son de tipos más recientes, diseñados para no revelar su presencia hasta que se hayan reproducido lo suficiente como para causar daños sustanciales, quizás replicándose cientos de veces o permaneciendo en un sistema durante varios meses. Por lo tanto, nadie sabe aún que están ahí.

Si se consideran los casi 40 millones de sistemas de microcomputadoras en hogares, universidades y oficinas de todo el mundo y la rapidez con la que se propagan los virus, podría haber habido más de un millón de infecciones a nivel internacional para finales de 2019. El virus navideño en la red de IBM causó la pérdida de miles de horas, lo que pudo haberle costado a IBM un promedio de al menos 40 dólares por hora. Muchas corporaciones ahora tienen redes igualmente grandes vulnerables a los virus. Imaginen las consecuencias de que las 15.000 computadoras personales de Ford Motor Company fallaran simultáneamente, con repercusiones en sus proveedores y distribuidores: una situación que fácilmente podría ascender a cientos de millones de dólares. Un desastre de esa magnitud es inevitable; estadísticamente hablando, es inevitable. Las empresas estadounidenses ya han perdido millones de dólares en tiempo y esfuerzo debido a infecciones por virus. Miles de personas y empresas, sin siquiera saber que han sido afectadas por un virus, han perdido un mes o más de jornada laboral como resultado directo de una infección atribuida a otras causas.

Problema internacional

Los virus son un problema internacional que no se limita a ningún país, tipo de sistema operativo ni categoría de usuario de computadora. La situación se está volviendo tan grave fuera de Estados Unidos como dentro de sus fronteras, y representa una amenaza similar para los usuarios de Macintosh que para los de IBM y compatibles. La magnitud del problema puede no ser tan grande en el mundo Mac como en el de los sistemas estándar de IBM, mucho más numerosos, o en Europa, con su menor número de ordenadores, como en Estados Unidos. Europa cuenta con unos 5 millones de PC, frente a los aproximadamente 30 millones de Estados Unidos, y los usuarios de Macintosh suman ya más de 3 millones en todo el mundo, lo que representa cerca del 10 % del universo IBM. Los usuarios de Mac son igual de vulnerables a las infecciones por virus que los usuarios de IBM y sistemas compatibles, pero debido a su menor número, la incidencia de infecciones notificadas también es menor, lo que genera la ilusión de una menor vulnerabilidad.

Los medios de comunicación japoneses y europeos no han estado tan al tanto del problema de los virus ni lo han cubierto con tanta amplitud como en Norteamérica, debido a que se han notificado menos brotes en estas zonas. Esto se debe en parte al menor número de ordenadores en uso y a la menor actividad de piratería informática en países donde los ordenadores personales suelen ser más caros que en Estados Unidos, pero cuyos sistemas son igualmente vulnerables. La asociación de aseguradoras francesas estima que la seguridad informática se vulnera en Francia casi 20.000 veces al año. La falta de control del acceso no autorizado a los sistemas es un problema generalizado en la Comunidad Económica Europea. Un estudio realizado a 20 grandes empresas europeas reveló que solo una de ellas contaba con una seguridad informática adecuada.

Los japoneses están muy preocupados por los virus. Los primeros cuatro casos reportados en septiembre de 1988 demostraron que una nación insular que practica prácticas informáticas relativamente seguras sigue siendo vulnerable. El primer caso conocido fue el de una pequeña empresa de Tokio.

Un usuario contrajo una versión benigna del virus Peace a través del software Aldus FreeHand, importado de Estados Unidos. Los otros tres casos se originaron en software de dominio público, incluyendo un virus novedoso que se cargó en un foro nacional con el tentador mensaje de que contenía una explicación sobre cómo escribir un programa malicioso. Al activarse, el virus mostraba el mensaje "Dukakis para Presidente". Otro caso en Japón demostró el potencial del uso de virus para beneficio personal. Afectó a usuarios de la red de compras NEC, ordenando a los sistemas de las víctimas que revelaran las contraseñas e identificaciones de sus propietarios para que el creador pudiera usar sus cuentas para comprar bienes y tiempo de computación. Existen historias similares en otros países.

La infección puede propagarse rápidamente por las redes internacionales, incluso si solo un eslabón lejano de la cadena es débil. Una brecha de seguridad en una filial en el extranjero puede resultar en la penetración y posible infección por virus en la sede central y en toda la red corporativa. Los japoneses están tan preocupados por este problema que ofrecen generosos incentivos fiscales a las empresas que mejoran su seguridad informática, una medida muy rentable. Los japoneses reconocen que los datos almacenados en las computadoras representan un activo nacional que debe protegerse en beneficio de la nación en su conjunto.

Solo las organizaciones y los individuos que han sufrido delitos informáticos o que conocen los riesgos se dan cuenta de su vulnerabilidad. La mayoría de los usuarios de computadoras personales aún creen ser inmunes a los virus. Con frecuencia, los usuarios inexpertos representan el punto más débil por donde un virus puede infiltrarse en los sistemas y redes de computadoras centrales. Incluso las grandes instalaciones informáticas con procedimientos de seguridad pueden ser vulneradas por virus. La mayoría de las computadoras centrales pueden ser comprometidas en una hora, según el profesor Fred Cohen, pionero en gran parte de la investigación inicial sobre virus informáticos. "La regla básica es: donde puede ir la información, puede ir un virus con ella", advirtió el profesor Cohen.

Capítulo 3: La historia de los virus: De Neumann a Morris, del Monstruo de las Galletas al Cerebro Pakistaní

Al principio, los virus eran divertidos.

Aunque existe cierta controversia sobre la cronología exacta, el mérito de la creación del «software viviente», los mecanismos electrónicos de replicación que hoy conocemos como virus, corresponde a John Conway, quien realizó los primeros trabajos sobre ellos en la década de 1960. Este mérito es indiscutible, ya que los esfuerzos de Conway abrieron nuevos horizontes para el uso de las máquinas como poderosas extensiones de la mente humana. Jamás podría haber imaginado que el concepto se distorsionaría para dar lugar a fines maliciosos y destructivos.

En la década de 1940, justo después del primer auge en el desarrollo de la informática impulsado por la Segunda Guerra Mundial, John von Neumann, uno de los matemáticos más importantes de todos los tiempos, concibió la idea de que los programas podían multiplicarse. Expuso estos conceptos en su artículo «Teoría y organización de autómatas complejos». Si bien es más conocido por su trabajo pionero en el proyecto informático del Instituto de Estudios Avanzados y la Comisión de Energía Atómica, es probable que Neumann sea recordado sobre todo por su original reflexión sobre las analogías entre el cerebro humano y las computadoras. Su texto de la Conferencia Silliman, publicado póstumamente, *The Computer and the Brain* (Yale University Press), sigue siendo un buen punto de partida, incluso 30 años después, para buscar soluciones al problema de los virus. La conferencia abre posibilidades asombrosas, como que los virus sean una manifestación temprana de máquinas que imitan aspectos de la fisiología y el comportamiento animal, adquiriendo la capacidad de adaptarse y cambiar al interactuar entre sí y con su entorno. Las teorías de Neumann sobre la replicación de programas tuvieron poco impacto aparente en el momento de su primera aparición, ya que estaba muy adelantado a la tecnología, y pasarían varios años antes de que se dispusiera de equipos de procesamiento electrónico de datos en los que sus teorías pudieran explorarse adecuadamente. Sin embargo, sus ideas fueron tan poderosas que algunos colegas de la comunidad científica las mantuvieron vivas, incluyendo el concepto, entonces aparentemente escandaloso, de Neumann sobre la posible capacidad de autodestrucción en la computación.

Los primeros programas de Conway en la década de 1960 representaron un avance significativo al crear conciencia sobre las dimensiones adicionales posibles en la computación, más allá del simple procesamiento lógico de datos. Creó un software que constituyó un eslabón fundamental en la evolución hacia los virus contemporáneos; sus programas siguen siendo fascinantes hoy en día tanto por su ingenio tecnológico como por la belleza de las imágenes que generan. Su programa Juego de la Vida no solo luce bien en el monitor, sino que posee una fascinación intrínseca por la elegancia del arte de la programación en sí. Las representaciones gráficas, con su simetría y formas, revelan una gran creatividad en el diseño. Se mueven y cambian en su intento por sobrevivir; algunas colapsan drásticamente cuando las estructuras se vuelven inestables, tal como sucede cuando un virus ataca el cuerpo humano y el sistema inmunológico activa sus defensas.

En un programa Conway, los patrones se crean en forma de filas y columnas de celdas (para comprender estos términos, considérese que una tabla de multiplicar tiene filas y columnas de celdas). Se establecen reglas sobre cómo se comportará cada elemento del patrón. A medida que el programa se ejecuta, los patrones cambian según las influencias ambientales, que se asemejan a las situaciones humanas y animales. Si los elementos se agrupan en un solo lugar, mueren por falta de espacio. Si están demasiado dispersos, no pueden sobrevivir debido a su aislamiento entre sí y de sus sistemas de soporte vital. Los patrones oscilan y se desarrollan, a veces llegando a ser tan grandes que colapsan. Algunos elementos se vuelven “inteligentes” y se transforman en seres móviles, desplazándose para buscar un entorno más compatible donde prosperar, al igual que los virus informáticos de 20 años después, que buscan sistemas y áreas dentro de sistemas donde puedan replicarse. Conway creó, electrónicamente, una sopa primigenia en la que pueden emerger los equivalentes computacionales de las formas de vida básicas. Sus programas demostraron un delicado equilibrio entre la sobrepoblación y la dispersión, en el que una entidad viva, con la forma de un mecanismo autorreplicante, puede formarse y crecer. Quienes busquen una mayor comprensión de los virus pueden encontrar en el trabajo de Conway pistas visuales sobre aspectos de su comportamiento que aún están lejos de ser comprendidos por completo. Los primeros entusiastas de la informática encontraron su trabajo inspirador, y sus juegos, de una belleza asombrosa, estimularon a muchos que ahora trabajan a la vanguardia de la ingeniería de software antiviral.

Guerras de Núcleos

Estos primeros conceptos se desarrollaron aún más en varios centros de investigación, especialmente entre los investigadores del Instituto Tecnológico de Massachusetts (MIT), quienes trabajaban en las bases de la inteligencia artificial en los Laboratorios Bell de AT&T y en el centro de investigación de Xerox Corporation en Palo Alto, California. Los jóvenes programadores de AT&T y Xerox se entretenían después de que sus compañeros se marcharan, explorando el potencial de las memorias centrales de las máquinas de sus empresas para manipular tanto los datos como los programas almacenados en ellas. Al alterar el código de la memoria central, podían lograr que un programa diseñado originalmente para procesar datos también pudiera consumir otros programas.

Este concepto dio origen a las "Guerras de la Memoria Central", en las que los programadores competían entre sí para crear programas con la capacidad de autorreplicarse y, posteriormente, al activarse para atacar, consumir los programas de los oponentes. Llamaban a estos programas autorreplicantes "organismos" por su capacidad de crecimiento. Al principio, no había mucho temor a que se descontrolaran. Al finalizar cada partida, el ordenador volvía a su funcionamiento habitual. Si la situación parecía descontrolarse, se apagaba la máquina; no había forma de que estos organismos se propagaran, ya que no existía ninguna conexión con otros equipos de procesamiento de datos. Sin embargo, a medida que el concepto evolucionó y los organismos se volvieron más sofisticados, comenzaron a sonar las alarmas. Los organismos se propagaron sin control en una Xerox 530 —quizás la primera computadora del mundo en ser infectada gravemente por un virus— y la dirección intervino para detener las actividades de Core Wars.

El número de personas involucradas en Core Wars era muy reducido, y se trataba de investigadores responsables que mantuvieron en secreto el conocimiento sobre cómo crear programas autorreplicantes, conscientes del daño potencial que podría resultar de un mal uso. Sin embargo, sus secretos se hicieron públicos en 1983 cuando Ken Thompson, creador del sistema operativo Unix, describió esas primeras actividades relacionadas con virus en un discurso ante miembros de la Association for Computing Machinery. Al año siguiente, Scientific American publicó un artículo con más información sobre virus, junto con una oferta para que los lectores obtuvieran, por 2 dólares, detalles sobre cómo escribir estos programas.

El mundo académico no tardó en aprovechar la oportunidad para investigar este fenómeno más a fondo, y pronto se empezaron a crear y experimentar con virus en varias universidades estadounidenses de renombre, donde tanto estudiantes como personal docente comenzaban a explorar seriamente el potencial de las computadoras personales. Inicialmente, los virus se crearon con fines lúdicos. Programas como el Monstruo de las Galletas, que se extendieron rápidamente por los campus, eran divertidos o, en el peor de los casos, molestos. El Monstruo de las Galletas tomó su tema de un personaje de la serie de televisión "Sesame Street". Mostraba un mensaje de "Quiero una galleta" en los monitores de los estudiantes y repetía la demanda con mayor frecuencia a medida que el programa se replicaba.

Había que alimentar al virus con el comando "e" para mantenerlo inactivo. Pronto, esos virus de juegos, relativamente inofensivos, se transformaron en variantes más agresivas que destruían datos y causaban daños reales.

Los programas autorreplicantes aún se limitaban principalmente al ámbito académico, y la mayoría de los usuarios de computadoras desconocían por completo su existencia; sin embargo, los programadores del MIT, Bell y Xerox, pioneros en el desarrollo de virus informáticos, se alarmaron cada vez más ante lo que estaba sucediendo. Expertos como el profesor Fred Cohen de Ohio, a quien se le atribuye el nombre de "virus" para los programas autorreplicantes, hablaron y publicaron trabajos que sugerían que la comunidad informática se enfrentaba a un grave problema. Pero pocos tomaron en serio las advertencias. Muchos de los que deberían ser conscientes del peligro de estas infecciones aún minimizan la magnitud del problema por diversas razones que analizaremos más adelante. Los primeros artículos sobre virus informáticos tuvieron una difusión limitada en 1984 y 1985, y la comunidad informática aún no se percató del potencial de una epidemia, incluso después de que surgieran las primeras infecciones generalizadas de 1986, y 1987.

Ahora debemos retroceder varios años en esta revisión histórica de la evolución de los virus informáticos para recordar otros desarrollos tecnológicos y sociales que influyeron en la epidemia de virus. Particularmente importante fue el surgimiento de entusiastas tecnológicos inconformistas, precursores de los hackers que desarrollaron las habilidades para infiltrarse en los sistemas telefónicos, lo que posteriormente posibilitó gran parte del delito informático. En 1954, Bell Telephone System publicó detalles técnicos de sus frecuencias, lo que permitió a los primeros "phreaks telefónicos" infiltrarse y realizar llamadas no autorizadas, cambiar números y llevar a cabo muchas otras maniobras. Invadir los sistemas telefónicos suponía un desafío directo para Bell y el resto del sistema establecido, y esto se convirtió casi en un ensayo general de cómo el hacking inconformista se desarrolló como una subcultura durante la década de 1980.

El término "hacker" surgió alrededor de 1965 como una etiqueta genérica para los entusiastas que practicaban la nueva tecnología informática, en particular aquellos que escribían sus propios programas. Los jóvenes hackers en Estados Unidos pronto comenzaron a experimentar con los primeros intentos independientes de crear... Se crearon programas autorreplicantes, pero estos primeros intentos no tuvieron éxito. Los programas solían fallar debido a diversos tipos de errores (fallos en las instrucciones codificadas). Sin embargo, los hackers avanzaban en su aprendizaje hacia la creación de programas más fiables con la capacidad de clonarse y desarrollar otras funcionalidades, tal como Neumann había predicho.

Otro hito histórico, que dio lugar a la creación del entorno más propicio para la propagación de virus, se produjo en 1969, cuando Arpanet se convirtió en la primera gran red informática del mundo, conectando a investigadores involucrados en proyectos de defensa de Estados Unidos. Las redes experimentaron dos décadas de crecimiento sostenido, abriendo el medio a través del cual los hackers podían comunicarse entre sí, así como desarrollar su "cultura" informática y aprender sobre virus. Actualmente, las redes se han convertido en el principal conducto a través del cual los virus se propagan de un sistema a otro, y en 1988 la pionera red Arpanet quedó prácticamente paralizada al ser víctima del virus que se infiltró en Internet.

La década de 1970 fue la década en la que la ciberdelincuencia se convirtió en una actividad significativa. Lo más frecuente era la manipulación de datos por parte de empleados con información privilegiada: fraude para alterar calificaciones crediticias, modificar registros de inventario y desviar fondos. Sin embargo, inevitablemente, aumentaron las actividades delictivas que implicaban la manipulación de ordenadores, así como las habilidades que los ciberdelincuentes telefónicos seguían desarrollando para infiltrarse en los sistemas telefónicos. Del mismo modo que el artículo de Scientific American difundió ampliamente la información sobre los virus, un reportaje en la revista Esquire generó una mayor concienciación sobre las prácticas de los ciberdelincuentes telefónicos. Ambas actividades ilícitas atraían al mismo tipo de personas, lo que propició el desarrollo de la experiencia necesaria para que los hackers obtuvieran acceso no autorizado por teléfono a sistemas informáticos en red.

A mediados de la década de 1970, cuando los microordenadores se convirtieron en una tecnología de moda, llevando por primera vez el potencial de la informática al mercado de consumo masivo, gran parte de la capacidad de procesamiento mundial seguía concentrada en grandes sistemas centrales operados por gobiernos y corporaciones. Para los grupos extremistas, estas máquinas se convirtieron en símbolos del poder político y corporativo capitalista. En 1976, se produjeron los primeros ataques importantes contra ellos cuando los terroristas de las Brigadas Rojas lanzaron una serie de diez incursiones físicas contra ordenadores. instalaciones en Europa. Irónicamente, parece inevitable que la generación actual de extremistas utilice virus en lugar de bombas para atacar objetivos empresariales y políticos. Los virus son armas más seguras y más devastadoras por su potencial destructivo.

A finales de la década de 1970 existía una creciente preocupación, aunque no generalizada, por la vulnerabilidad de las computadoras.

Los sistemas informáticos son vulnerables a todo tipo de intrusiones, desde hackers adolescentes hasta agentes de espionaje. El Departamento de Justicia de EE. UU. advirtió a un comité del Senado sobre la gravedad potencial de los delitos informáticos, y en 1977 se designó el Estándar de Cifrado de Datos (DES), una especificación para codificar información, para proteger los datos en las computadoras de las agencias del gobierno federal. Si bien aún funciona bastante bien para impedir el acceso a información confidencial, ofrece poca o ninguna protección contra los ataques de virus.

Cuando en 1978 se robaron 10,2 millones de dólares de un banco de Los Ángeles mediante el uso telefónico no autorizado de contraseñas y códigos bancarios para acceder al sistema informático, el sector empresarial comenzó a tomar conciencia de la necesidad de proteger tanto sus computadoras como las puertas de sus bóvedas. Al año siguiente, algunos estados comenzaron a introducir legislación sobre delitos informáticos —Arizona fue el primero—, pero estas leyes resultaron muy difíciles de aplicar en la práctica y siguen siendo en gran medida ineficaces contra el problema de los virus. Durante la década de 1980, se produjo una inevitable y extensa explotación criminal, un fenómeno que se arraigó en el crecimiento de la informática, impulsado por las computadoras personales de escritorio, cada vez más potentes y accesibles.

Evolución de los programas "gusano"

Los programas gusano surgieron en 1980, inventados de forma inocente en el laboratorio de Xerox Corporation, donde también se habían realizado los primeros trabajos sobre programas autorreplicantes. Los dos tipos de código —virus y gusano— aún se confunden debido a que comparten características similares. Los gusanos, como su nombre indica, son programas que pueden infiltrarse en los sistemas para manipular, destruir o alterar datos, lo que los ha convertido en un arma poderosa para los ciberdelincuentes. Algunos creadores de virus también se iniciaron escribiendo programas gusano, pero se requiere un gran salto para llegar a lo que hace únicos a los virus: su capacidad de replicarse, algo que los gusanos no pueden hacer.

Sin duda, el año de los hackers fue 1981, cuando se estimó que su número se triplicó, principalmente porque las computadoras personales seguían siendo más económicas. Tras el estreno de la película Juegos de Guerra en 1983, el número de hackers aumentó considerablemente. Esta película glorificaba al adolescente solitario con un ordenador en su habitación que se enfrentaba al poderío informático del ejército.

Mientras tanto, en 1982, se descubrió una «bomba lógica» en el sistema informático de la biblioteca del condado de Montgomery, California, y los hackers tomaron conciencia de otro tipo de programa potente que se empezó a utilizar ampliamente junto con los virus. Una bomba lógica no se replica, pero, al igual que un virus, puede iniciar una actividad destructiva cuando se dan ciertas condiciones preestablecidas por su creador. Por ejemplo, algunas variantes del virus Lehigh, que surgió en 1986, pueden programarse para esperar a que el ordenador de la víctima realice ciertas tareas, como acceder al directorio de archivos almacenados en el disco, antes de activarse. Las bombas lógicas pueden utilizarse para atacar a una empresa, dañando únicamente los datos que contienen su nombre, como ocurrió con la versión original de Macintosh Virus Scores, dirigida a la importante empresa de electrónica Electronic Data Systems.

Desde mediados de la década de 1980, las universidades estadounidenses fueron las principales víctimas del virus, pero la mayoría de los primeros casos fueron simplemente divertidos o molestos, como el Monstruo de las Galletas. En Estados Unidos, los delitos informáticos con fines de lucro personal siguieron aumentando, y los ordenadores en el extranjero volvieron a ser objeto de ataques físicos por parte de extremistas políticos. En 1985, en Japón, la facción "Middle Core" lideró a grupos de izquierda en incursiones en 20 instalaciones informáticas, lo que interrumpió los sistemas ferroviarios utilizados por 10 millones de pasajeros. Un virus en ese sistema podría haber sido más eficaz si los terroristas hubieran incluido a entusiastas de la informática, quienes aún eran los únicos conscientes del potencial dañino de los virus y con los conocimientos suficientes para crearlos y difundirlos. Pero ese conocimiento se estaba extendiendo por dondequiera que los jóvenes se inclinaban sobre los nuevos ordenadores personales, inmersos en fascinantes desafíos intelectuales. En Lahore, Pakistán, los hermanos Amjad Farooq Alvi y Basit Farooq Alvi crearon lo que sigue siendo uno de los virus más astutos y eficientes: "The Pakistani Brain". Comenzaron a distribuirlo internacionalmente mediante software pirata, copias falsificadas de programas propietarios tan populares como Lotus 1-2-3 y WordPerfect.

Durante los dos años siguientes, 1986 y 1987, las primeras cepas virales que causaron infecciones generalizadas se multiplicaron a un ritmo creciente en el mundo de las PC, principalmente en Estados Unidos, pero también en Europa. La comunidad académica tuvo su primera experiencia con el virus Lehigh, que dañó los sistemas universitarios de costa a costa. El virus Pakistani Brain también atacaba a la comunidad académica y fue identificado en 1987 en las universidades de Pensilvania y Wyoming, entre otras. El virus Christmas, una tarjeta de felicitación navideña con gráficos, escapó de una red académica europea y cruzó el Atlántico para infectar la red corporativa de IBM, que contaba con 350.000 terminales.

Redes de contagio

Para 1988, las infecciones por virus informáticos comenzaban a adquirir proporciones epidémicas. El virus Pakistani Brain se propagaba sin control, y los hackers lo modificaban, junto con otras cepas virales, para aumentar su potencia, tanto en su capacidad de replicación como en su potencial de daño. Estas cepas modificadas resultaron más difíciles de erradicar de los sistemas, como quedó demostrado gráficamente en la Universidad de Georgetown, que luchó durante siete meses contra una infección persistente del virus Brain. El mismo virus llegó por primera vez al mundo de los medios de comunicación, infectando 300 computadoras del Providence Journal en Rhode Island. Las computadoras de la Universidad Hebrea fueron infectadas por el virus israelí (o del viernes 13), detectado justo a tiempo para evitar que su código de bomba lógica destruyera datos en el aniversario del fin del Estado de Palestina. Este virus y sus numerosas cepas modificadas siguen apareciendo por todo el mundo. ¡Algunos usuarios de computadoras ahora creen que es más prudente apagar el ordenador e ir a pescar cuando el viernes coincide con el día 13 del mes!

Durante gran parte de 1988, la mayoría de los usuarios de Macintosh seguían creyendo ingenuamente que su mundo era inmune a los virus o, al menos, no susceptible al tipo de daño que sufrían los usuarios de PC. Cuando el virus Scores infectó las Mac de la NASA y otras agencias gubernamentales, pareció un incidente aislado, que las autoridades lograron minimizar con bastante éxito. Sin embargo, Scores se propagó posteriormente a las oficinas del Congreso y a miles de otros sistemas, incluidos los de la compañía aeronáutica Boeing y Ford Aerospace. Otra advertencia sobre la vulnerabilidad de la Mac se produjo cuando el virus MacMag se activó el 2 de marzo, primer aniversario del lanzamiento de la Mac II, transmitiendo lo que se proclamó como un saludo universal de paz para los entusiastas de Mac. Según algunas estimaciones, ese mensaje se ha extendido desde entonces a 250.000 sistemas en todo el mundo, y la interrupción que causa dista mucho de ser pacífica.

La posibilidad de que las redes de defensa estratégica del país u otros sistemas sensibles fueran atacados por virus cobró protagonismo en 1988, cuando el Computer Chaos Club de Hamburgo afirmó haber introducido virus en los sistemas de la NASA. El informe del Congreso sobre virus advertía que «la proliferación de ordenadores en los ámbitos militar, médico, comercial, educativo y doméstico de Estados Unidos sugiere que la atención del Congreso al tema podría ser pertinente». No solo se volvió «pertinente», sino una cuestión de considerable urgencia el 2 de noviembre de 1988, cuando la mayor infección viral del mundo hasta entonces afectó a 6.000 sistemas en las redes de Internet y Arpanet, muchos de ellos involucrados en importantes proyectos de defensa.

Con más de treinta cepas virales en circulación y los sistemas empresariales comenzando a infectarse a gran escala, BusinessWeek, Time y otros medios de comunicación destacados dedicaron portadas y grandes titulares a la amenaza del virus en 1988, aunque muchas revistas de informática, cuyos editores deberían haber sido más conscientes, siguieron restándole importancia al asunto. Cualquier cosa que ensombrezca el futuro de un negocio en auge no es buena para la industria en su conjunto, y en particular para los ingresos publicitarios. Irónicamente, la primera consecuencia comercial de la publicidad sobre virus fue positiva: las ventas de software propietario se dispararon, ya que los compradores, acostumbrados a las falsificaciones baratas o las copias ilícitas de software popular, asumieron, con razón, que los programas sellados y empaquetados directamente por el fabricante debían estar libres de virus. Aunque generalmente seguro, el software comercial propietario se infectó por primera vez en 1988, cuando el virus MacMag se propagó ampliamente en los programas Aldus FreeHand. Más tarde ese mismo año, las copias beta de una versión actualizada de FreeHand se infectaron con el virus nVir, pero el brote se contuvo antes de que el software saliera al mercado. Posteriormente, se describió en un foro de hackers un plan para propagar virus a gran escala a través de software propietario utilizando el procedimiento de prueba beta (o prototipo).

La primera reacción significativa de la industria informática ante la amenaza de los virus fue fragmentada y se vio dificultada por los intereses comerciales creados. Entre los avances más positivos se encuentra la creación de un grupo de trabajo por parte del Consejo de Desarrollo de Software para proponer legislación y desarrollar defensas contra los ataques de virus. La Asociación de la Industria de Virus Informáticos fue duramente criticada por otros sectores de la industria informática tras recopilar los datos más detallados disponibles sobre infecciones virales y demostrar que el problema había alcanzado proporciones graves. El clima de temor impulsó un auge en los servicios de seguridad informática y una proliferación de productos antivirus que no muestra signos de disminuir. Al mismo tiempo, se siguen realizando avances en el uso de las características de los virus para mejorar ciertas funciones informáticas.

Mientras el presidente Bush arrasaba en las elecciones y tras la victoria electoral y la posterior toma de posesión en enero de 1989, los hackers debatieron la posibilidad de que se utilizaran virus para manipular el sistema electoral. Existe consenso en que esta hazaña es técnicamente factible. Algunos incluso creían que ya se había logrado.

Microrrevolución en la Informática

Una importante tendencia histórica en la tecnología informática —que continúa intensificándose— refuta cualquier argumento que afirme que la amenaza de los virus disminuye debido a la improbabilidad de que los mainframes sean objeto de ataques virales masivos. Se ha producido una silenciosa revolución en la informática que ha transformado el papel del mainframe, convirtiéndolo en un importante medio para la propagación de infecciones a la multitud de microordenadores de sobremesa. Es cierto que los sistemas operativos más sofisticados, el entorno físico más controlado en el que se encuentran y el menor número de mainframes limitan su vulnerabilidad a los virus. Además, cuentan con personal especializado en procesamiento de datos, y no es habitual intercambiar discos o cintas que puedan contener virus entre diferentes sistemas mainframe, como sí ocurre en el mundo de los microordenadores. Pero un solo disco infectado que se inicie en cualquiera de los 15.000 microordenadores que forman parte de una gran red corporativa puede corromper los datos del mainframe y propagarse a los demás microordenadores a través del departamento de procesamiento central.

En el pasado, se podía lograr un grado significativo de seguridad (1) protegiendo físicamente el centro de procesamiento de datos, (2) examinando a todo el personal con acceso y (3) tomando precauciones contra los hackers que intentaban acceder mediante enlaces telefónicos y de red externos, incluso cuando un técnico se desplazaba con su portátil, y todas las demás puertas de enlace de los microordenadores a la red —y, por lo tanto, al ordenador central— antes de siquiera acercarse a una operación a prueba de virus.

Las corporaciones y otros usuarios de mainframes son vulnerables a los virus de los microordenadores en dos aspectos principales. El primero es que los mainframes típicos ahora obtienen gran parte de sus datos de los microordenadores y no pueden detectar si esos datos han sido corrompidos por virus. Si los datos de entrada han sido manipulados —por ejemplo, moviendo la coma decimal o añadiendo ceros—, la base de datos central procesará los datos corruptos y los distribuirá como si fueran información precisa. La salida de un procesador central puede volverse peligrosamente imprecisa, una situación que puede pasar desapercibida durante un tiempo considerable, ya que no hay motivos para sospechar que la integridad del sistema se haya visto comprometida. De hecho, el sistema central no está infectado con un virus, pero actúa como portador.

Hace una década, había muy pocos microordenadores, y el procesamiento de datos importantes se concentraba en minicomputadoras y mainframes. Ahora, los microordenadores han evolucionado hasta el punto de que su tamaño solo es reducido físicamente. Un PC 386 cabe en un escritorio dentro de una caja compacta, pero, en realidad, es más potente que los mainframes más grandes de principios de la década de 1970, que ocupaban habitaciones enteras. Se le pueden instalar cientos de millones de bytes de almacenamiento externo, aprovechando sus enormes 16 millones de bytes de memoria. Los microordenadores se han multiplicado tanto en número como en la complejidad e importancia de las tareas que realizan. Actualmente, la diferencia entre la calidad de la información procesada en microordenadores y en mainframes es mínima.

Una empresa como el gigante aeroespacial Lockheed cuenta con 10.000 microordenadores de escritorio. Se trata de una empresa descentralizada con numerosos departamentos y divisiones. Si bien algunas funciones, como la gestión de nóminas, aún se centralizan en los mainframes, la mayor parte de los datos corporativos se generan y procesan en esta gran cantidad de microordenadores. En muchas organizaciones, los datos esenciales para las actividades diarias de la empresa se han trasladado de los mainframes a los microordenadores, donde resultan más accesibles para quienes los necesitan.

Si un empleado desea trabajar con una hoja de cálculo, simplemente instala Lotus 1-2-3 en un microordenador y se pone manos a la obra, en lugar de esperar días a que alguien procese la información en el mainframe. Los microordenadores proporcionan acceso fácil e instantáneo al software de aplicación y a los datos, por lo que el papel del mainframe se ha convertido más en el de una base de datos centralizada que extrae sus datos de los microordenadores. La misma conveniencia, accesibilidad y la dispersión de ubicaciones inseguras de los microordenadores los hacen mucho más vulnerables a las infecciones virales. En consecuencia, la seguridad del mainframe se vuelve prácticamente teórica si no puede identificar datos corrompidos por un virus, o si la programación está infectada por códigos virales que recibe de microordenadores satélite. Es irrelevante si el mainframe procesa datos corruptos en un entorno libre de virus; sigue perpetuando —y probablemente amplificando— las consecuencias de la información falsa, gran parte de la cual se vuelve a introducir en el entorno de microordenadores desde el que se procesan los datos.

Así surgió.

Al analizar los eventos, las tendencias y los avances tecnológicos que han desembocado en la situación actual, tan propicia para la propagación de virus informáticos, se observa un papel notablemente secundario de nuestro sistema legal. No ha logrado seguir el ritmo del constante aumento de la delincuencia informática en general, y actualmente está lejos de estar preparado para afrontar la nueva categoría de ilegalidades que los virus y otros ciberdelincuentes similares han posibilitado. Estos problemas no se limitan al robo a empresas o a la venganza contra ellas, sino que implican la creación de entidades capaces de sobrevivir y amenazar o dañar de forma independiente sistemas esenciales para el funcionamiento de la sociedad contemporánea. Esta actividad constituye una nueva categoría delictiva que, de hecho, puede que ni siquiera se considere técnicamente delito en muchas jurisdicciones.

Un juicio histórico en Texas en septiembre de 1988, que aún se cita como un caso pionero y exitoso que demuestra la capacidad del sistema legal para hacer frente a los delitos informáticos, ha generado mucha confusión. Tras seis horas de análisis de complejas pruebas técnicas presentadas durante la audiencia de tres semanas, el jurado declaró culpable a Donald Gene Burleson, un antiguo programador, de instalar un programa malicioso en el sistema de la empresa de seguros y corretaje USPA and IRA Co., con sede en Fort Worth, después de haber sido despedido. «Una vez que lo despidieron, esos programas se activaron», declaró ante el tribunal el fiscal del condado de Tarrant, Davis McCown. En el pasado, los fiscales se han mantenido al margen de este tipo de casos porque son demasiado difíciles de probar.

El programa de Burleson eliminó 168.000 registros de nómina y retrasó los pagos durante un mes, por lo que era imposible mantenerlo en secreto. Es importante destacar que la manipulación del ordenador no se descubrió gracias a un ingenioso sistema de monitorización de software; de hecho, la tecnología no tuvo nada que ver. El daño podría haber continuado y costado a la empresa cientos de miles de dólares si otro empleado no hubiera sospechado de la presencia de Burleson en un terminal después de que supuestamente abandonara la compañía.

Este caso, sobre un programa que los medios de comunicación denominaron virus, sigue siendo citado como un hito en la epidemia. En realidad, el programa era una bomba lógica, no un virus, que Burleson había instalado, y las bombas lógicas, si bien tienen la capacidad de manipular datos, no pueden replicarse como los virus. Esta capacidad de reproducción es, por supuesto, la característica más importante y distintiva de los virus. Por primera vez en la historia de la tecnología, la humanidad ha creado un dispositivo artificial capaz de reproducirse a sí mismo y, sin más... Intervención humana, seguir un curso de acción que puede causar daño, incluso si el programador original no tenía esa intención.

Capítulo 4: Un paseo por el lado oscuro de una subcultura

La posibilidad de grandes desastres informáticos causados por virus puede parecer un escenario fantasioso y exagerado si no se comprenden las actitudes y la asombrosa competencia técnica de los hackers que operan en el lado oscuro de esta singular subcultura del siglo XX. Dicha competencia y estas actitudes pueden observarse a diario en cualquier foro electrónico público. A menudo se pasa por alto, al evaluar la magnitud de la amenaza de los virus, la velocidad extremadamente rápida con la que las redes de foros —más de 28.000 solo en Estados Unidos— pueden propagar tanto virus como información sobre este fenómeno. Desafortunadamente, se está invirtiendo un enorme esfuerzo intelectual colectivo en los virus informáticos, como se refleja en los foros, pero no se está aplicando un esfuerzo similar a algo más beneficioso.

La amenaza que representan los hackers se ve amplificada por el hecho de que son, con mucho, el grupo más activo en compartir y desarrollar el conocimiento tecnológico sobre cómo funcionan los virus. Por el contrario, la escasa cooperación y la fuerte rivalidad caracterizan los esfuerzos de la industria, la academia, el gobierno y otros expertos que deberían colaborar para combatir la amenaza del virus.

La velocidad con la que circula la información en los foros y entre los hackers es clave para determinar la rapidez y la extensión de la propagación de las infecciones. La corporación Interpath publicó un anuncio buscando un programador freelance en un solo foro, y en treinta días se extendió a prácticamente todos los demás foros del país. Generó respuestas de todos los estados de la unión. Un virus puede propagarse en este entorno mucho más rápido porque se reproduce automáticamente. Si una empresa informática quiere cubrir un puesto clave de ingeniería, por ejemplo, un solo anuncio de empleo en un foro llegará rápidamente a los mejores candidatos de todo Estados Unidos. Sin embargo, como contrapartida, un virus oculto puede diseminarse aún más rápidamente.

El perfil del hacker

La habilidad intelectual de Muchos hackers inspiran respeto, y la mayoría ni siquiera pensaría en actuar con malicia. Sin embargo, hay muchos que pueden ser considerados inadaptados sociales debido al papel dominante que las computadoras desempeñan en sus vidas solitarias. Este aislamiento y la inevitable introversión en la personalidad parecen ser particularmente frecuentes entre los hackers que operan en el lado oscuro, quienes irrumpen irresponsablemente en sistemas para beneficio personal o para propagar virus. A menudo rehúyen el contacto humano convencional y tienden a no hacer amigos ni tener interacciones sociales más allá de las que se dan en los foros electrónicos.

Un programador —llamémosle Joe— fue reclutado a través de la National Bulletin Board Society, y él personifica este aislamiento hacker. Joe estipuló en su contrato que nunca se reuniría ni discutiría su trabajo en persona con su cliente, ni siquiera por teléfono. La programación de Joe era extremadamente elegante y precisa, y podía completar incluso tareas complejas en cuestión de días, mientras que a los programadores promedio les llevaría semanas. Era evidente que poseía una inteligencia y una capacidad excepcionales, pero simplemente no podía lidiar con el contacto humano en el sentido convencional. Sin embargo, siente una fuerte conexión con las computadoras porque, al igual que muchos hackers, las ha convertido en seres vivos, más satisfactorios y confiables en muchos aspectos que los humanos.

La complejidad de estas relaciones extremas entre los hackers y sus máquinas refleja la complejidad e intensidad de las relaciones interpersonales convencionales. Joe, por ejemplo, a pesar de su actitud extremadamente antisocial, amaba las computadoras y jamás consideraría instalar un virus que pudiera comprometer la integridad de un sistema. De hecho, era tan preciso en todo lo relacionado con la informática que no podía tolerar que el reloj interno de uno de los sistemas de sus clientes no fuera completamente exacto, y se sintió obligado a dejar su propio teclado para arreglarlo.

Después de que otro hacker, Kevin Mitnick, fuera arrestado y acusado de infiltrarse en el sistema de Digital Equipment Corporation, el Los Angeles Times informó que cuando el investigador de la fiscalía del condado de Los Ángeles lo acusó de dañar una computadora, se le llenaron los ojos de lágrimas. El investigador, Robert Ewen, describió a Mitnick como alguien con una conexión inseparable entre la computadora y su alma, convirtiéndose en un gigante al ponerse frente al teclado. Los hackers con este tipo de personalidad que propagan virus no se consideran a sí mismos atacando computadoras en sí, sino que perciben a las personas y organizaciones que las utilizan como sus verdaderos enemigos. La amenaza potencial que representa una personalidad solitaria, obsesionada con la informática —incluso adicta a ella—, cuando se combina con un resentimiento real o imaginario contra las grandes empresas, el gobierno o la comunidad informática en general, es similar a la de los francotiradores que se vengan disparando indiscriminadamente contra multitudes. Un virus proporciona al hacker rebelde un arma poderosa contra sus supuestos enemigos.

Existen indicios, a partir del monitoreo de la actividad en foros, de que algunos hackers solitarios están estableciendo relaciones más o menos formalizadas con otros de su tipo para desarrollar programas de virus cada vez más potentes. Los virus muestran una clara tendencia a volverse más maliciosos, peligrosos y hostiles. Sin embargo, aún no está claro si los principales responsables de los virus más dañinos son principalmente individuos o grupos. Existen organizaciones clandestinas de hackers que reúnen a individuos antisociales que combinan sus habilidades para crear virus. Esta colaboración se convirtió en una característica del hacking a finales de la década de 1970 y principios de la de 1980, antes de que se crearan programas de virus a gran escala y cuando el principal interés era simplemente infiltrarse en sistemas seguros. Sin embargo, la principal amenaza en esta etapa de la epidemia de virus parece provenir de individuos hostiles a la sociedad que trabajan completamente solos, aislados del contacto directo con los demás, y que crean virus como una extensión de sus actividades de hacking, que sustituyen así la interacción social convencional. Estos hackers solitarios son prácticamente imposibles de identificar.

Se está abriendo una división entre los distintos tipos de hackers, desarrollándose una situación de "buenos contra malos". Los hackers maliciosos encuentran creativo y emocionante crear y propagar virus; sin embargo, otros encuentran aún más estimulante intentar frustrar sus malas intenciones. Se está convirtiendo en una lucha constante, donde los creadores de virus idean nuevas técnicas y los "hackers buenos" responden con métodos para combatirlas. Cada vez más, los expertos contraatacan, realizando ataques preventivos con programas que incluyen funciones de protección que anticipan la siguiente fase de las ofensivas de virus.

Por lo general, los hackers no encajan en ninguno de los grupos sociales tradicionales ni en los estereotipos psicológicos, lo que puede dificultar que los especialistas en seguridad, para quienes se han convertido en serios adversarios, comprendan sus motivaciones. El hacking no es solo un pasatiempo o un área de interés, sino que a menudo se convierte en una profesión.

El hacking es un estilo de vida que sus participantes adoptan con firmeza. Muchos pasan la noche en vela, solos frente a su ordenador, ideando programas maliciosos e intentando infiltrarse en los sistemas de otros. Sus actividades resultan incomprensibles para quienes no sienten fascinación por los ordenadores o simplemente los utilizan como herramientas de trabajo.

El hacking está tan extendido que prácticamente hay un hacker en cada barrio. Un adolescente aparentemente inocente que trabaja hasta tarde en un proyecto escolar mientras el resto de la familia ve la televisión o ya se ha acostado, bien podría estar creando un programa malicioso y tratando de ejecutarlo en un sistema de IBM, General Motors o el Pentágono.

El hacking es predominantemente una actividad masculina que, intelectualmente, se asemeja a la emoción física de la caza mayor: rastrear una presa, perseguirla hasta acorralarla y, entonces, con el virus como arma nueva y poderosa, abatirla. La principal diferencia en la expresión electrónica de los instintos básicos de caza radica en que se tiene mucho más control sobre las probabilidades, y perder ante un adversario implica poco riesgo físico. Al igual que en los videojuegos, un jugador puede ser eliminado, pero inmediatamente levantarse para volver a la batalla. Se produce una fusión entre fantasía y realidad, ejemplificada por los seudónimos machistas que algunos hackers adoptan al comunicarse a través de foros. Mitnick, por ejemplo, se hacía llamar Cóndor, en referencia al personaje principal interpretado por Robert Redford en la película "Los tres días del Cóndor", un personaje que simbolizaba al solitario que lucha contra un sistema político corrupto. James Bond y su estatus de agente 007, con licencia para matar, aparecen con frecuencia en los alias; Mitnick supuestamente utilizó seudónimos bondianos para una de sus cuentas telefónicas pirateadas.

Lo que realmente distingue a los hackers es su disfrute del proceso informático, según informó el Dr. John McCarthy, sociólogo y psicólogo de la Universidad de Harvard. Sherry Tuckle, tras estudiar el fenómeno del hacking en el Instituto Tecnológico de Massachusetts (MIT), escribió sobre ello con gran perspicacia en su libro "El segundo yo: las computadoras y el espíritu humano".

«Aunque los hackers negarían que su cultura sea machista, la obsesión por ganar y someterse a pruebas cada vez más extremas hace que su mundo sea particularmente hostil para las mujeres», escribió. «También existe una huida de la relación con las personas hacia la relación con la máquina, una maniobra defensiva más común en los hombres que en las mujeres».

El Dr. A.S. Turkle descubrió que los hackers del MIT practicaban lo que denominaban «deporte mortal», encontrando en la programación informática una adicción al control similar a la que se observa en algunos pilotos de carreras y de pruebas. En ambos casos, los participantes llevan sus recursos más allá de lo que parece posible, concentrándose los hackers en plantearse desafíos mentales cada vez más exigentes, en lugar de físicos. Por eso los virus les resultan tan fascinantes, y por eso quienes desean proteger sus sistemas de una posible invasión deben comprender mejor a los hackers como adversarios. La motivación de los hackers para manipular los sistemas ajenos suele ser muy diferente de las motivaciones de beneficio personal o venganza que subyacen a otros delitos informáticos.

“Es una cultura de personas que han crecido considerándose diferentes, aparte, y que tienen un compromiso con lo que un hacker describió como ‘una ética de tolerancia total hacia todo aquello que en el mundo real se consideraría extraño’”, escribieron los doctores Turkle. Quienes desean imponer reglas, los habitantes del "mundo real", son menospreciados, al igual que la comunidad de la informática tradicional.

El desafío es el juego

Los sistemas más complejos que planteaban este desafío en el pasado eran las grandes computadoras centrales propiedad de grandes empresas y organizaciones, por lo que inevitablemente se convirtieron en los principales objetivos de los hackers. El desafío al culto a la destreza que representan estos sistemas se volvió más tentador a medida que sus propietarios adoptaban medidas de seguridad más estrictas para protegerlos de amenazas externas. Pero esta situación ha cambiado drásticamente a medida que el desarrollo tecnológico de las microcomputadoras ha alcanzado a sus hermanas mayores. El chip 386 de Intel ha hecho que muchas computadoras de escritorio sean tan sofisticadas como las computadoras centrales en aspectos importantes, por lo que representan un desafío igualmente grande para los hackers, con el atractivo adicional de ser objetivos más accesibles, especialmente cuando están conectadas en red. De hecho, existe otro tipo de desafío potencialmente mucho más dañino: en lugar de simplemente infiltrarse en un sistema, el hacker crea un virus e intenta infectar tantos sistemas como sea posible. Uno "obtiene" una victoria, no solo una victoria. Superar la seguridad de un solo sistema implica invadir cientos o miles de sistemas.

Los hackers hablan de la euforia que sienten al trabajar con máquinas complejas, y no hay mayor satisfacción para ellos que lograr vulnerar con éxito sistemas de seguridad sofisticados.

Medidas de responsabilidad. Una vez dentro de un sistema así, y aún en ese estado mental elevado, muchos hackers sienten la inevitable necesidad emocional de reclamar su territorio, de demostrar visiblemente su victoria. Cuando los alpinistas escalan una cima difícil, plantan una bandera en la cumbre; por lo general, este evento es una experiencia grupal en la que se comparte el triunfo. La bandera del hacker solitario es un virus informático, y su percepción del daño que puede causar está nublada por sus motivaciones y actitudes particulares. Ha roto las reglas de la sociedad establecida y, en cierto modo, estas representan un desafío igualmente grande para los hackers, con el atractivo añadido de ser objetivos más accesibles, especialmente cuando están conectados a través de una red. De hecho, existe otro tipo de desafío potencialmente mucho más dañino: en lugar de simplemente infiltrarse en un sistema, el hacker crea un virus e intenta infectar tantos sistemas como sea posible. Uno "triunfa" no al superar la seguridad de un solo sistema, sino al invadir cientos o miles de sistemas.

Los hackers hablan de experimentar una euforia mental al trabajar con máquinas complejas, y no hay mayor satisfacción para ellos que lograr burlar sofisticadas medidas de seguridad. Una vez dentro de un sistema así, y aún en ese estado mental elevado, muchos hackers sienten la inevitable necesidad emocional de dejar constancia de su logro, de demostrar visiblemente su victoria. Cuando los alpinistas escalan una cima difícil, plantan una bandera en la cumbre; por lo general, se trata de una experiencia colectiva en la que se comparte el triunfo. La bandera del hacker solitario es un virus informático, y su percepción del daño que puede causar está nublada por sus motivaciones y actitudes particulares. Ha roto las reglas de la sociedad establecida y, para enfatizar su superioridad intelectual, lanza un nuevo desafío al sistema: encontrar el virus y controlarlo. Las grandes victorias —los hackeos verdaderamente grandiosos— se convierten en parte de la mitología del hacking, y la noticia se extiende por la comunidad informática más rápido que un telégrafo. Se crean nuevos desafíos a medida que los hackers buscan primero emular a sus pares y luego superarlos. Mientras tanto, operan al margen del mundo empresarial, las agencias gubernamentales y otros sectores de la sociedad, que se rigen por normas y convenciones ajenas a los hackers.

Los hackers no se consideran villanos; de hecho, son héroes en sí mismos cuando logran burlar las medidas de seguridad de un sistema. Son caballeros Jedi que defienden el bien contra las fuerzas oscuras del mal, en un paralelismo inverso al de la película Star Wars. Esta filosofía quedó plasmada de forma magistral en el relato «Software Wars» del hacker de Stanford Mark Crispin. En su historia de ciencia ficción, los hackers son los héroes que luchan contra la cultura perversa del establishment informático. Se proponen «liberar» las máquinas que consideran poseedoras de propiedades mágicas, pero que han sido subvertidas hasta convertirse en herramientas serviles de las grandes empresas o el gobierno.

Estas fantasías se desarrollan cada noche en los foros de internet, su entorno natural, que ahora sirven como campo de batalla para el combate viral, además de un espacio para la interacción electrónica segura. La competencia entre hackers en los foros se intensifica. Por ejemplo, en la Costa Oeste, los entusiastas rivales de IBM PC y Apple Macintosh están adoptando tácticas despiadadas, utilizando virus para atacar los sistemas de los demás en una versión electrónica de la guerra de pandillas que se ha trasladado de las calles a las pantallas de los ordenadores domésticos.

A medida que crece su fascinación por los virus, los hackers experimentan y perfeccionan sus técnicas. Sus foros y boletines informativos contienen descripciones detalladas de una creciente variedad de programas maliciosos cada vez más potentes. Comparado con la emoción y la agilidad mental que supone jugar con virus, el ajedrez electrónico se considera ahora algo trivial y anticuado. Esto está generando graves problemas para los administradores de sistemas de foros, quienes poco pueden hacer para evitar la propagación de virus en sus sistemas, salvo asegurarse de que los programas no probados publicados en los foros se coloquen en un área separada con avisos claros de que no se pueden descargar sin riesgo de infección. En consecuencia, los días de los foros de dominio público, y de los programas que se intercambian tan libremente en ellos, podrían estar contados. Sencillamente, no hay forma de proteger un foro de la infección por virus. No es descabellado pensar que el 75% de ellos podrían haber sido eliminados a principios de la década de 1990 y que los restantes se volverían mucho menos activos.

Incluso sin los foros de discusión, los hackers tienen un territorio prácticamente ilimitado en el que pueden incursionar con sus virus. La cantidad de software en circulación ha alcanzado proporciones asombrosas: más de 20 000 programas propietarios, cada uno con varias revisiones. Quizás el doble de programas de dominio público circulan en los foros de discusión, de modo que, con sus revisiones y actualizaciones, el total Existen millones de virus, todos ellos posibles vehículos para la propagación de infecciones virales. Un virus típico es minúsculo en comparación con un programa común, por lo que encontrarlo puede ser como buscar una aguja en un pajar.

Probablemente, muchos hackers disfrutan ideando formas de contrarrestar los virus a medida que aparecen, incluso anticipándose a futuras versiones de infecciones mediante el desarrollo de medidas defensivas. Como resultado, existe una gran confusión en torno al término "hacker". Originalmente, el nombre describía positivamente a un entusiasta de la informática, pero pronto se asoció comúnmente con aquellos que irrumpen en sistemas y causan daños, los inconformistas de la comunidad informática de cuyas filas han surgido los creadores y propagadores de virus.

Los hackers que no se han adentrado en el lado oscuro de esta subcultura tienen el talento para desempeñar un papel positivo importante, como lo demuestran los muchos ex hackers, en el verdadero sentido de la palabra, que se han convertido en figuras destacadas de la industria informática. Algunos, al llegar a la mediana edad, se han convertido en consultores bien remunerados contratados para intentar vulnerar la seguridad de grandes sistemas. Pueden recibir 10.000 dólares o más por realizar simulacros de ataques para encontrar los puntos débiles de un sistema corporativo y, así, mejorar sus defensas contra virus y delitos informáticos convencionales. Su negocio ha florecido desde que la infección de Internet hizo que muchos profesionales de la seguridad corporativa se percataran, por primera vez, de la vulnerabilidad real de la mayoría de los sistemas.

Algunos hackers destacados y sus métodos

Steven Levy fue el primer autor en comprender a fondo la complejidad del fenómeno del hacking. En su clásico libro de 1984, Hackers: Héroes de la Revolución Informática (Doubleday and Company), describió a los hackers como «exploradores digitales, desde aquellos que dominaron máquinas multimillonarias en la década de 1950 hasta jóvenes genios contemporáneos que dominaban las computadoras en sus habitaciones de los suburbios». Levy no veía a los hackers como marginados sociales, sino como «aventureros, visionarios, arriesgados, artistas... y aquellos que comprendieron con mayor claridad por qué la computadora era una herramienta verdaderamente revolucionaria».

Entre los primeros héroes de la informática se encontraban figuras clave de la revolución informática como Steve Wozniak y Steve Jobs, fundadores de Apple, quienes contribuyeron enormemente a que los ordenadores fueran accesibles al público en general. Bill Gates, fundador de Microsoft, también fue uno de los primeros hackers, al igual que John McCarthy, un brillante profesor del MIT y Stanford, pionero de la inteligencia artificial. Estas destacadas personalidades del mundo informático crearon sistemas y programas que pusieron una enorme capacidad de procesamiento al alcance de sucesivas generaciones de hackers. Esta situación ha propiciado, durante la última década, un crecimiento fenomenal de la comunidad hacker, transformando radicalmente su naturaleza.

Desafortunadamente, pronto surgió un tipo de hacker tan fascinado por el desafío de la exploración digital que su sed de aventura intelectual desprestigió gravemente el hacking. Algunos trabajaban solos; otros formaron grupos como el Inner Circle, fundado en 1982 por hackers que se comunicaban a través de foros electrónicos para ampliar sus habilidades y explorar cualquier sistema de su interés. Tuvieron un éxito rotundo. En poco tiempo, el Grupo 414, que tomó su nombre del prefijo telefónico de Wisconsin, logró infiltrarse rápidamente en más de 60 sistemas, incluyendo uno que contenía datos altamente secretos en un centro de investigación de armas nucleares en Nuevo México. Los grupos de hackers más responsables inicialmente intentaron mantener códigos éticos. En algunos casos, sus estándares se limitaban al interés propio, protegiéndose mutuamente de la identificación para poder intercambiar libremente información sobre contraseñas y otros métodos de acceso a sistemas. Otros intentaron autorregularse en beneficio de la comunidad informática en general; estos individuos acordaron manipular los datos solo de manera que el usuario legítimo de cualquier sistema comprometido pudiera corregir lo sucedido.

Uno de los miembros más célebres del Círculo Interno fue el adolescente californiano Bill Landreth, quien comenzó experimentando con una modesta TRS-80 y luego con una Apple II. Landreth terminó en un tribunal federal tras infiltrarse en la red de correo electrónico de GTE. En aquel momento no se le pudo acusar de fraude informático, pero fue procesado bajo la legislación aplicable al fraude postal o electrónico. Landreth le explicó al juez, y en su libro Out of the Inner Circle (Microsoft Press): “Aunque no lo parezca, soy un adolescente estadounidense bastante normal. No bebo, no fumo ni consumo drogas que me pertenezcan”.

Esa fascinación llevó a Landreth, y Desde entonces, miles de hackers se han sumado al movimiento, desafiando la seguridad de cualquier sistema al que pudieran acceder a través de líneas telefónicas. El movimiento cobró un enorme impulso y se multiplicó exponencialmente con el estreno de la película Juegos de Guerra en 1983, que reveló a toda una generación que sus teclados podían ser la puerta de entrada a aventuras electrónicas indirectas en las que sus adversarios eran miembros de un sistema que consideraban malvado.

Las comunicaciones de los hackers en foros indican que, cuando expresan opiniones políticas contundentes, estas son predominantemente antirrepublicanas, y perciben al presidente Bush, en particular, como una figura del establishment asociada a las actividades de la CIA y otras agencias que los hackers consideran especialmente reprobables. Las tendencias actuales apuntan a una creciente hostilidad de los hackers independientes hacia el gobierno y las grandes empresas, lo que ha derivado en un empeoramiento de la actitud que muestran hacia su único contacto humano directo al infiltrarse en sistemas. En la época anterior a los virus, durante los años setenta y principios de los ochenta, cuando el hackeo se consideraba una amenaza menor, los hackers solían entablar relaciones electrónicas amistosas con los operadores de los sistemas que invadían. Muchos de estos operadores estaban psicológicamente en sintonía con los intrusos, quizás incluso ellos mismos habían sido hackers, por lo que podían comprenderlos fácilmente.

Cuando un hacker irrumpía en un sistema en la época anterior a los virus y era descubierto sin haber causado daños reales, la reacción del operador podía ser relativamente moderada. Podía desarrollarse un duelo de ingenio mediante ataques y respuestas, y los hackers a menudo no se veían provocados a dañar un sistema debido a la sensatez de la respuesta del operador ante sus actividades maliciosas. Como en una partida amistosa de ajedrez, ambas partes aceptaban la victoria y la derrota con espíritu de sana competencia, sin generar hostilidad abierta. De hecho, la mayoría de los primeros hackers confirmarían que el tono y la actitud de la respuesta del operador podían ser factores importantes para minimizar o agravar el daño que causaban a los sistemas invadidos.

Hoy en día, una actitud tan tolerante no se puede aplicar con tanta facilidad al tratar con los propagadores maliciosos de virus, aunque bien podría haber sido útil en el caso de Internet si se hubiera podido contactar con el joven Morris. Estaba atemorizado por las enormes consecuencias de su acción y se ocultó justo cuando podría haber brindado una ayuda invaluable para identificar y neutralizar el virus que creó. El hacker inglés involucrado en los ordenadores de los Laboratorios Lawrence Livermore recibió recientemente inmunidad a cambio de colaborar con la investigación. En algunas situaciones en las que se puede contactar con el hacker, puede ser conveniente animarlo a permanecer en línea y evitar un conflicto con él. Dicho conflicto genera mayor hostilidad y deja a uno completamente solo al intentar resolver los problemas que el hacker pueda haber creado. En el caso de virus de acción retardada que incorporan lógica o bombas de tiempo, esos problemas pueden ser completamente insospechados y tardar en manifestarse. De hecho, una respuesta hostil puede convertir a un hacker sin intenciones maliciosas graves en un adversario vengativo para quien el virus es un arma poderosa. En lugar de estar motivado a cooperar para minimizar el daño, podría verse tentado a causar aún más estragos. Bloquearle el acceso al sistema de inmediato sería una respuesta totalmente inapropiada si ya hubiera instalado un virus latente que podría activarse si su hostilidad aumenta o ser detectado y desactivado con su cooperación. Un virus le proporciona al hacker varias ventajas que puede usar para ganar cualquier juego que esté jugando con sus víctimas.

La principal debilidad del hacker es la adicción a la información; se verá tentado a mantenerse en contacto si siente que existe la posibilidad de satisfacer aún más su curiosidad intelectual sobre un sistema. Su vanidad también lo hace vulnerable, y su potencial cooperación podría estimularse si se le trata como un oponente inteligente y digno.

Esta interacción humana entre hacker y víctima rara vez recibe la consideración que merece en la lucha contra el delito informático. Todo sistema vulnerable debería garantizar que sus operadores adquieran las habilidades de relaciones humanas necesarias para comprender las actitudes y motivaciones de sus oponentes hackers y las mejores maneras de lidiar con ellos cuando sean descubiertos. La estrategia esencial comienza con extrema precaución cuando se descubren las primeras evidencias de una intrusión en un sistema. Si el hacker aún está en línea, los operadores pueden tener el tiempo y la oportunidad de seguir sigilosamente a los intrusos, recopilando toda la información posible sobre sus actividades antes de confrontarlos. Posteriormente, se podría establecer una relación para incentivar la cooperación del hacker, tanto para minimizar los daños ya causados como para garantizar que la experiencia proporcione información que permita reforzar la seguridad del sistema frente a futuros ataques similares.

El enfoque amenazante y de confrontación rara vez funciona y puede ser más perjudicial. Tratar con un hacker es similar a negociar con alguien que ha tomado un rehén. Ante todo, nunca se debe dejar al oponente sin opciones aparentes. Amenazar con acciones legales casi siempre se interpretará como una amenaza vacía, ya que es muy difícil llevarla a cabo con éxito. Incluso si es posible un arresto, no es aconsejable avisar con antelación.

Sin embargo, las oportunidades para lidiar con los intrusos informáticos se han reducido considerablemente. Solo en raras ocasiones existe la posibilidad de contactar con ellos en línea. No obstante, puede haber casos en los que el propagador de un virus realmente no se percatara del daño que el programa podía causar y en los que se pueda obtener su cooperación adoptando una actitud no amenazante.

Incluso la imposición de medidas de seguridad más estrictas puede ser una provocación para el hacker y dar un nuevo impulso a la actividad de piratería informática. Cuando la Compañía Nacional de Teléfonos de Australia lanzó un teléfono público prácticamente a prueba de robos, el vandalismo en las cabinas telefónicas alcanzó niveles récord, ya que los ladrones potenciales desahogaron su frustración destrozando equipos que resistían sus intentos de robo. Existen otros precedentes que indican que la propagación de virus verdaderamente maliciosos se intensificará en forma de contraofensivas a medida que se implementen medidas para mejorar la seguridad de los sistemas informáticos.

Las técnicas para crear virus más potentes e infectar objetivos específicos o a la comunidad en general son ahora ampliamente conocidas entre los hackers y se perfeccionan constantemente. Nunca antes había existido un grupo tan numeroso y talentoso, con rasgos tan antisociales, con tal poder tecnológico a su disposición.

La mentalidad hacker se hace evidente al estudiar sus intercambios en foros, especialmente cuando hablan abiertamente sobre virus. Observar estas comunicaciones por correo electrónico es una experiencia alarmante; cuando los hackers analizan escenarios de pesadilla sobre las consecuencias de los virus, expresan su convicción de que incluso estos escenarios podrían hacerse realidad. Por ejemplo, en una sesión de la Sociedad Nacional de Tablones de Anuncios, se desarrolló un escenario creíble en el que un saboteador informático podría infiltrarse en cualquier agencia segura, en cualquier lugar, con solo conocer el tipo de computadora que se utiliza y la zona geográfica donde se encuentra la instalación. Dicha información es relativamente fácil de obtener.

El escenario funciona así: se contacta con una cartelera electrónica en un radio de ochenta kilómetros de la instalación y se descarga un programa muy atractivo que probablemente será descargado por muchos usuarios. Las imágenes de mujeres desnudas son muy populares, y numerosos usuarios descargan este tipo de archivos. Han existido varias versiones de programas pornográficos "rudeware" infectados con virus que se han difundido ampliamente.

Oculto dentro de un programa tan popular como este podría haber un virus con la simple instrucción de explorar cualquier sistema al que acceda e identificar el entorno informático buscando el nombre del sistema. Incluso si el sistema no revela fácilmente esta información, el virus puede obtener pistas de las etiquetas de los números de serie de los discos y otras fuentes.

Supongamos que el virus busca los Laboratorios Lawrence Livermore, que realizan trabajos gubernamentales de alto secreto y cuyos ordenadores ya han sido vulnerados por hackers en varias ocasiones, quizás utilizando precisamente este método. Si el virus se encuentra en otro sistema, está programado para replicarse. Esto puede ocurrir repetidamente, propagando el virus a través de otros sistemas a un ritmo cada vez mayor. Dado que ahora se propaga sin control entre los sistemas ubicados geográficamente dentro del área de las instalaciones objetivo, eventualmente será detectado por alguien que trabaje allí e infectará, sin saberlo, un sistema de seguridad de bajo nivel. Una vez dentro de las instalaciones, el virus puede avanzar hacia áreas más seguras. Al adjuntarse tanto a disquetes como a programas, puede propagarse a través de redes, intercambio de discos y otras rutas que conectan categorías de seguridad de bajo y alto nivel.

Mientras tanto, el saboteador accede regularmente al sistema objetivo, introduciendo la contraseña que ha programado en el virus. Se le denegará el acceso hasta que, un día, el virus alcance su objetivo, se active e instale la contraseña. La próxima vez que el saboteador llame, se reconocerá la contraseña y el virus le dará la bienvenida. Es un escenario realista. Podría suceder. Quizás un sistema sensible utilizado para la defensa u otro trabajo secreto ya haya sido vulnerado por hackers de esta manera.

Capítulo 5: Redes de datos

Para infiltrarse y luego recorrer los ordenadores del país, los hackers y los virus que crean dependen de las redes electrónicas. Una red está compuesta por varios ordenadores capaces de intercambiar datos, generalmente a través de líneas telefónicas. Los ordenadores de una red a menudo pueden comunicarse entre sí con o sin intervención humana. La información se puede descargar o recuperar sin intervención humana ni supervisión real. La vulnerabilidad de estas redes es alarmante, ya que dichas conexiones entre máquinas desempeñan un papel cada vez más importante en nuestra sociedad.

Mucho antes de que los creadores de virus aprendieran a crear programas que se reproducían e implantaban en ordenadores de todo el mundo, los hackers exploraban las vías electrónicas por las que ahora se propagan los virus.

Miles de hackers aficionados recorren los sistemas telefónicos públicos en cualquier momento. Programan sus ordenadores para que marquen números automáticamente hasta encontrar uno que conecte con un ordenador de su interés. Es posible que ya hayan obtenido el número legítimamente, ya que muchos sistemas publican cómo contactarlos. También es posible que simplemente hayan robado números y contraseñas, u obtenido la colaboración de fuentes internas en las compañías telefónicas o entre los empleados de los propietarios de los sistemas informáticos invadidos.

Los sistemas telefónicos públicos se han vuelto extremadamente vulnerables, en gran medida como resultado de su creciente informatización. Este es un factor importante para comprender la facilidad con la que los virus se propagan a través de las redes. Un joven hacker entregó al New York Times una copia de un memorándum interno altamente confidencial de un gerente de seguridad de Pacific Bell, que había obtenido interceptando una transmisión de fax en San Francisco. El memorándum confirmaba que los hackers informáticos son cada vez más numerosos y sofisticados, lo que representa un problema creciente para el 80% de los clientes de telefonía que actualmente utilizan sistemas de conmutación computarizados. Estos sistemas permiten a las compañías implementar las necesidades de los suscriptores mediante sencillas instrucciones de teclado. Cuando un cliente solicita el desvío de llamadas, el sistema lo configura electrónicamente en lugar de mediante la tradicional modificación mecánica de conmutadores y relés en la central telefónica. Si los hackers pueden vulnerar tan fácilmente la seguridad del sistema telefónico, entonces tienen la capacidad de alterar los datos informáticos que controlan el funcionamiento de las redes telefónicas. Las habilidades que han adquirido los "phackers" —intrusos del sistema telefónico— son herramientas básicas para la propagación de virus.

Proteger adecuadamente nuestros sistemas telefónicos es prohibitivamente caro, y la mayoría de los consumidores no tolerarían el aumento de costos que se reflejaría en sus facturas mensuales. En cualquier caso, ni siquiera las mejoras sustanciales en la seguridad telefónica serían suficientes para burlar a los hackers más decididos, que demuestran una gran ingeniosidad. Otro adolescente de San Francisco recurrió a lo que los hackers denominan "ingeniería social", haciéndose pasar por funcionarios de seguridad telefónica para obtener información, incluidas contraseñas secretas. Se coló en varias instalaciones de Pacific Bell disfrazado de repartidor de Federal Express.

Aunque no tengan las contraseñas tras localizar un sistema de interés, los hackers pueden ejecutar programas especiales para encontrarlas. A menudo es una tarea sencilla, ya que la gente suele usar contraseñas fáciles de adivinar y que no cambian con la suficiente frecuencia para garantizar una buena seguridad. Nombres de pila, derivados de nombres de empresas o simples secuencias de letras y números son de uso común y los hackers las descifran fácilmente. A veces, tras establecer una conexión, los hackers esperan una llamada legítima de un usuario autorizado del sistema y vulneran la seguridad mediante esa contraseña. Es como esperar fuera de una puerta cerrada hasta que llegue alguien con la llave y luego colarse sin ser detectado.

Un miembro del grupo de hackers 414 se dedicaba a realizar este tipo de intrusiones telefónicas cuando logró acceder al Centro Oncológico Sloan Kettering de Nueva York mediante un ataque informático. El ordenador de Sloan Kettering contiene datos sobre los niveles de radiación que deben recibir los pacientes con cáncer. El hacker tuvo acceso repentino a niformación potencialmente mortal, quizás sin darse cuenta de su existencia ni de las consecuencias para los pacientes si los datos se perdían o alteraban.

Existen leyes penales que permiten evaluar las consecuencias de que un intruso acceda físicamente a un laboratorio médico y dañe los registros, pero la legislación vigente no aborda eficazmente las situaciones en las que un hacker accede a un sistema tan sensible y deja un virus.

Actualmente se acepta que la infección por virus se propaga rápidamente debido a que los ordenadores se han vuelto electrónicamente "promiscuos" como resultado del crecimiento explosivo de las redes. Según un estudio de Market Intelligence Research Company of California, las conexiones a redes de computadoras personales crecieron un 77 por ciento en 1988. Aproximadamente el 90 por ciento de todas las computadoras personales aún permanecen aisladas, sin estar conectadas a ningún tipo de red, pero cada día se conectan más a nivel local, nacional e internacional, y pueden verse afectadas porque es el sector de mayor riesgo de propagación de infecciones virales.

Los sistemas ya no operan de forma aislada ni interactúan con solo uno o dos socios en un entorno electrónico cerrado y confinado, como una red de área local (LAN). Los usuarios de computadoras se conectan cada vez más con otros de su tipo, accediendo a foros, bases de datos y redes para obtener o procesar información para una multitud de tareas o simplemente por entretenimiento. Además, las computadoras ahora pueden iniciar contactos o responder a solicitudes de otras computadoras sin instrucciones específicas ni supervisión humana. Se han eliminado las barreras electrónicas, de modo que las computadoras Apple pueden comunicarse con las IBM, o las modestas computadoras de escritorio clonadas, que cuestan unos cientos de dólares, pueden contactar con minicomputadoras y mainframes que valen millones.

Las computadoras utilizadas por las instituciones financieras estadounidenses ahora interactúan entre sí a través de redes hasta tal punto que transfieren casi un billón de dólares diarios en fondos y activos. Su eficiencia y seguridad ya han demostrado ser vulnerables. Por ejemplo, las operaciones de negociación de valores gubernamentales del Banco de Nueva York se vieron afectadas por fallos de software, lo que obligó a otros bancos a dejar de operar con él y requirió un préstamo federal de 24.000 millones de dólares hasta encontrar una solución.

Según algunas encuestas, el robo electrónico promedio a bancos, perpetrado por delincuentes que acceden a estas redes financieras, genera 500.000 dólares. Esto representa 500 veces más que el botín típico de asaltar un banco a punta de pistola. La tentación humana de infiltrarse en sistemas informáticos financieros para obtener beneficios económicos personales es enorme, pero parece no ser mayor que la tentación de infectarlos con virus por venganza o para protestar. Este tipo de acciones pueden extenderse a sistemas donde los virus tienen el potencial de ser mortales, muchos de los cuales son particularmente vulnerables porque necesitan conectarse en red para intercambiar información. Nuestros sistemas de control de tráfico aéreo, sobrecargados, ya están altamente informatizados, al igual que los propios aviones. Tras el fatal accidente de un avión de pasajeros de nueva generación, equipado con sistemas informáticos, ocurrido en Francia en 1988, los pilotos europeos presionaron enérgicamente contra lo que consideraban una peligrosa tendencia a delegar la toma de decisiones humanas a las máquinas, incluso si, en teoría, los ordenadores tienen mayor capacidad de reacción en caso de emergencia.

«Hemos avanzado tanto en el complejo camino del control informático que ahora resulta difícil plantear preguntas fundamentales sobre áreas críticas de seguridad», comentó la profesora Bev Littlewood, del departamento de ingeniería de software de la Universidad de la Ciudad de Londres. Brian Perry, jefe de Sistemas de Aviónica y Eléctricos de la Autoridad de Aviación Civil Británica, también ha criticado estos avanzados sistemas de control informático. No podemos establecer un nivel totalmente verificable de que el software del Airbus A320 esté libre de errores.

Los virus pueden insertarse en la programación inicial de dichos sistemas, y su vulnerabilidad queda demostrada por el hecho de que todos los recursos de la industria de la aviación civil no pueden eliminar la posibilidad de errores en los sistemas informáticos vitales de control de aeronaves.

Los hospitales y los servicios de emergencia también dependen cada vez más del almacenamiento y procesamiento electrónico de datos para garantizar que los pacientes reciban un tratamiento rápido y eficaz. Los virus ya han penetrado e infectado sistemas de registros médicos, encontrando un punto débil en las conexiones de red.

Los virus nos obligan a considerar ajustes similares en la forma en que usamos las computadoras y permitimos que interactúen entre sí, al igual que la sociedad se ha visto obligada a modificar su comportamiento sexual como resultado de las enfermedades de transmisión sexual. Tras la liberación del intercambio de datos mediante el intercambio libre de discos y la liberalización de las redes, debemos adoptar prácticas informáticas seguras.

El sector de la industria informática dedicado a proporcionar hardware, software y servicios para fomentar las redes tenía un futuro prometedor y sin nubes en el horizonte antes de que los virus se convirtieran en un problema público en 1988.

Obviamente, para proteger sus mercados y valores bursátiles, estos intereses comerciales deben desarrollar una estrategia contra los virus que no limite la continua expansión de las redes ni los miles de millones de dólares en ingresos que generará este sector en crecimiento.

Un gran número de personas se ven afectadas por estos problemas. Si se conecta un módem a una computadora para intercambiar información por línea telefónica con un amigo, colega o socio comercial, o para usar cualquier servicio en línea, se está utilizando una red. En Francia, existe un innovador programa nacional que podría conectar a prácticamente todos los abonados telefónicos a una red para realizar compras desde casa y muchas otras actividades. Solo en Estados Unidos, unos 12 millones de personas utilizan los tablones de anuncios en línea. Existe un universo electrónico con posibilidades fascinantes, pero también el peligro de que la epidemia de virus se agrave mucho más de lo que podemos imaginar actualmente.

Las redes de datos como herramientas de negocio

Interpath Corporation, la empresa de John McAfee que suministra computadoras Las empresas con equipos de reconocimiento de voz son un ejemplo típico de los negocios que prosperarán gracias a la interconexión. Si bien puede haber habido un pequeño contratiempo en el crecimiento, por lo demás ininterrumpido, de las pequeñas empresas electrónicas que Alvin Toffler predijo en La Tercera Ola, estas se expandirán inevitablemente, a menos que la amenaza del virus resulte insuperable. Muchas personas desean dejar las grandes empresas y emprender por su cuenta, utilizando computadoras. En Estados Unidos, muchas empresas nuevas (especialmente las pequeñas empresas) dependen de las computadoras porque consideran que estas máquinas versátiles reducen sus costos y aumentan su capacidad para operar incluso las empresas más pequeñas de manera eficiente. Las empresas pueden contactar eficazmente con proveedores y clientes gracias a las maravillas de las redes.

Prácticamente cualquier empresa se beneficia del uso de una computadora, y pronto muchas descubren que esos beneficios pueden mejorarse considerablemente al conectar sus computadoras a una red. Interpath depende en gran medida de la interconexión para ser una organización descentralizada, con casi todas sus funciones subcontratadas. Las técnicas de gestión por red de Interpath demuestran cómo las computadoras en red se han convertido en elementos esenciales en la estructura de esta y muchas otras empresas. Una infección viral podría tener consecuencias muy graves para el bienestar de muchas empresas.

Interpath solía gastar 4000 dólares al mes en una oficina, pero la mayoría de los empleados pasaban mucho tiempo fuera, ocupados con sus propios asuntos. Por eso, la empresa eliminó tanto la oficina como la nómina. Como resultado, Interpath se convirtió rápidamente en el mayor proveedor mundial de equipos de reconocimiento de voz para PC IBM y compatibles. Ofrecía precios cinco veces más bajos que la competencia, ya que prácticamente no tenía gastos generales. Interpath podía vender hardware de comandos de voz por solo 199 dólares, pero con todas las capacidades de un sistema de 1000 dólares. Su software presenta ventajas competitivas similares.

Cuando se decide desarrollar un nuevo producto de software, Interpath no utiliza un departamento de ingeniería de software como las grandes empresas. En su lugar, se deja un mensaje en una cartelera electrónica, que proporciona acceso casi instantáneo a más de mil de los mejores programadores del país. Pronto, Interpath recibe llamadas de los programadores disponibles. Pueden realizar el trabajo a precios muy competitivos porque la mayoría tampoco tiene gastos generales. Muchos pasan la noche en vela comunicándose entre sí a través de BBS, lo que permite que un programador o un equipo trabaje sin descanso en un proyecto. Algunos ni siquiera llegan a conocer a su empleador. Transmiten su trabajo a la empresa mediante módem e Interpath les envía un cheque.

Trabajando en paralelo con contratistas de desarrollo de productos a través de BBS, se puede contactar con empresas de empaquetado, fabricación, marketing y distribución, todas ellas independientes y deseosas de ofrecer un servicio rápido y eficiente. De esta forma, se puede lanzar un nuevo producto de software al mercado en tan solo 30 días. Una organización convencional de mayor tamaño podría tardar entre seis meses y un año en lograr el mismo resultado, con un coste mucho mayor.

La actividad empresarial descrita produce productos para el sector informático, pero la forma en que Interpath utiliza los ordenadores, en particular el uso de redes, se extenderá en los próximos años.

Los sistemas de carteleras electrónicas están en peligro

Los sistemas de carteleras electrónicas también pueden ser una herramienta muy eficiente para pequeñas empresas de todo tipo. Con su enorme potencial para comunicaciones rentables, estos tablones de anuncios digitales pueden llegar a ser tan útiles como las Páginas Amarillas o una agenda de contactos.

Es fundamental tomar en serio la amenaza que representan los virus para el futuro de los tablones de anuncios. La propagación de virus informáticos complica y hace más urgente la cuestión de si está justificado —y en qué medida— imponer controles sobre lo que se ha convertido en un importante medio de comunicación pública y empresarial.

La censura es aborrecible en una sociedad democrática, pero limitar la propagación de virus informáticos puede requerir cierto grado de control sobre los tablones de anuncios y otras actividades en redes informáticas.

La legislación actual sobre delitos informáticos no parece ofrecer soluciones eficaces, demostrando no ser un medio práctico para proteger a los usuarios de las actividades de los hackers maliciosos. Incluso la legislación que tipifique como delito federal la propagación de virus maliciosos resultará difícil de implementar con eficacia mientras exista confusión sobre la naturaleza de los virus, su grado de malicia y la intención de sus creadores. Por supuesto, algunos casos son claros, como la manipulación de Burleson para vengarse del sistema de su antiguo empleador en Texas, o cuando se emprenden acciones similares para beneficio personal. En tales casos, la legislación vigente puede aplicarse con bastante eficacia.

Pero al conectarse a una red o cargar un disco que ha estado expuesto a contaminación, uno puede convertirse en víctima de un hacker que podría alegar que sus actividades no tenían intención criminal. ¿Está el adolescente jugando a ser un hacker? ¿Acaso un joven que juega videojuegos en su computadora personal será considerado por los tribunales como un saboteador, un criminal con malas intenciones? ¿Se equiparará el robo electrónico —cuyas consecuencias podrían costar millones— con el hurto de un bolso con unos pocos dólares? En teoría, las penas pueden ser severas. Actualmente, un delito informático tipificado como delito federal grave puede conllevar multas de hasta 250.000 dólares y cinco años de prisión, pero ¿tratarán los tribunales a los jóvenes hackers responsables de la propagación de la mayoría de los virus en la misma categoría que a los criminales más experimentados? Es poco probable que la Comisión de Sentencias de EE. UU. lo crea, ¡incluso después de haber sido víctima de un virus informático!

El hackeo de redes de datos es una de las subculturas más importantes surgidas en la sociedad de la información y, hasta que comenzó la epidemia de virus, sirvió para ampliar el conocimiento de los usuarios sobre técnicas informáticas. Actualmente, ciertos aspectos del hacking se han vuelto demasiado peligrosos, y existe una necesidad urgente de imponer controles sobre sus actividades más excesivas, incluso si muchos hackers, para quienes la experimentación y el desafío de explorar los sistemas ajenos son la principal motivación, no comprenden del todo las posibles consecuencias. Cuentan con pocos parámetros legales bien definidos que les permitan detectar cuando los retos intelectuales de crear y propagar virus se convierten, quizás involuntariamente, en comportamientos antisociales graves o incluso mortales.

Los hackers pueden dejarse llevar por su pasión —o adicción, como suele ser el grado de fascinación por la informática— para propagar virus sin que el derecho penal pueda cuantificar la gravedad del delito. En muchos casos, es difícil presentar una acusación adecuada en la que el virus se defina como daño malicioso dentro de los estrictos requisitos de la legislación vigente y en trámite. Si los hackers experimentan con virus en un sistema con información tan sensible como historiales médicos, aún podrían enfrentarse a una acusación o condena relativamente leve. El derecho civil tampoco ofrece una reparación adecuada para las víctimas, ni siquiera para la minoría que decide denunciar, debido a la escasez de recursos económicos para interponer demandas. Es muy difícil que el castigo se ajuste al delito.

Capítulo 6: Los principales tipos de virus y su funcionamiento

Los virus presentan una amplia variedad de colores, tipos y tamaños. Algunos son extremadamente pequeños, con tan solo una docena de instrucciones programadas, que comprenden menos de 200 bits de información codificada en binario, donde cada bit representa el espacio necesario para almacenar un valor binario (0 o ). Algunos virus se propagan lentamente. Otros son extremadamente rápidos. Hay virus que entran en acción tan pronto como encuentran un nuevo sistema huésped para destruir datos, programas o ambos. Otros pueden esperar semanas, meses o años antes de activarse y comenzar a dañar un sistema. (1999).

Los virus varían según el tipo de computadora a la que atacan, como las PC IBM, las Amiga, las Macintosh y una variedad de minicomputadoras. También se pueden distinguir por el área del sistema que infectan o el tipo de mecanismo que utilizan para replicarse. Algunos virus incluso se clasifican según el grado de interrupción que causan.

Los esfuerzos por clasificar los virus se han visto obstaculizados por los propios hackers. Muchos virus han sido modificados numerosas veces por diferentes hackers. Es más fácil modificar un virus existente que crear uno desde cero, y esta opción suele ser la preferida por los hackers perezosos. Como resultado, la variedad de virus se ha multiplicado exponencialmente. Los virus existentes se modifican extensamente para adquirir características muy diferentes en su funcionamiento y en sus efectos sobre los sistemas. Por consiguiente, un virus con el mismo nombre que otro, que presenta características externas similares, puede requerir tácticas radicalmente diferentes para ser neutralizado, del mismo modo que las nuevas cepas de gripe que surgen cada año son resistentes a las vacunas desarrolladas a partir de la infección del invierno anterior.

A pesar de esto, se han identificado y nombrado distintas cepas de virus. Cada virus original, implementado por su creador para infectar una clase específica de ordenador de una manera específica y para alterar el sistema a su manera, se denomina cepa de virus. Por lo tanto, cada creación original es una cepa de virus. Las modificaciones de estas cepas individuales se denominan variantes.

Los sistemas de clasificación que intentan organizar esta multitud de virus utilizan sistemas basados en el tipo de arquitectura afectada, el grado de alteración causado o el área del sistema donde el virus decide alojarse.

La clasificación por arquitectura informática es la organización más obvia y, sin duda, la más sencilla de definir. Más del 70% de las infecciones registradas se han producido en PC IBM y sistemas clonados, alrededor del 24% en sistemas MAC y Amiga, y el 6% restante involucra otro hardware.

Sistemas operativos.

Los virus Pakistani Brain, Jerusalem y Merritt han sido las cepas más comunes que afectan a los PC IBM y sus clones. Los virus Scores y nVIR lideran el mercado en el entorno MAC, mientras que los virus SCA e IRQ son los principales problemas para los usuarios de Amiga, según estadísticas recopiladas por la Computer Virus Industry Association. Por lo general, los virus aún no se propagan de una arquitectura informática o sistema operativo a otro, aunque esto podría ocurrir en el futuro. El virus InterNet fue el primer ejemplo de un virus capaz de sobrevivir en dos arquitecturas informáticas diferentes: los ordenadores DEC VAX y Sun Microsystems. De esta forma, se sentó un precedente.

Grado de interrupción

Algunos virus son tan agresivos y perjudiciales que destruyen por completo toda la información del ordenador. En el otro extremo, se han descubierto algunos virus completamente inertes; se reproducen y causan una infección generalizada, pero no tienen ninguna otra función. No causan daños, no muestran mensajes y no interfieren con el sistema de ninguna manera, salvo para alojarse en él. Entre ambos extremos se encuentra todo lo imaginable. En general, las alteraciones virales se clasifican en las siguientes categorías:

Inocuas: Estos virus no causan alteraciones perceptibles en el sistema. Se alojan en un área discreta e infectan disquetes y otros soportes que entran en contacto con el sistema. La infección se lleva a cabo de forma que no corrompe los datos ni los programas, y el virus evita cualquier interferencia con los procesos normales del sistema. Cualquier daño causado por estos virus es accidental y suele ser resultado de errores de programación.

Humorísticas: Estos virus suelen contener y mostrar un mensaje o imagen humorística, o bien provocan algún evento molesto sin pérdida ni modificación de datos. Los creadores de virus las consideran una broma y no pretenden causar daños permanentes. En el peor de los casos, provocan el apagado temporal del sistema o una interferencia momentánea con el procesamiento de la pantalla. La recuperación de estos virus suele ser muy sencilla.

Alteración: Estos virus alteran los datos del sistema. Localizan archivos de datos en hojas de cálculo, bases de datos y otras aplicaciones, y modifican la información numérica; por ejemplo, cambian un 8 por un 3, añaden un cero o mueven la coma decimal. Pueden intercambiar la información entre dos datos o invertir el orden numérico dentro de uno mismo. También pueden eliminar un dígito. Estas y otras alteraciones de datos similares suelen realizarse de forma aleatoria y poco frecuente, por lo que el usuario puede pasar meses o incluso años sin saber que el virus está presente. Este tipo de virus es potencialmente el más perjudicial, ya que las modificaciones son difíciles de detectar, pero sus efectos acumulativos resultan desastrosos.

Catalizantes: Estos virus se activan repentinamente y causan una destrucción generalizada e inmediata. Borran archivos críticos del sistema, alteran tablas de información clave o, en algunos casos, eliminan toda la información almacenada en el disco duro y otros dispositivos conectados.

Dónde se esconden los virus

Los programadores de virus demuestran una gran creatividad al inventar nuevas técnicas para que los virus permanezcan ocultos, infecten una gama más amplia de programas y ordenadores, e inflijan mayores daños. A pesar de la creciente complejidad y diversidad de las arquitecturas de los virus y el nivel de detalle de su programación, todos ellos atacan una de las tres áreas del sistema durante sus intentos iniciales de infección: (1) el segmento de arranque; (2) el sistema operativo, que es el software que controla todas las entradas y salidas del sistema y gestiona la ejecución de los programas; o (3) uno o más programas de aplicación que permiten al ordenador realizar una función útil.

Los virus se pueden clasificar según el área del sistema que infectan inicialmente, y cada uno de los tres tipos posee características que, a su vez, sirven como objetivos para los programas antivirus que se describen más adelante.

Cuando una infección entra en un sistema a través de un disquete contaminado, suele estar asociada a un programa en dicho disquete o se oculta en el código de programación del sector de arranque. El disquete, por supuesto, es visualmente indistinguible de un disquete sano. El disquete puede contener un procesador de textos, una hoja de cálculo u otro programa de aplicación (es decir, los programas de software que se utilizan para realizar tareas en el ordenador) infectado con el virus. O bien, el virus puede estar oculto dentro de uno o más programas del sistema operativo.

Para comprender mejor cómo un virus parece adquirir vida propia al infectar dichos programas, conviene detenerse brevemente en una explicación de los procesos básicos que permiten a una computadora "pensar".

El sistema numérico binario

A pesar de la complejidad de sus circuitos, las computadoras están compuestas esencialmente de interruptores eléctricos que registran únicamente Encendido o Apagado. El estado de encendido se traduce en un "1" y el de apagado en un "0". Este es el código binario característico de la computadora, que utiliza el sistema numérico binario. Toda la información que procesa una computadora se traduce, en algún momento, a este sistema de "0" y "I".

Ramificación condicional

Las computadoras toman decisiones basándose en los datos recibidos y almacenados en código binario. Estas decisiones implican un sistema lógico llamado "ramificación condicional".

En este sistema, cada paso del proceso de cálculo implica plantear preguntas que generan una respuesta de Sí/Verdadero o No/Falso. Dependiendo de estas respuestas, se pueden tomar decisiones para avanzar a la siguiente etapa del procesamiento o retroceder y buscar otra ruta. Las decisiones son respuestas lógicas a la forma en que se responden las preguntas y, en programación, se representan generalmente mediante las condiciones "y", "o" y "no". Por ejemplo, se crea un programa malicioso para buscar ordenadores IBM y sistemas compatibles y, si los encuentra, activarse y comenzar a multiplicarse el viernes 13 de cualquier mes.

Este programa malicioso se introduce en un ordenador IBM clonado cuando el propietario toma prestado un disquete de un amigo que contiene un programa con el código del virus oculto. Carga el programa —y el código del virus al mismo tiempo— sin darse cuenta de su presencia. Mientras se ejecuta el programa, el ordenador interactúa con el virus mediante señales codificadas en binario que le preguntan: "¿Es este un ordenador compatible con IBM?". Si la respuesta del sistema es afirmativa, el programa malicioso pregunta, también en código binario, al reloj y calendario internos del ordenador: "¿Es viernes 13?". Si la respuesta es otra afirmativa, se cumplen los requisitos para una decisión de "y". Ambas preguntas han dado positivo, por lo que el programa decide activarse. Si la respuesta a su pregunta sobre la fecha era negativa, el programa habría iniciado el procesamiento con otra serie de preguntas y decisiones, lo que probablemente habría provocado que el virus se ocultara en alguna parte del sistema operativo del ordenador, desde donde podría emerger.

Este es un resumen simplificado de lo que sucede, pero básicamente es la secuencia que se sigue en fracciones de segundo a medida que se procesan preguntas y respuestas codificadas en binario, lo que conduce a una serie de acciones. O, por supuesto, a la inacción si hay muchas respuestas negativas, lo que supone un callejón sin salida para el programa.

Un virus entra en el sistema

Cuando se inserta el disco infectado en el ordenador y se inicia el programa, lo que puede ser una operación automática, el virus se separa de su huésped e inmediatamente crea copias de sí mismo que buscan nuevos huéspedes. Explora el sistema en busca de otros programas con código que le proporcionen un entorno en el que pueda sobrevivir. Si el sistema tiene almacenamiento en disco duro (fijo) o en un segundo disquete, el virus escaneará rápidamente todos los archivos en estas áreas. Puede encontrar cuatro o cinco programas en los discos duros y disquetes que sean susceptibles a su infección, infectándolos así también. Ahora existen infecciones en el disco duro del sistema y en un segundo disquete. Cada vez que se inserta un nuevo disquete en este ordenador, el virus del disco duro lo examinará en busca de otros programas susceptibles y posiblemente encuentre más programas en los que pueda reproducirse. Al mismo tiempo, el segundo disquete infectado transmitirá la infección si se extrae de este ordenador y se utiliza en otros. Las infecciones, ya sean del disco duro o de los disquetes, pueden propagarse a las redes en el momento en que este equipo se conecta a través de las líneas telefónicas con otros.

Un programa puede incluso cambiar de tamaño y estructura al infectarse, proporcionando pistas a un experto en análisis de virus. Un programa no infectado tiene una estructura con secciones de código distintivas para realizar cinco funciones clave activadas por el software del sistema operativo. Estas secciones pueden considerarse como tareas específicas dentro del programa. Comprenden la inicialización, la configuración, el cuerpo principal del programa y la terminación, cada una de las cuales se procesa mediante reacciones de entrada y salida con la computadora según las instrucciones del programador. La inicialización pone en marcha el programa. La configuración es donde el programa organiza sus datos y establece los búferes y dispositivos de entrada/salida necesarios para funcionar. Este proceso transfiere el control al cuerpo principal del programa, que realiza el trabajo propiamente dicho. La terminación es donde el programa cierra archivos, limpia su memoria y realiza otras tareas de mantenimiento. Cada una de estas actividades puede utilizar dispositivos de entrada/salida.

Cuando esta estructura del programa se modifica por una infección de virus, el virus toma el control de varias de estas actividades en diferentes momentos. Por ejemplo, el virus RUSS puede reemplazar parte del segmento de inicialización del programa para liberar espacio y reubicarlo al final del programa, donde también se instala. De esta forma, durante la inicialización, el virus comienza a monitorear el cuerpo principal del programa e interactúa con los dispositivos de entrada/salida. Además, conserva la capacidad de transferir el control al programa para que el procesamiento parezca normal y el virus oculte la infección del sistema.

En el diagrama de la lógica interna de programación de un virus típico (página 67), se observa cómo sigue los procedimientos básicos de cualquier programa: formula preguntas que generan respuestas de sí o no y, posteriormente, toma decisiones en función de dichas respuestas.

Tras la inicialización por parte del sistema operativo, el virus se activa e inmediatamente busca en el sistema programas anfitriones receptivos en los que pueda replicarse. Si los encuentra, el sistema se infecta. Si el virus ha sido programado con una instrucción de "retardo" o "bomba lógica", consultará sus instrucciones de programación para comprobar si ha llegado el momento de su activación. Si la respuesta es afirmativa, el sistema se dañará o alterará. Si aún no se dan las condiciones necesarias para la activación (el virus recibe respuestas negativas a sus preguntas), devuelve el control al programa de aplicación, espera el momento oportuno y el ordenador continúa funcionando con normalidad.

Un virus puede instalarse en la memoria del sistema mientras el programa de aplicación y el virus se ejecutan simultáneamente. Supongamos que el programa de aplicación es un procesador de texto. Cuando el programa se ejecuta con normalidad, existe un flujo bidireccional de información codificada entre la CPU y los discos magnéticos donde se almacenan el programa y los datos. Los indicadores luminosos de las unidades de disco se encienden periódicamente a medida que la CPU extrae las instrucciones de programación del disco del programa y guarda automáticamente los datos en el almacenamiento. El virus interrumpe este flujo para acceder al disco; un síntoma de un ataque de virus en este punto puede ser una actividad inusual del disco en momentos en que no debería producirse. Los indicadores luminosos de las unidades se encienden y se oye el giro de los discos, lo que constituye la primera evidencia tangible de la presencia de un virus.

Este diagrama esquemático muestra la lógica programada en un virus informático. Al iniciarse en un sistema, la infección obtiene el control del sistema operativo para ejecutar su programa y modificarlo, logrando así dominarlo, ya sea momentáneamente mediante un reconocimiento al inspeccionar su entorno.

En la siguiente etapa, el virus ejecuta su función principal: replicarse, y busca huéspedes revisando el almacenamiento disponible en el sistema. Si, por ejemplo, hay un disquete en la unidad B con programas susceptibles de ser infectados, el virus podría acceder a ellos de inmediato.

Si el virus no encuentra huéspedes adecuados en ese momento, o tras haber realizado infecciones adicionales, su programa le indica que pase a la siguiente etapa y determina si es el momento de activarse. Las instrucciones pueden indicar que se active después de un cierto número de infecciones, tras haber permanecido en el sistema durante un tiempo determinado, tras alcanzar una fecha y hora preestablecidas, o tras algún evento que le dé la señal de activación. Por ejemplo, existen virus con instrucciones para activarse al encontrar ciertos archivos, quizás relacionados con la empresa objetivo.

Si el virus considera que aún no es el momento de activarse, devuelve el control del sistema al programa que interrumpió. Permanece en el sistema, a la espera, y es probable que el usuario desconozca la infección. Si el virus logra activarse, comenzará la acción programada por su creador, generalmente la destrucción o manipulación de datos.

A continuación, analizaremos los patrones de actividad específicos de los tres tipos principales de virus, clasificados según la zona del sistema que infectan inicialmente.

Virus del segmento de arranque

El segmento de arranque contiene las instrucciones de encendido del ordenador; es decir, las instrucciones que constituyen la primera parte del sistema que se activa al encenderlo. Se ejecuta antes que cualquier otra actividad del sistema y su función suele ser cargar el sistema operativo e inicializar la memoria para comenzar el procesamiento. Las infecciones del segmento de arranque son los virus más insidiosos, difíciles de detectar y complejos que se conocen. El nivel de sofisticación necesario para desarrollar un virus de este tipo es muy alto, y pocos son capaces de lograrlo. Quienes lo han conseguido han creado auténticas maravillas de ingenio. El virus del sector de arranque más conocido, el Cerebro Pakistaní, es una de esas maravillas.

El Cerebro Pakistaní funciona leyendo el sector de arranque. El virus copia el segmento de arranque original del sistema y lo almacena en un sector del disco, que luego marca como "inutilizable", impidiendo así que se sobrescriba con los datos que se guarden en él. A continuación, reemplaza el área de arranque con su propio virus y copia el resto del virus en áreas vacías del disco, también marcadas como inutilizables. El resultado es una infección prácticamente indetectable y difícil de sobrescribir. Una vez completada la infección, el virus Pakistani Brain será el primero en ejecutarse al encender el ordenador, y así tomará el control total del mismo.

El virus Brain es un ejemplo típico del funcionamiento de los virus de arranque. Tras la infección inicial y una vez que toman el control del sistema, monitorizan todos los procesos del ordenador y comienzan a modificarlos. Observan los accesos al disco y, en ocasiones, los modifican. Interceptan y analizan las solicitudes de programas. Monitorizan y controlan la memoria. En efecto, el virus se convierte en el sistema nervioso central del ordenador, apoderándose de todos los procesos importantes del sistema. Desde esta posición, el virus puede infligir daños inmensos y a largo plazo con una mínima probabilidad de detección.

Los virus de arranque utilizan su alto nivel de control del sistema para implementar mecanismos de autodefensa de gran alcance. Los intentos de borrar, reemplazar o modificar las áreas de arranque son interceptados y cancelados por el virus. El segmento de arranque original, que había sido eliminado y almacenado por el virus, se conserva como una sección de código inactiva que se muestra cuando alguien intenta examinar el área de arranque para comprobar si se ha producido una infección. El virus se oculta tras el segmento de arranque original. Los programas que intentan, intencionadamente o no, dañar o eliminar el virus son terminados o borrados. Como último nivel de defensa, el virus se autodestruye, destruyendo todos los datos del sistema junto con él mismo.

El alto nivel de sofisticación y control del sistema que alcanzan las infecciones del segmento de arranque las convierte en transmisores altamente eficientes. El virus tiene el control en todo momento, de modo que cualquier disco que se inserte en el ordenador se infecta inmediatamente. Cuando se coloca uno de los discos infectados en un ordenador limpio y se ejecuta, el ordenador se infecta y el ciclo se repite. En algunas empresas, los virus del sector de arranque se han propagado a más de mil ordenadores en menos de una semana.

Incluso cuando se detectan los virus de arranque, son difíciles de eliminar por completo. Los mecanismos de defensa del virus pueden engañar incluso a usuarios experimentados, haciéndoles creer que la infección se ha eliminado, cuando en realidad el virus sigue teniendo el control. Algunos virus de arranque, por ejemplo, pueden sobrevivir a un reinicio suave (un reinicio sin apagar el sistema). Cuando el usuario intenta eliminar el virus reiniciando desde un disco limpio, el virus hará que el ordenador actúe como si el disco limpio tuviera el control. En realidad, el virus ha infectado el disquete limpio. Esto es una broma pesada para el usuario. El código del virus simula su inexistencia, de forma coherente con un sistema limpio y no infectado.

Además, cientos o miles de discos pueden haber sido infectados. Pueden estar guardados en el fondo de los cajones del escritorio, en archivadores, en casa o en otros lugares donde se olvidan fácilmente, como discos poco utilizados durante meses. Estos discos suelen reaparecer mucho después de que la infección original se haya eliminado del ordenador. El resultado es una reinfección instantánea.

Como se puede observar, los virus de arranque representan un verdadero desafío para los procedimientos de detección y recuperación.

Infectores del sistema

El sistema operativo del ordenador proporciona una interfaz entre los programas y el hardware. Gestiona funciones como la entrada y salida de datos, la planificación de programas, la administración de la memoria y la comunicación entre programas. Se le puede considerar como el "supervisor" o "controlador" del ordenador. Generalmente, consta de varios programas relacionados, muchos de los cuales residen en la memoria. El sistema operativo se inicia mediante el segmento de arranque, por lo que suele ser el segundo segmento del ordenador en tomar el control tras encenderlo o reiniciarlo. Es un componente fundamental de cualquier ordenador y un objetivo principal para muchos virus.

Los virus que infectan los sistemas operativos lo hacen de dos maneras: reemplazan por completo uno o más programas del sistema operativo, o se integran en el sistema operativo existente de tal forma que modifican su funcionamiento. En ambos casos, el impacto en el ordenador puede ser devastador.

Cuando se produce una infección en el sistema operativo, el virus toma el control de uno o más aspectos de los procesos del sistema. La función afectada deja de ser fiable y pueden producirse resultados impredecibles cada vez que se acceda a ella. Por ejemplo, el virus puede tomar el control de las funciones de entrada y salida del disco e iniciar modificaciones sutiles en los datos.

Puede mover un punto decimal, añadir un cero o cambiar un uno por un siete. Estas modificaciones pueden realizarse de forma tan discreta que el usuario, si sospecha algo, podría atribuir la corrupción de datos a otra causa, incluso a un error propio. Un virus de este tipo puede causar daños a largo plazo y operar durante años sin ser detectado.

Un virus que infecta un sistema puede intentar evadir la detección creando varios archivos "ocultos" donde alojarse. Estos archivos son invisibles para todas las herramientas de detección, excepto las más sofisticadas. Al usar estos archivos, el virus puede dejar la mayor parte del sistema original sin cambios, lo que reduce las posibilidades de que un usuario atento note cambios en el tamaño u otras características del sistema operativo. Algunos virus que infectan sistemas utilizan la técnica del sector "inutilizable" de forma similar a como actúan los virus de arranque para evitar ser detectados. Los virus más sofisticados reemplazan un programa completo del sistema operativo con una copia idéntica al original en tamaño y en todos los demás aspectos, con una excepción: la copia es en realidad un virus. Estos virus son extremadamente sofisticados. Los virus que infectan el sistema no se propagan con tanta facilidad ni rapidez como los virus de arranque, principalmente porque tienen menos huéspedes adecuados. Estos virus requieren que ciertos archivos del sistema estén presentes en el disco objetivo para poder replicarse. La mayoría de los disquetes que se insertan en un ordenador promedio no contienen todos los archivos necesarios del sistema. Por lo tanto, el virus debe esperar a que se inserte ocasionalmente un disquete adecuado para poder replicarse. A pesar de esta limitación, los virus del sistema pueden suponer un grave problema para el usuario. Cuando se produce una infección, puede ser tan difícil de detectar y tan letal como las infecciones del segmento de arranque.

Virus de programas genéricos

La clase de virus más infecciosos son aquellos que pueden operar dentro de cualquier programa de aplicación de propósito general. Estos virus son completamente indiscriminados en la selección de programas huéspedes. Pueden infectar procesadores de texto, hojas de cálculo, sistemas de bases de datos, programas de comunicación y cualquier tipo imaginable de utilidad o paquete de ofimática. Ningún programa es inmune. Incluso los programas diseñados específicamente para atacar virus han sido infectados. Cuando un programa se infecta con un virus de este tipo, se convierte a su vez en un virus y es capaz de infectar cualquier otro programa. Existen numerosos casos documentados de virus que infectan más de cien programas en un solo sistema informático en cuestión de minutos.

También se han encontrado virus en programas diseñados para diagnosticar problemas de servicio informático; ejemplos de cómo la propia herramienta de diagnóstico puede resultar fatal. Algunos discos de diagnóstico para ordenadores Olivetti se infectaron con un virus que generaba una bola que rebotaba en la pantalla del monitor como paso previo al borrado de archivos del disco duro. La investigación reveló que la bola que rebotaba era solo un truco inofensivo, pero los elementos dañinos del virus estaban hábilmente ocultos en el código ensamblador y luego se replicaban tanto en disquetes como en discos duros al usarse por primera vez después del arranque.

Los virus genéricos se propagan de un ordenador a otro mediante el intercambio de programas, demostraciones, intercambio de datos o cualquier actividad que implique el movimiento de discos entre máquinas. También pueden propagarse a través del acceso a tablones de anuncios electrónicos, conexiones a redes informáticas o comunicaciones remotas entre ordenadores.

Estas infecciones se ocultan dentro de los programas o se adjuntan al principio o al final de los mismos, pero generalmente no interfieren con su funcionamiento normal. Por consiguiente, resultan invisibles para el usuario común. Durante un largo periodo, pueden dedicarse exclusivamente a replicarse. Luego, ante una señal determinada, se activan y comienzan a modificar datos o destruir archivos. Estos virus representan, con diferencia, la mayor amenaza para la informática debido a su capacidad para infectar cualquier tipo de programa y a su alarmante propagación. La mayoría de los virus nuevos pertenecen a esta clase, y cada nueva generación es más sofisticada.

Fases en la vida de un virus

Una vez que un virus ha invadido un ordenador y se ha instalado en su sistema, comienza su fase de replicación. Durante esta fase, suele permanecer oculto y no interfiere con las funciones normales del sistema. Su única actividad es buscar nuevos sistemas e infectar tantos como sea posible. Esta fase puede durar desde unas pocas semanas hasta más de dos años, tiempo durante el cual el virus puede infectar cientos o miles de sistemas. La mayoría de los virus son prácticamente imposibles de detectar durante esta fase. Los virus mejor diseñados se crean específicamente para replicarse de la forma más discreta posible, asegurando así su supervivencia prolongada y una alta tasa de infección.

Los virus no solo permanecen ocultos en zonas poco visibles del sistema, sino que también moderan su actividad infecciosa. Para reducir el riesgo de que se sospeche de su presencia, por ejemplo, si se inserta un disco que contiene varios programas potencialmente infectados, el virus generalmente elegirá solo uno o dos para infectar. Esto evita que el usuario sospeche del tiempo adicional que requeriría infectar una gran cantidad de programas a la vez. De manera similar, en algunos entornos, los virus pueden no infectar programas muy pequeños. La infección suele aumentar considerablemente el tamaño de los programas, y es más probable que se detecte un programa pequeño que triplica su tamaño repentinamente que un programa grande que solo aumenta una fracción de su tamaño original. Los virus también seleccionan programas en los que pueden ocultarse con mayor facilidad. Muchos programas tienen grandes áreas de espacio en blanco sin instrucciones. Los virus prefieren estos programas porque pueden habitar las áreas inertes sin modificar el tamaño ni otras características externas del programa.

Naturalmente, los virus prefieren los huéspedes ideales, pero si estos no están disponibles, infectarán huéspedes menos adecuados. La premisa subyacente de los diseñadores de virus es que es mejor infectar y arriesgarse a ser detectado, que no infectar en absoluto. La mayoría de los virus se detectan durante la fase de replicación a partir de estas infecciones menos ventajosas. Sin embargo, la gran mayoría de los virus permanecen sin ser detectados durante toda su fase de infección. La mayoría de los descubrimientos de virus ocurren durante su siguiente fase, conocida como fase de activación.

La activación marca el final de la replicación y el comienzo de los problemas para el usuario. Cuando un virus se activa, comienza su proceso de destrucción gradual o repentina del sistema. Existen algunas excepciones: ciertos virus benignos pueden simplemente mostrar un mensaje o una imagen en la pantalla, o realizar una broma con consecuencias limitadas. Sin embargo, estos virus son la minoría. La activación de la mayoría de los virus conlleva consecuencias nefastas.

La decisión de un virus de activarse se basa en una fórmula integrada en su código. Al igual que el material genético que se transforma a voluntad, el virus registra el tiempo transcurrido, el número de sistemas infectados, la fecha actual y otros eventos externos para determinar cuándo es el momento de activarse. Un virus puede, por ejemplo, comenzar a destruir datos exactamente un año después de infectar inicialmente un sistema. Puede activarse todos los viernes 13 o el 4 de julio. O puede esperar hasta haber infectado, por ejemplo, exactamente 1000 programas en un sistema específico. Se ha descubierto que algunos virus se activan solo si ciertos programas o archivos de datos, como los que contienen el nombre de la empresa atacada, están presentes en el sistema. Otros esperan a que el usuario escriba una secuencia específica de teclas. Estas secuencias suelen ser aleatorias, con una probabilidad de que cada usuario escriba la secuencia de activación. Sea cual sea el desencadenante, la mayoría de los virus, al activarse, se vuelven repentinamente muy visibles.

Los síntomas visibles de la activación pueden ser alarmantes. Algunos de los diseñadores de virus más creativos parecen deleitarse con las imágenes visuales. El virus Brazilian Bug provoca que aparezcan repentinamente criaturas parecidas a insectos en las esquinas de la pantalla. Estas pequeñas criaturas corren frenéticamente de un lado a otro de la pantalla, devorando todo a su paso. Letras individuales y palabras completas desaparecen durante su ataque. Mientras se muestra esta imagen, el virus, en segundo plano y sin que el usuario lo vea, destruye metódicamente toda la información almacenada en el ordenador.

Otro virus, creado por un diseñador, muestra un mensaje de condolencia al usuario, informándole de la lamentable destrucción de sus datos y expresando su esperanza de que esto no le haya causado inconvenientes.

Otros diseñadores de virus parecen adoptar un enfoque pragmático. Al activarse, los virus destruyen rápida y eficazmente todos los datos del sistema y luego apagan el equipo. Sin mensajes, sin imágenes, solo una devastación práctica y sin concesiones. Sin embargo, no todas las activaciones son visibles o repentinas. Algunos virus muy sofisticados inician un proceso sutil de corrupción de datos que puede durar muchos meses o incluso años después de la activación. Estos virus eligen archivos y elementos de datos que contienen información numérica y modifican selectivamente pequeños fragmentos de datos. Si los archivos son lo suficientemente grandes y la corrupción es poco frecuente y selectiva, el virus puede permanecer indetectable indefinidamente. El usuario suele atribuir los datos corruptos a errores tipográficos o de operador, si es que se detectan.

Capítulo 7: Gusanos, troyanos, bombas lógicas, puertas traseras y otras amenazas para su sistema

Gusanos

Los virus no son los únicos programas maliciosos que pueden interrumpir un sistema informático. Los gusanos están diseñados para infiltrarse en programas legítimos de procesamiento de datos y alterarlos o destruirlos. De hecho, muchas infecciones aparentemente virales están implicadas.

Los gusanos informáticos no son inherentemente tan graves porque no contienen instrucciones para replicarse. Sin embargo, las consecuencias de un ataque de gusano pueden ser igual de graves, especialmente si no se detecta a tiempo. Por ejemplo, un ordenador bancario puede seguir transfiriendo dinero a una cuenta ilícita tras recibir instrucciones de un gusano informático, que luego desaparece. Una vez detectada la infección de un sistema por un gusano informático, la recuperación es mucho más sencilla, ya que el virus carece de la capacidad de replicación, capacidad que le permitiría reinfectar el sistema varias veces. La analogía médica sería que el gusano es un tumor benigno; el virus, uno maligno.

Caballos de Troya

Los caballos de Troya suelen confundirse con virus y gusanos informáticos porque estos últimos también se infiltran en los sistemas y pueden causar una destrucción masiva de datos. De hecho, los gusanos informáticos y los virus pueden ocultarse dentro de un caballo de Troya. El término se utiliza para describir un programa destructivo disfrazado de inofensivo. Los caballos de Troya no son virus porque no se reproducen ni se propagan como estos.

Cuando los guerreros griegos se ocultaron en un atractivo caballo de madera y lo dejaron a las puertas de la ciudad sitiada de Troya, los troyanos lo interpretaron como una ofrenda de paz y lo aceptaron. Los guerreros griegos saltaron entonces y sembraron el caos. Un caballo de Troya informático funciona exactamente con el mismo principio. Parece atractivo e inofensivo, invitando al usuario a instalar el programa. El caballo de Troya puede presentarse como un juego u otro software que la víctima se sienta tentada a probar. Miembros del club de hackers Inner Circle crearon una vez un programa de ajedrez con forma de caballo de Troya que jugaron con el operador del sistema, quien descubrió que habían accedido ilegalmente al mainframe canadiense que custodiaba. El operador pensó que había sido muy astuto al atrapar a los hackers y que no había problema en continuar un diálogo con ellos mediante una partida de ajedrez. Se equivocó. Mientras se desarrollaba la partida de ajedrez computarizada, el troyano de los hackers les permitió acceder a cuentas de creciente importancia. Otro medio común para los troyanos son los programas con gráficos atractivos, incluidos los juegos pornográficos, que se difunden ampliamente en foros.

Los ejemplos de troyanos son innumerables. Existían mucho antes de que los virus se convirtieran en un problema mucho más grave y se han utilizado para acceder a cuentas de alto nivel, incluidas aquellas que contienen contraseñas y otros datos cruciales sobre los procedimientos de seguridad del ordenador.

Un ejecutivo de Nueva Jersey copió un programa para mejorar gráficos de un foro de Long Island. Resultó ser un troyano que destruyó 900 programas en su sistema. Mostraba el brutal mensaje: «¡Guau, guau! ¡Te pillé!». Por lo general, los troyanos son mucho más sutiles, especialmente cuando se utilizan para el desfalco o el espionaje industrial. Pueden programarse para autodestruirse, sin dejar rastro, salvo el daño causado. Un caballo de Troya es particularmente efectivo para el delito informático común conocido como "segmentación de datos", en el que se sustraen pequeñas cantidades, difíciles de detectar, de varias cuentas legítimas y se transfieren a una cuenta secreta operada por el ladrón.

Bombas lógicas

La bomba lógica es similar al caballo de Troya en su programación y capacidad para dañar datos, pero cuenta con un mecanismo de temporización incorporado para activarse en un momento específico. Los programas de virus suelen incluir código similar al utilizado en las bombas lógicas, pero estas pueden ser muy destructivas por sí solas, incluso si carecen de la capacidad de reproducirse del virus. Una bomba causó graves problemas en el sistema del departamento de agua de Los Ángeles.

Por lo general, la activación se programa para causar el máximo daño en el momento más oportuno, por lo que la bomba lógica es un método de venganza predilecto de exempleados descontentos que pueden programarla para que se active después de haber dejado la empresa. El detonante puede ser la eliminación del nombre del empleado despedido de los registros de nómina. En una ocasión, un estudiante dejó una bomba lógica programada. explotar y borrar los registros de su universidad mucho después de que él hubiera recibido su título y se hubiera marchado.

Este mecanismo de acción retardada también se ha utilizado para exigir rescates: «pague y le diremos dónde está escondida la bomba». También pueden servir como seguro para proveedores o consultores que instalan un sistema informático, provocando la destrucción de datos si no se pagan las facturas. Esta amenaza se utilizó cuando una biblioteca de Maryland se negó a pagar por un sistema que no funcionaba correctamente, pero la bomba del proveedor se encontró a tiempo.

Al intentar evaluar si un sistema informático ha sido víctima de un virus, una bomba lógica, un gusano o un troyano, el factor clave es si el programa malicioso tiene la capacidad de reproducirse. Solo los virus pueden hacerlo.

Las puertas traseras facilitan el acceso

Los virus, gusanos, troyanos y programas hostiles similares no representan una amenaza mientras se mantengan fuera de un sistema informático. Pero la seguridad informática es fundamental.

La seguridad suele ser tan laxa que los hackers pueden infiltrarse en los sistemas con relativa facilidad. Una consultora de San Francisco nos contó que le habían dado una contraseña para acceder al sistema de una importante empresa de telecomunicaciones para llevar a cabo un proyecto. Descubrió que la misma contraseña seguía dándole acceso al sistema más de dos años después y que, de haberla conocido un hacker, habría sido como tener acceso a un tesoro escondido. Solo después del pánico por los virus de Internet la empresa realizó lo que debería haber sido una auditoría rutinaria y un cambio de contraseñas.

Pero ni siquiera se necesita una contraseña para acceder a muchos sistemas y manipular sus datos. Un gusano o virus puede colarse a través de una trampilla fácil de abrir.

La trampilla informática más famosa se llamaba Joshua en la película Juegos de guerra. El descubrimiento de Joshua por un joven hacker desencadena una serie de incidentes que amenazan con un holocausto nuclear. En la vida real, las trampillas se utilizan tanto de forma legítima como ilegal para acceder a cientos de miles de sistemas. De hecho, la mayoría de las computadoras grandes incorporan este tipo de puertas de acceso como parte de la configuración inicial. Funcionan como una escotilla de inspección, facilitando el acceso para ajustes y mantenimiento. El principal problema de seguridad para los usuarios radica en que muchas de estas puertas nunca se cierran, lo que las convierte en una puerta abierta para la manipulación de datos o la introducción de virus. Son muy difíciles —a veces casi imposibles— de detectar.

El virus de Internet que causó tantos problemas ingresó a las redes estadounidenses a través de una puerta de acceso dejada por el programador de un software de correo electrónico para poder acceder posteriormente y perfeccionar su trabajo. Afirmó haber creado la puerta de acceso porque un administrador le negaba el acceso al programa que había desarrollado. Esta puerta de acceso puede ser muy útil en su forma original, como un conjunto de instrucciones codificadas que permiten un acceso directo y sencillo al software o al sistema operativo. Para ser efectiva, debe eludir las rutinas de seguridad para poder utilizarse para solucionar problemas, actualizar el sistema o ejecutar pruebas en cualquier momento.

Las puertas traseras se utilizan ampliamente para probar sistemas durante su configuración y, en un mundo de seguridad ideal, se eliminarían antes de que el sistema entrara en funcionamiento. Sin embargo, su existencia se olvida, se dejan abiertas para facilitar el mantenimiento o se colocan deliberadamente para obtener acceso no autorizado posteriormente, sin que nadie sospeche de su presencia. Los hackers también crean puertas traseras después de acceder a un sistema para poder volver a entrar fácilmente. Una puerta trasera típica de un hacker da acceso a una cuenta secreta que deja inactiva como medida de precaución para recuperarla si lo descubren y lo expulsan del sistema.

Joshua, del juego WarGames, fue dejado por su creador en un ordenador del Departamento de Defensa utilizado para simular crisis estratégicas. Un joven hacker descubrió que podía acceder al sistema escribiendo la palabra Joshua para abrir la puerta trasera. Al manipular los datos, el juego de guerra comenzó a convertirse en realidad. Los empleados también han creado puertas traseras para espiar las actividades de sus superiores. Descubrir —o instalar— una puerta trasera en las actividades de un usuario de alto nivel puede abrir la puerta a secretos corporativos, registros financieros u otros datos muy sensibles. Un valioso software propietario fue copiado por un grupo de ingenieros en Detroit que encontraron una puerta trasera en un sistema de Florida que podían abrir a voluntad mediante una conexión de módem telefónico.

Las puertas traseras son una poderosa herramienta secreta de espionaje industrial y su presencia en cualquier sistema lo hace particularmente vulnerable a los virus informáticos.

En los siguientes capítulos, abordaremos los principios básicos de los sistemas informáticos, cómo funcionan y por qué son vulnerables a los virus. Para cubrir estos aspectos, podemos obviar fácilmente el hardware: es decir, las cajas de metal y plástico que contienen los equipos eléctricos y mecánicos que ejecutan las tareas informáticas. Esa tecnología se delega mejor a los especialistas para su diseño, fabricación y mantenimiento.

El verdadero valor de la informática reside en el software: la programación y los datos creados y procesados con programas y habilidades intelectuales. Algunos futurólogos predicen que nos acercamos a una situación en la que el hardware informático prácticamente se regalará y nuestra inversión en informática se centrará principalmente en el software que lo hace funcional. De hecho, el usuario típico ya ha llegado al punto en que los datos almacenados en su sistema son más valiosos que el hardware que los guarda y procesa.

Debemos tener presentes estos nuevos conceptos de valor al abordar los problemas que generan los virus. Los actuarios de las compañías de seguros ya lo tienen en cuenta. Con gusto le ofrecerán presupuestos para reemplazar su equipo informático si se pierde, es robado o destruido, pero probablemente se negarán a ofrecerle presupuestos realistas para los daños consecuentes que puedan resultar de la pérdida de datos tras una infección por virus.

Cualquier técnico competente puede revivir el hardware de los sistemas infectados y hacerlos funcionar de nuevo. Pero el resultado puede ser como si un cadáver hubiera vuelto a la vida con la memoria borrada.

El valor del sistema reside en su conocimiento y capacidad para realizar tareas, no en su forma física. Siempre se puede comprar una máquina de reemplazo, pero no existe ninguna tienda donde se puedan adquirir datos informáticos borrados por un virus.

Capítulo 8: Los principales brotes: Perdiendo el control de la varita mágica

De las más de 30 cepas de infección viral identificadas hasta ahora, siete han suscitado mayor interés debido a su magnitud, impacto y relevancia en la evolución histórica de la epidemia viral.

El virus Pakistani Brain fue la primera gran infección internacional y sigue siendo uno de los ejemplos más impresionantes de las habilidades de programación de los hackers. Otros virus en esta lista de los peores enemigos de la informática son Scores, el virus israelí (o del viernes 13), nVir, Alameda, Lehigh y la infección de Internet.

El virus de Internet

El brote de Internet capturó la imaginación del público como ningún otro anterior. Demostró la facilidad con la que un virus puede descontrolarse, iniciando una aterradora reacción en cadena similar a la que experimentó el Aprendiz de Brujo cuando su experimento salió mal.

En la historia del Aprendiz de Brujo, el aprendiz aprende algunos hechizos del mago y un día consigue acceso a su varita mágica. Siendo un joven ingenioso con una mente experimental, decide una noche, después de que el mago se haya retirado, usar la magia de la varita para entretenerse y ayudar con las tareas del castillo. Anima las escobas y otros utensilios de limpieza, dándoles vida propia, y les ordena limpiar el castillo. El aprendiz no tiene el poder de detener la magia; pierde el control y se desata el caos, hasta que el mago despierta y restablece el orden.

El 2 de noviembre de 1988, a las 6:00 p. m., hora estándar del este, en el laboratorio de computación de la Universidad de Cornell, un aspirante a mago dio vida a su propia creación, un virus informático, y le ordenó que comenzara su misión. Insertó su creación en una computadora conectada a la red de investigación y desarrollo más grande del mundo y se sentó triunfante. Su creación pronto aprovecharía una vulnerabilidad en el sistema operativo de la computadora anfitriona y la usaría para comenzar su replicación. Confiaba en que se infiltraría silenciosa y discretamente, burlando las medidas de seguridad de la computadora y transfiriéndose a todos los sistemas conectados a la red. Pensaba que esto sucedería de forma transparente, que nadie descubriría jamás la existencia de su creación. Su acto era inofensivo, creía. Ninguna computadora se vería afectada por su creación, y el virus podría existir indefinidamente, un símbolo silencioso de su destreza y maestría.

Sin embargo, el virus implantado por Robert Morris Jr. había sido programado con un fallo interno. En lugar de ser la creación perfecta de una entidad omnipotente, este virus era producto de una mente brillante, pero humana. Como prácticamente todos los programas, incluso de los mejores hackers, el virus de Morris contenía un error lógico. No era un error grave, en comparación con otros programas; apenas media docena de instrucciones que necesitaban ser revisadas. Algo insignificante si se tiene en cuenta que el virus tenía más de 5000 instrucciones y que el resto estaban elegantemente y potentemente estructuradas. La mayoría de los ingenieros de software experimentados considerarían el error un descuido insignificante comparado con la magnitud del virus.

Esta pequeña imperfección, que describiremos en breve, bastó para transformar la creación de Morris, de un programa inocuo e invisiblemente benigno, en una de las infecciones informáticas más devastadoras que el mundo había experimentado hasta entonces. Mientras Morris observaba cómo su invento comenzaba a funcionar, el virus se propagó repentinamente sin control. En lugar de moverse de forma ordenada de sistema en sistema, usurpó prácticamente el control de la red mundial y comenzó a replicarse incontrolablemente. La magnitud de la replicación e infección alcanzó tal extremo que, en cuestión de minutos, toda la red colapsó y los centros de datos individuales quedaron saturados de copias del virus. Programadores y administradores de sistemas, desesperados, se vieron obligados a apagar miles de máquinas. En los días siguientes, se gastaron alrededor de 98 millones de dólares en recursos para eliminar el virus y restablecer el funcionamiento normal de la red.

La creación de Robert Morris Jr. se convirtió en el virus más dañino jamás creado hasta ese momento. No era un virus malicioso, sino la respuesta de un hacker al desafío de acceder a sistemas y demostrar su destreza informática sin la intención de dañar a otros usuarios.

Sin embargo, sus efectos fueron una clara advertencia y causaron un gran daño involuntario a más de 6000 sistemas. La infección se extendió por todo Estados Unidos.

El virus de Morris, que se propagaba por los sistemas conectados a Internet, la red que enlaza a investigadores y que también afectaba a Arpanet (la red de la Agencia de Proyectos de Investigación Avanzada), conecta los ordenadores de investigadores militares y civiles, obtuvo acceso a Internet tras descubrir una puerta trasera olvidada en el programa de correo electrónico que permitía su modificación una vez que el sistema estuviera operativo. Muchos sistemas cuentan con una puerta trasera de este tipo, y el virus de Internet demostró la vulnerabilidad de dichos sistemas ante todo tipo de manipulación de datos.

El virus de Morris se descontroló mucho más rápido que las escobas y los cubos que activaba el aprendiz de brujo. Se replicó rápidamente haciéndose pasar por un usuario legítimo de la red y luego enviándose a sí mismo por correo electrónico a otros usuarios. El fallo en el programa le impedía cumplir la intención de su creador de no enviarse a los ordenadores que ya había infectado, por lo que continuó haciéndolo.

Como resultado, la infección se acumuló, consumiendo cada vez más energía en cada uno de los sistemas afectados y provocando su ralentización y fallos.

Entre las primeras víctimas se encontraban el Laboratorio Lawrence Livermore, el Centro de Investigación Ames de la NASA, el MIT, el Comando de Sistemas Oceánicos Navales y el Centro de Supercomputación de San Diego, la Corporación Rand, el Instituto Tecnológico de California y las universidades de Stanford, Berkeley, Boston, Purdue, Wisconsin, Harvard, Minnesota y Cornell.

Las reacciones ante la infección variaron desde la admiración por la habilidad y la audacia de su creador hasta la furia por la interrupción causada, así como la profunda preocupación ante esta primera demostración de la vulnerabilidad de tantos sistemas a los virus informáticos.

La valoración de la acción de Morris ha seguido siendo ambivalente. Por primera vez, quienes controlan enormes cantidades de capacidad informática se han enfrentado a las motivaciones de los hackers, a sus excepcionales habilidades y al daño que pueden causar, ya sea intencionadamente o por accidente.

Robert Morris Jr. sucumbió a esa poderosa tentación que acecha a un número creciente de hackers modernos: explorar el impresionante poder de la tecnología de virus informáticos. No es un caso aislado y no se le debe juzgar precipitadamente por su falta de previsión. Los dos hermanos pakistaníes, por ejemplo, creadores del tristemente célebre virus Pakistani Brain, consideraron su creación tan inofensiva que incluyeron su nombre, dirección y número de teléfono en el virus para que cualquier persona interesada pudiera contactarlos. No previeron que el virus se propagaría a todos los países del mundo, a todos los estados de nuestra nación, y se convertiría en un flagelo con un costo incalculable en tiempo y recursos perdidos.

Incluso los tecnólogos clandestinos, que diseñan virus específicamente para dañar o destruir datos, no son inmunes a los caprichos de esta nueva tecnología. Errores en el virus israelí —diseñado para destruir archivos en una fecha específica— provocaron su detección antes de su activación. En este caso, el error benefició a las víctimas. El virus fue desactivado a tiempo y se evitó la catástrofe.

Los ejemplos de Internet e Israel ponen de manifiesto dos aspectos importantes del comportamiento de los virus. Primero, el control sobre los resultados de este campo cada vez más complejo es limitado; y segundo, el poder de esta tecnología supera con creces la imaginación incluso de los más creativos. Es evidente que la varita mágica de los virus conlleva hechizos aún desconocidos. Quienes la empuñan provocan consecuencias que no se comprenden del todo, y que ciertamente no se dominan.

¿Qué falló exactamente en la creación de Robert Morris? ¿Cómo pudo una aberración aparentemente insignificante en las secuencias de instrucciones del virus causar una variación tan drástica entre el comportamiento previsto y los eventos reales? ¿Cómo pudo un ingeniero de software aparentemente inteligente y competente no prever las posibles consecuencias de su experimento?

Las respuestas a estas preguntas podrían arrojar luz sobre algunos de los caminos menos explorados en el laberinto viral. Para explicar qué falló en la creación de Morris, es necesario examinar los procesos involucrados en la creación de un virus informático.

El proceso de creación de virus

El primer paso en la creación de un virus es el desarrollo de su arquitectura. Esto implica responder a las siguientes preguntas:

* ¿Qué quiero que haga el virus?

* ¿Qué tipos de ordenadores quiero infectar?

* ¿Quiero crear un virus lento con un largo periodo de activación, o uno rápido que se active en pocos meses o incluso semanas?

* ¿Qué mecanismo usaré para infectar los ordenadores?

* ¿Será un virus oculto, difícil de detectar, o uno que anuncie su presencia?

Las respuestas a estas y otras preguntas similares definirán la arquitectura del virus. Esta arquitectura es el marco sobre el que se construirá. Cualquier inconsistencia en esta etapa afectará a todos. Un mayor progreso en el desarrollo puede introducir errores fundamentales en el comportamiento previsto del virus.

El siguiente paso en la creación de un virus es definir su diseño. Esto implica estructurar la lógica interna del virus, seleccionar sus interfaces con el mundo exterior, dividirlo en segmentos ejecutables y elegir un lenguaje de implementación. El diseño de un virus está condicionado en gran medida por la arquitectura seleccionada y debe ajustarse a todos sus supuestos arquitectónicos. El éxito del diseño depende directamente de la comprensión que tenga el creador de los conceptos fundamentales del diseño. Un error en esta etapa puede tener graves consecuencias posteriormente.

Una vez que se ha definido y perfeccionado un diseño exitoso, puede comenzar la programación (a veces llamada codificación). Si el diseño está bien pensado y documentado, la fase de codificación suele ser sencilla y mecánica. Los programadores experimentados pueden codificar un programa del tamaño de un virus promedio en un período relativamente corto en comparación con el tiempo total de diseño.

La codificación implica elegir y organizar la secuencia de instrucciones informáticas que conformarán el virus. Para programadores muy experimentados, se trata de un proceso mayormente mecánico, pero aun así puede implicar miles de instrucciones. Invariablemente, se producen errores en esta fase. Estos errores pueden deberse a una tecla mal colocada, la transposición de números, una coma olvidada o una secuencia incorrecta de instrucciones. Estos pequeños descuidos pueden tener consecuencias drásticas, como veremos.

Una vez finalizada la codificación, el virus se compila (o ensambla). La compilación crea una versión ejecutable del virus. Es en este punto cuando el virus se puede instalar en un ordenador y probar por primera vez.

Debido a la casi certeza de que se produzcan errores en alguno de los pasos anteriores, todos los programas de virus deben someterse a una serie de pruebas en este punto. Estas pruebas están diseñadas para identificar y aislar las vulnerabilidades del virus. Estas vulnerabilidades se corrigen posteriormente, en teoría. Esta tarea se denomina «depuración» y suele ser la parte más frustrante de todo el proceso. Los programadores pueden depurar un solo error durante horas, días o, en casos extremos, semanas, sin ningún progreso aparente. La frustración surge de la ardua tarea de localizar, entre miles de instrucciones, el origen del error. Una vez encontrado, las correcciones suelen ser sencillas y fáciles de implementar. Sin embargo, el proceso de corrección de errores a menudo introduce nuevos errores que, a su vez, deben ser abordados.

La depuración tiene un efecto secundario indeseado. El proceso de insertar correcciones en la estructura del virus puede provocar un efecto dominó que altere otras áreas del mismo. El resultado final puede desequilibrar el diseño del virus y causar resultados impredecibles, o incluso una catástrofe.

Cuando el virus ha sido depurado a satisfacción de su creador, está listo para su lanzamiento. Esto puede implicar adjuntar el virus a un programa anfitrión específico, configurarlo para su inserción en un sistema operativo o configurar el entorno informático para que admita la replicación inicial del virus. A partir de ese momento, el virus actúa por su cuenta, fuera del control de su creador. Si el creador ha tenido éxito, el virus funcionará según lo previsto. De lo contrario, las consecuencias son impredecibles.

Si se analiza cuidadosamente la secuencia anterior, existen innumerables puntos donde pueden surgir problemas. La arquitectura puede ser defectuosa, la lógica de diseño inconsistente, las secuencias de instrucciones desordenadas o cualquier suposición incorrecta. La situación se agrava por la probabilidad de que un cierto porcentaje de los errores existentes pasen desapercibidos. En definitiva, es una tarea arriesgada.

El factor de incertidumbre

Los fallos en los virus son inevitables. Sin embargo, sus consecuencias son en gran medida impredecibles. La mayoría causarán pocos o ningún cambio significativo en el ciclo de vida previsto del virus, con un impacto similar al de una pequeña marca de nacimiento. Estos se denominan errores «cosméticos». Dichos errores carecen de relevancia funcional. Pueden variar desde un error que consume una pequeña cantidad de memoria del ordenador o crea una ligera redundancia, hasta errores en la forma en que el virus formatea sus mensajes o visualiza. Casi todos los programas informáticos existentes contienen fallos de esta naturaleza, y la comunidad informática ha aprendido a convivir pacíficamente con estas imperfecciones.

La siguiente categoría de imperfecciones se denomina errores de «eficiencia». Al igual que los errores estéticos, los pequeños fallos de esta categoría tienen escaso impacto funcional. Los errores de eficiencia suelen provocar que el virus se propague más lentamente de lo previsto o que pierda oportunidades de infectar a determinados sistemas. Es como un motor Porsche que necesita una puesta a punto; el virus simplemente no funciona a su nivel óptimo. Estos errores, si son leves, rara vez se detectan y, en el peor de los casos, suponen un inconveniente para el diseñador. Los errores de eficiencia se deben a un diseño o implementación deficientes.

Bucles repetitivos, estructuración ineficiente, instrucciones elegidas apresuradamente y descuidos similares. El virus Alameda, un virus de arranque que a menudo perdía oportunidades de replicarse, contenía varios errores de eficiencia y es un ejemplo clásico de esta categoría.

Existe una tercera clase de errores denominada «inconsistencias estructurales». Estas son de gran magnitud, al menos en lo que respecta al virus, y resultan de problemas fundamentales con la arquitectura viral, es decir, la organización o estructura del virus. Sin embargo, tales errores rara vez tienen un impacto duradero en el entorno informático global. Son como imperfecciones genéticas o manifestaciones recesivas en el mundo biológico que amenazan la supervivencia de la especie afectada. Los errores estructurales generalmente dan como resultado un virus «fallido», es decir, un virus incapaz de replicarse o incluso de sobrevivir en su entorno.

El cuarto tipo de error viral es el que más nos preocupa. Estos errores, denominados «variaciones funcionales», son responsables de un gran número de estragos que van más allá del daño originalmente previsto por el diseñador. Estos errores son similares a las mutaciones genéticas, ya que las variaciones pueden provocar que el virus se comporte de una manera radicalmente diferente a su diseño original.

Las variaciones funcionales tienen una característica peculiar: pequeñas variaciones en la estructura interna pueden tener efectos enormes en el comportamiento del virus. La adición o eliminación de una sola instrucción crucial puede, prácticamente, trastornar un virus. Estos errores son los más impredecibles. Constituyen el factor de incertidumbre en el desarrollo de todos los virus. Fue este tipo de error el que le causó a Robert Morris una escalofriante sorpresa la noche del 2 de noviembre.

La clave en todos los tipos de errores mencionados es que no se pueden predecir de antemano sus efectos. Primero debemos experimentar con el virus para descubrir cómo suena. Con estas ideas, podemos abordar directamente la creación de Robert Morris y explicar su mutación repentina e inesperada respecto a su diseño original.

Las dos preguntas más importantes que un virus debe hacerse continuamente (y cuyas respuestas debe encontrar para sobrevivir) son: ¿Dónde estoy? y ¿Dónde está mi próximo huésped? Las respuestas a estas preguntas son cruciales. El virus debe conocer a fondo el entorno en el que se encuentra para poder tomar medidas que garanticen su supervivencia. Asimismo, debe encontrar el siguiente programa o computadora huésped receptivo para poder conectarse, multiplicarse y proliferar. Estos son los fundamentos de su supervivencia y replicación.

Como parte del proceso para responder a la segunda pregunta —¿Dónde está mi próximo huésped?—, el virus debe determinar la idoneidad de todos los programas o computadoras huéspedes disponibles para la infección. Algunos programas pueden no ser huéspedes adecuados debido a su tamaño, función u otras características únicas. Ciertas computadoras pueden no serlo debido a la naturaleza específica de su hardware o sistemas operativos. Al igual que los virus biológicos, que solo pueden infectar un tipo específico de célula o un solo órgano, los virus informáticos deben estar asociados a ciertos tipos de huéspedes.

Un factor para determinar la idoneidad de un huésped es si este ha sido infectado previamente. Si el huésped está infectado, el virus normalmente no lo volverá a infectar. Si no se sigue esta regla, la carga que suponen las múltiples infecciones para el sistema huésped acaba por sobrecargarlo y provocar su colapso, de forma similar a la analogía biológica de una infestación parasitaria que mata al portador.

El virus israelí es un ejemplo de un virus que no pudo seguir esta regla. Un error en su replicación le impidió identificar un programa ya infectado. Como resultado, reinfectaba el mismo programa en cada oportunidad. Finalmente, el programa creció tanto debido al crecimiento del virus que ya no cabía en la memoria del ordenador y colapsó. Esto fue una suerte para las víctimas. Si este error no les hubiera alertado de la presencia del virus, habría provocado una pérdida de datos.

El virus de Robert Morris Jr. tampoco pudo identificar con precisión un sistema huésped ya infectado. ¿Por qué, entonces, el error del virus israelí causó un fallo menor y relativamente inofensivo, mientras que el virus de Internet literalmente paralizó toda la red mundial de la Agencia de Comunicaciones de Defensa? Aún más extraño, el virus israelí fue diseñado específicamente para causar daños extensos, mientras que el virus de Internet fue creado para no causar ningún daño.

El virus israelí se replicaba adjuntándose a programas de uso general y dependía de la interacción humana con la computadora para propagarse. Esperaba a que un nuevo usuario desprevenido se conectara y luego infectaba todos los discos que este insertaba en la computadora. El usuario luego llevaba estos discos infectados a otros sistemas informáticos. De esta manera, el virus podía infectar cualquier tipo de computadora, estuviera o no conectada a Internet.

Otros virus se propagan a través de sus redes electrónicas. A largo plazo, este tipo de virus es el más peligroso, ya que ningún ordenador está a salvo si, en algún momento, entra en contacto con alguien que tenga un disco infectado.

El virus de Internet, por otro lado, dependía de las redes de comunicación electrónica que conectan los ordenadores. La magnitud de las posibles infecciones era menor que la de otros tipos de virus (ya que solo podía infectar ordenadores que estuvieran en la red específica), pero la velocidad de replicación es mucho mayor, porque no requiere intervención humana. (Los desarrolladores de virus, como el resto de la humanidad, deben hacer concesiones).

Esta velocidad de replicación, junto con el error al identificar los equipos ya infectados, fue la responsable de la drástica diferencia en los efectos de estos dos virus.

Cuando se lanzó el virus de Internet, se puso en marcha inmediatamente. Estaba programado para replicarse. Dado que su creador había cometido un error de programación, no pudo identificar un equipo ya infectado; sin embargo, nunca supo cuándo detenerse. A medida que un ordenador tras otro de la red se infectaba, intentaba infectar a los equipos ya infectados, y la actividad se multiplicó rápidamente. Si las infecciones se hubieran producido a una velocidad humana —minutos, horas o días entre infecciones—, los resultados habrían sido prácticamente imperceptibles. Sin embargo, los intervalos de tiempo entre infecciones se medían en milésimas de segundo. La intensa actividad, que intentaba ocurrir casi simultáneamente, fue demasiado para los sistemas infectados, provocando su colapso.

El virus de Internet contaba con varios mecanismos interesantes, uno de los cuales demostraba claramente la inutilidad de la mayoría de las contraseñas que tantos expertos en seguridad informática almacenan.

Integrada en el virus de Internet se encontraba la siguiente lista de contraseñas de uso común. Estas contraseñas permitían al virus abrir archivos de usuario en los sistemas infectados y averiguar las direcciones de nuevos equipos para infectar. Es una lista de palabras muy significativa; revísela para intentar comprender el motivo.

aaa Cornelius guntis nocivo simon academia cuscús hacker nutrición aeróbicos simples creación hamlet nyquist cantante avión creosota hábilmente oceanografía soltero albany cretino sucediendo ocelote sonrisa albatros daemon armonía olivetti sonrisas albert bailarín harold olivia beso alex daniel harvey oráculo sofocar alexander danny hébridas orca arrebatar álgebra dave heinlein orwell snoopy alias diciembre hola osiris jabón alfabeto defoe ayuda forajido socrates ama diluvio herbert oxford sossina amorfo desesperado hiawatha gorriones del Pacífico analógico desarrollar hibernia indoloro escupir ancla dieter miel pakistán primavera andromache digital caballo pam springer animales descubrimiento horus Papeles Squires Respuesta Disney Hutchins Contraseña Estrangular Antropogénico Perro Imbroglio Patricia Stratford yunques sequía imperial pingüino Stuttgart cualquier cosa Duncan incluir Peoria metro entusiasta ingresar filtrar éxito Ariadna  más fácil madre caqui verano  flecha bordes inocuo persona súper Arturo Edimburgo Irlandés One Superstage Atenea Edwin Isis Peter Apoyo Atmósfera Edwina Japón Philip apoyado aztecas cabeza de huevo Jessica Phoenix surfista azul plumón de eider bufón Pierre Suzanne Baco Eileen Jixian pizza malhablado Bailey Einstein Johnny Plover simetría plátano elefante Joseph Plymouth mandarina plátanos Elizabeth Joshua cinta polinomial bandido Ellen Judith reflexionando objetivo bancos esmeralda malabarismo cerdo estragón barbero motor Julia póster Taylor barítono ingeniero Kathleen alabanza teléfono bajo empresa Kermit Precioso tentación fagot enzima núcleo preludio Tailandia Batman sustituto Kirkland príncipe tigre golpeador establece caballero Princeton alternar belleza finca cucharón proteger tomates Beethoven Euclides lambda protozoo topografía amado Evelyn laminación calabaza tortuga extensión Benz Larkin Puneet Toyota Beowulf Valle de golf Larry senderos de marioneta  Berkeley Felicia Lázaro conejo trivial berlineses Fender Lebesgue Rachmaninoff trombón berilo Detenido Lee Rainbow Tubas Beverly Fidelidad Leland  Gota de lluvia Tuttle Bicameral Finito Leroy Raleigh Umesh Bob Pescadores Lewis Aleatorio Brenda infeliz Copos Luz Pícaro Unicornio Brian Flotar Lisa Realmente Desconocido Bridget Flor Louis Rebecca Erizo Broadway Flores Lynne Remoto Utilidad Torpe Infalible Macintosh Rick Vasant Burgess Fútbol Mack Ondulación Vértigo Campanario Previsión Gusano Robótica Vicky Cantor Formato Magia Rochester Village Cardenal Forsythe Malcolm Rolex Virginia Carmen Fourier Mark Romano Warren Carolina Fred Marcus Ronald Agua Caroline Amigo Marty Capullo de Rosa Salchicha Cascadas Asustar Marvin Rosemary Whatnot Castillo Diversión Maestro Rosas Whiting Gato Fungible Maurice Ruben Whitney Cayuga Gabriel Mellon Reglas Will Celtics Gardner Merlín Ruth William Cerúleo Garfield Mets Sal Williamsburg Cambio Gauss Michael Saxon Willie Charles George Michelle Scamper Winston Charming Gertru De Mike Scheme Wisconsin Charon Ginger Minimum Scott Wizard Chester Glacier Minsky Scotty Wombat Cigar Gnu Moguls Secret

El análisis estadístico del uso de contraseñas muestra que más del 90 % de los grandes sistemas informáticos tienen al menos un usuario que ha elegido una de las palabras mencionadas como contraseña. Dado que un hacker solo necesita una contraseña para acceder a la mayoría de los sistemas, esta lista equivale a una llave maestra muy eficiente que abre muchas "cerraduras" electrónicas.

El virus de Internet se cubrió las espaldas en el improbable caso de que una de estas palabras no le permitiera acceder a un sistema. Si al principio se veía frustrado, accedía al archivo de diccionario presente en la mayoría de los sistemas Unix y probaba todas las palabras del diccionario.

Hay muchas lecciones que aprender de la infección de Internet, que seguirá afectándonos durante mucho tiempo. Las numerosas afirmaciones de que se ha controlado deben tomarse con cautela. Este virus se une a más de 30 —y sus numerosas mutaciones— para convertirse en un organismo electrónico "vivo" con la misión de replicarse. Continuará propagándose a medida que se piratee y se convierta en formas más virulentas y peligrosas.

Cualquiera de los miles de ingenieros de software que hayan sufrido la infección se verá tentado a corregir los errores que Morris dejó en el programa; es un reto irresistible. Otros se verán tentados a usarlo como base para desarrollar otros ataques virales.

Tampoco se deben creer sin más las afirmaciones de algunas de las primeras víctimas de que esta infección en particular les causó pocos daños económicos. Algunos de los sistemas infectados se alquilan a 1000 dólares la hora, y muchos de los ingenieros de software empleados perciben salarios sustanciales, mientras que la inversión de capital en sus instalaciones asciende a cientos de millones de dólares. Tan solo el coste directo del tiempo perdido a causa del virus de Internet en su primer día de infección es enorme.

El daño consecuente derivado de la interrupción del trabajo en proyectos importantes agrava los costes incurridos; las pérdidas económicas resultantes de este único virus continuarán inexorablemente a medida que se piratee y se propague aún más.

Ante todo, debemos comparar las graves consecuencias de las infecciones de Internet con el daño mucho mayor que podría haberse producido si un virus más dañino se hubiera propagado con la misma amplitud. El virus de Internet se descubrió rápidamente porque contenía un error que le permitía operar con gran rapidez, por lo que se hizo visible de inmediato. Corremos un mayor riesgo con los virus diseñados para replicarse de forma más lenta, discreta y selectiva, extendiéndose rápidamente y estando en una posición ideal para causar el máximo daño una vez activados. Recordemos que los únicos virus identificados hasta ahora son los que se han hecho visibles. Los que ya han infectado sistemas pero aún permanecen ocultos no se pueden contabilizar todavía. Si no están programados para activarse una vez que hayan infectado miles —o millones— de sistemas, causen el daño y luego se autodestruyan, se descubrirán demasiado tarde.

Si bien las acciones de Robert Morris Jr. deben ser deploradas y se debe disuadir a otros hackers de realizar experimentos similares, se le debe una gran gratitud por la forma en que centró la atención en el problema de los virus informáticos. Estimuló los titulares y la cobertura informativa en las redes sociales que, aunque gran parte de ella era inexacta y estaba mal informada, finalmente alertó a todos los usuarios de computadoras sobre la existencia de una amenaza realmente grave.

El virus Pakistani Brain

Este virus, que infecta el sector de arranque, ha afectado a las computadoras IBM PC y sistemas compatibles en todo el mundo desde 1986 y es altamente contagioso. Los primeros síntomas suelen ser una actividad excesiva de las unidades de disquete cuando no deberían estar en uso.

El virus Brain ha sido un problema para miles de usuarios de computadoras en muchos países y sigue reapareciendo con regularidad, pero en realidad ha beneficiado a la industria del software al centrar la atención en los peligros de infección por copias piratas de programas propietarios. Los fabricantes de software pierden más de mil millones de dólares al año en ingresos por la piratería, pero últimamente el temor a la infección por discos falsificados ha resultado en mayores ventas de software propietario (que debería ser) genuino y seguro: software empaquetado y vendido por su fabricante. Muchos clientes consideran que el precio más alto justifica con creces el menor riesgo de infecciones virales. En 1988, algunos minoristas informaron de una duplicación en sus ventas de software propietario debido a la preocupación por los virus presentes en las copias piratas. Sin embargo, los piratas informáticos siguen muy activos y pueden iniciar una importante epidemia de virus desde cualquier parte del mundo. El virus pakistaní se originó en discos piratas vendidos por los hermanos Amjad Farooq Alvi y Basit Farooq Alvi desde su tienda Brain Computer Services en Lahore, Pakistán. Durante años, han tenido un negocio muy lucrativo copiando el mejor software estadounidense, como el procesador de textos Wordstar y la hoja de cálculo Lotus 1-2-3, que vendieron por menos del 1% del precio de los originales. Amjad es un brillante programador graduado de la Universidad de Punjab, quien desarrolló una exitosa carrera como consultor informático. Irónicamente, tras la piratería de sus propios programas para clientes, creó el virus pakistaní como una combinación de advertencia antipiratería y venganza. Cuando Amjad y Basit se convirtieron en piratas, jugaron un juego perverso infectando los discos falsificados que vendían a turistas extranjeros, especialmente estadounidenses. El virus pakistaní se propagó a muchos países, sobre todo a Estados Unidos, e infectó los sistemas de los compradores al ejecutar las copias falsificadas del software propietario que habían adquirido con grandes descuentos a los hermanos Alvi. Estos compradores originales de discos infectados crearon más copias falsificadas de los programas pirateados para sus amigos, generando así una cadena de infecciones secundarias y posteriores. Pronto, el virus pakistaní se extendió por todo el mundo a través del intercambio de discos. Incluso infectó el propio foro de los hackers campeones, gestionado por su boletín informativo 2600. El editor Eric Corley lo describió como "una fantasía de ser un terrorista sin sangre".

El virus pakistaní, al ser desensamblado y analizado, produjo el siguiente mensaje. No solo es uno de los virus más ingeniosos creados hasta la fecha, sino que también es inusual por la clara identificación de sus creadores.

Bienvenido a la Mazmorra
(c) 1986 Basit & Amjad (pvt) Ltd.
BRAIN COMPUTER SERVICES
730 Nizam Block
Allama Igbal Town
Lahore, Pakistán
Teléfono: 430791, 443248, 2800530
Cuidado con este VIRUS
Contáctenos para la vacunación

Incluso la minoría de virus que sí tienen una identificación visible tienden a pasar desapercibidos hasta que han tenido la oportunidad de causar grandes daños. La infección de Brain en el Providence Journal de Rhode Island infectó 300 computadoras de su sistema de edición electrónica. Pero nadie se percató hasta que una computadora falló estrepitosamente y un ingeniero de software muy astuto llamado Peter Scheidler se tomó la molestia de dedicar varias horas a investigar lo que sucedía. Aun así, al principio no se percató del aviso de derechos de autor, ubicado cerca de la parte superior del directorio, que indicaba que la etiqueta del volumen se había cambiado a "(c) Brain". (El usuario promedio simplemente no lee la información rutinaria ni se da cuenta si ha sido modificada).

Esta fue la primera evidencia de la vulnerabilidad que han alcanzado los periódicos, revistas, agencias de noticias y otros medios impresos y audiovisuales ante las infecciones virales. Brain se propagó rápidamente por la redacción y las oficinas del Providence Journal y también se encontró en discos utilizados en las computadoras personales de los empleados, uno de los cuales probablemente fue la fuente original de la infección de la red. La reportera financiera Froma Joselow recibió el mensaje de que había quedado atrapada en la red informática de los pakistaníes cuando intentó imprimir un artículo en el que estaba trabajando. Perdió seis meses de trabajo con la destrucción de sus notas y borradores.

El virus Pakistani Brain es uno de los más complejos jamás creados. Posee estructuras integradas que impiden su identificación, destrucción o daño. Su principal objetivo es replicarse en la mayor cantidad posible de sistemas informáticos. Interpath creó un modelo molecular que demuestra aún más la genialidad de la programación en la improbable ciudad de Lahore, responsable de semejante devastación en países desarrollados. El virus se desplaza desde su punto de control inicial a través de varios módulos que preparan el sistema para que este tome el control. Un segundo segmento del programa se utiliza para infectar otros sistemas; se activa el segmento de código correspondiente y el virus completo se transfiere al nuevo huésped.

Así como las universidades desempeñaron un papel fundamental en el desarrollo de la informática, también se han convertido en origen y víctimas de la creación e infección de virus. La Universidad de Delaware fue una de las instituciones infectadas por una versión de este virus que mostraba una nota de rescate exigiendo el envío de 2000 dólares a una dirección en Pakistán para salvar el sistema mediante la instalación de un programa de inmunidad. Esa infección derivó en la costosa y laboriosa tarea de analizar 3000 disquetes en el campus para determinar si contenían el virus.

Las instituciones académicas han demostrado ser particularmente susceptibles al virus Brain. Los colegios y universidades proporcionan un entorno ideal para su propagación, ya que los estudiantes traen disquetes de sus propios sistemas y los intercambian fácilmente con sus compañeros. Los sistemas de las instituciones se infectan y el virus se propaga rápidamente a todos los usuarios, tanto docentes como estudiantes. Existe un gran intercambio de información digital entre el mundo académico y el sector empresarial, las agencias gubernamentales y otros, por lo que el virus Brain continuará propagándose. Se estima que ya había causado más de 200 000 infecciones a finales de la década

Diagrama esquemático

La imagen del virus "Cerebro Pakistaní" infectando un disco muestra que este se ha adherido al sector de arranque y ha creado enlaces con partes de sí mismo en otros sectores, desde donde controla las actividades de entrada/salida.

En la página siguiente aparece una imagen del sector de arranque de un disco infectado con el virus "Cerebro Pakistaní".

El virus israelí (también conocido como virus de la Universidad Hebrea, de Jerusalén o del viernes 13)

El intercambio de discos desempeñó un papel fundamental en la rápida propagación del virus israelí, que ha adquirido otros nombres populares que contribuyen a la confusión en la clasificación de virus. Este ingenioso programa fue descubierto en la Universidad Hebrea de Israel en 1987 y demostró el potencial de los virus como arma de terrorismo y protesta política. El responsable podría haber destruido miles de archivos que representaban muchos años de trabajo de profesores, estudiantes y personal administrativo. Estaban en riesgo los resultados de investigaciones, los registros financieros, las listas de estudiantes y otros datos valiosos que las universidades de todo el mundo confían habitualmente a sus ordenadores para su custodia. Contaminó sistemas IBM y compatibles con IBM en varias instituciones y en ordenadores personales en otras partes de Israel, antes de propagarse a otros lugares. Podría haber llegado a sistemas de defensa israelíes sensibles. Afortunadamente, los primeros brotes se detectaron a tiempo para tomar medidas correctivas, ya que el autor cometió algunos errores básicos de programación.

El plan principal del atacante era borrar archivos el viernes 13 de mayo de 1988, el significativo cuadragésimo aniversario del fin del Estado de Palestina. Sin embargo, el hacker incluyó errores de programación que permitieron identificar el virus antes de que pudiera causar daños.

El virus israelí era capaz de infectar programas ejecutables de tipo .COM y .EXE. El programa del virus estaba diseñado para buscar archivos .EXE y comprobar primero si ya estaban infectados. No realizó la comprobación correctamente y, por lo tanto, continuó reinfectando los archivos .EXE, aumentando su tamaño en más de 1800 bytes en cada ocasión. No se cometió el mismo error con los archivos .COM, pero aun así, el crecimiento de los archivos .EXE alcanzó un punto en el que la memoria simplemente no podía contenerlos. La consiguiente ralentización y la aparente pérdida de potencia del ordenador proporcionaron una advertencia temprana antes de que se produjera el gran fallo. Los ingenieros informáticos israelíes lograron encontrar el virus y actuar antes de que se activara, causando daños masivos el 13 de mayo de 1988.

El personal informático de la Universidad Hebrea rastreó el virus hasta el compilador de lenguaje ensamblador del sistema. Su operación de rescate demuestra la eficacia de una acción rápida. Les bastaron unas pocas horas para desarrollar programas que identificaran los sistemas infectados y administraran un antídoto. Yisrael Radai, programador sénior de la universidad, comentó posteriormente que el responsable era "una persona con evidentes problemas mentales que quería ejercer poder sobre los demás sin importarle cómo lo hiciera". La fecha prevista para el gran colapso y otras pruebas apuntan a un motivo de sabotaje político, un nuevo y peligroso avance en la informática que supone una clara amenaza para los sistemas militares, industriales y comerciales.

«Podría hacerle a los ordenadores lo que el SIDA le hizo al sexo», declaró Radai a Associated Press. «El actual libre flujo de información se detendrá. Todo el mundo tendrá mucho cuidado con quién entra en contacto y con quién comparte su información».

El virus Lehigh

Este virus informático es de corta duración y se activa tras haber infectado solo cuatro sistemas. Al igual que otros virus de corta duración, tiene una alta probabilidad de activarse y destruir datos antes de que haya indicios de su presencia. Como punto positivo, su propagación es muy lenta, ya que no da tiempo a infectar un gran número de disquetes.

El virus Lehigh recibe su nombre de la Universidad de Lehigh en Bethlehem, Pensilvania, donde infectó varios sistemas en 1987, tanto de personal como de estudiantes, y provocó la destrucción de datos en microsistemas de laboratorio. El virus infectó el intérprete de comandos del sistema —COMMAND.COM— y utilizó los comandos del sistema operativo como canal para replicarse. Infectó todos los disquetes del sistema (disquetes que contienen archivos del sistema operativo) insertados en el equipo y, tras la cuarta infección, destruyó todos los datos de los discos duros.

El virus infecta los sistemas alojándose dentro del archivo COMMAND.COM. Se oculta en un área denominada pila de programas. El único indicio de infección antes de su fase destructiva es que la fecha y hora de creación del archivo COMMAND cambian. Dado que pocas personas recuerdan la fecha y hora de creación originales, es improbable detectar el virus antes de su activación.

Sin embargo, si el virus se detecta a tiempo, la desinfección es una operación sencilla. Dado que el único archivo afectado es COMMAND.COM, basta con eliminar el archivo y reemplazarlo con el programa original de un disquete del sistema para eliminar la infección.

Si el virus no se detecta a tiempo, se autodestruye junto con todos los demás datos del sistema al activarse.

El virus navideño de IBM

Los organismos electrónicos pueden viajar por todo el mundo en segundos a través de las redes. Los riesgos de seguridad inherentes al intercambio de datos y programas, así como a las modernas telecomunicaciones de alta velocidad, se ven agravados por la falta de consenso entre los países sobre estándares de seguridad comunes. Esta fue la razón por la que el virus navideño de IBM se propagó tan rápidamente.

El virus navideño infectó la red de IBM, extendiéndose por todo Estados Unidos y a muchos de los otros 140 países. El virus surgió inicialmente en EARN, el equivalente europeo de BITNET, redes que conectan universidades de Norteamérica y Europa. La infección se originó a partir de un estudiante de derecho de Alemania Occidental, usuario de EARN, quien afirma que solo quería enviar un saludo navideño a sus amigos mediante la imagen de un árbol de Navidad que aparecería misteriosamente en sus pantallas. Pero el virus se propagó sin control por todo el mundo, atravesando servidores de correo electrónico, cruzando el Atlántico por satélite e infectando la red interna de IBM.

El virus navideño se propagó con tanta rapidez sin ser detectado porque buscaba nombres y direcciones en los archivos de las computadoras a las que accedía y luego se replicaba enviándose a sí mismo a esas direcciones. Las víctimas activaban el programa infectado escribiendo la palabra "Navidad" cuando sus buzones de correo electrónico indicaban que tenían mensajes festivos de colegas con quienes solían comunicarse. Disfrazar un programa malicioso para que parezca un mensaje legítimo de un amigo o conocido es ahora un método común de propagación de infecciones. El virus navideño contenía gráficos que consumían mucha memoria, por lo que pronto comenzó a bloquear los sistemas a medida que se propagaba. IBM tuvo que cerrar su red interna de correo de 350.000 terminales para eliminar el virus. El funcionamiento de la mayor empresa informática del mundo se vio gravemente afectado durante casi tres días.

IBM es un ejemplo típico de una organización que ahora depende en gran medida de sus computadoras para gestionar la información diaria que, antes de la era de la oficina electrónica, se manejaba en forma de memorandos internos y otros documentos. Muchos empleados de IBM guardan sus agendas en computadoras, por lo que ni siquiera sabían dónde tenían programadas sus reuniones cuando el virus atacó. Ahora, IBM cuenta con un software especial que impide la transferencia de programas —a diferencia de los mensajes— en su red interna, cerrando así la puerta a otras cadenas de correos maliciosos disfrazados.

El virus 1704

Este virus también se conoce como el virus Blackjack en algunas partes de Europa. Su nombre proviene del aumento de tamaño de los programas que infecta: 1704 bytes. En Alemania, el popular juego de cartas «blackjack» se conoce como 17 + 4, de ahí el apodo europeo del virus.

El virus 1704 es uno de los virus más inusuales que infectan ordenadores personales. Presenta dos características distintivas:

1 • Se cifra para evitar ser detectado y dificultar su análisis.

2 • Se activa únicamente durante los meses de octubre, noviembre y diciembre.

La codificación criptográfica utilizada por este virus es única, ya que el cifrado difiere para cada programa infectado. Por lo tanto, no existen dos copias idénticas del virus. Esto complica cualquier intento de desarrollar medidas antivirales específicas para este virus.

El virus 1704 es similar al virus Jerusalén en muchos aspectos. Es un virus residente en memoria que infecta programas cuando se cargan en la memoria y se ejecutan. Puede infectar programas en discos duros o disquetes, y aumenta el tamaño de los programas infectados sin modificar su fecha ni hora de creación. Sin embargo, a diferencia del virus Jerusalén, el virus 1704 solo infecta archivos .COM. No puede infectar archivos .EXE.

Este virus es uno de los pocos que puede infectar archivos ocultos. También puede infectar archivos de solo lectura. Intentará infectar programas en disquetes protegidos contra escritura, realizando cinco intentos de infección por archivo. Esta es la única actividad que la víctima puede detectar antes de su activación. Estos intentos de escritura en un disquete protegido provocarán que el sistema operativo emita un mensaje de advertencia.

El aspecto más inusual del virus 1704 es su forma de activación. Como se mencionó anteriormente, el virus solo se activará durante los meses de octubre, noviembre y diciembre. En cualquier otro momento, se replicará, pero no causará ningún cambio evidente en el sistema. Otro aspecto curioso de su activación es que solo se activará si ciertos tipos de monitores están conectados a la computadora. Los sistemas que utilizan monitores monocromáticos no se ven afectados por el virus. Sin embargo, los sistemas que utilizan monitores a color o de alta resolución se llevarán una gran sorpresa cuando el virus comience a activarse.

Los signos visuales del virus son inconfundibles. El primero con Un carácter tras otro se desprenderá del resto de la pantalla. Uno a uno, los caracteres flotarán, como hojas que caen, hasta la parte inferior de la pantalla, donde permanecerán amontonados. Finalmente, la pantalla se vuelve completamente ilegible y es necesario apagar y reiniciar el sistema.

El virus 1704 original solo afectaba la pantalla de vídeo. Sin embargo, las versiones más recientes, pirateadas, también destruyen archivos de programas y datos, y una versión formatea el disco duro el primero de diciembre de cada año, destruyendo así todo el contenido almacenado.

La versión más destacada del virus 1704 es una cepa identificada por primera vez en Inglaterra en enero de 1989. Esta versión del virus no causa problemas en ningún ordenador personal IBM original, pero sí en cualquier clon de PC. El virus contiene código para examinar el chip básico de entrada/salida que utiliza todo PC. Cada uno de estos chips contiene un mensaje de copyright que identifica al fabricante del ordenador. Cuando el virus detecta el copyright de IBM, lo ignora. En todos los demás equipos, se activa normalmente y comienza a destruir archivos.

Este es el primer ejemplo de un virus selectivo basado en el fabricante del ordenador. Si bien es improbable que IBM sea el responsable de este virus, sin duda se beneficia de él.

El virus MacMag

El virus MacMag es particularmente significativo porque fue el primer caso registrado de infección distribuida directamente desde las copias de software infectado del propio fabricante. Un solo disco contaminado provocó la infección de miles de usuarios de Macintosh y cuantiosas pérdidas para la empresa Aldus. La cadena de acontecimientos que propagó la infección demostró la facilidad con la que un programa malicioso puede descontrolarse.

Un programador de Tucson, Drew Davidson, demostró su habilidad compilando este virus para Macintosh para su amigo editor canadiense, Richard Brandow. Para celebrar el aniversario del ordenador Mac II, contenía el siguiente mensaje:

Richard Brandow, editor de MacMag, y todo su equipo desean aprovechar esta oportunidad para transmitir su mensaje universal de paz a todos los usuarios de Macintosh del mundo.

Su virus original no era malicioso en sí mismo. Pero se propagó sin control cuando se incluyó en discos de juegos distribuidos en una reunión de entusiastas de Macintosh en Montreal. A la reunión asistió Marc Canter, un especialista en software de Chicago, quien tomó uno de los discos infectados y, sin saberlo, probó el juego en su propio ordenador al regresar a casa. Luego, en la misma computadora, Canter continuó trabajando en un software de demostración que su empresa estaba desarrollando para Aldus Corporation de Seattle. Sin saber que el virus se había propagado a ese programa, envió un disco a su cliente. Aldus, sin motivo alguno para sospechar un posible problema, transmitió inadvertidamente el virus en miles de copias de su programa de gráficos FreeHand distribuidas por todo Estados Unidos.

Este fue el primero de lo que podría convertirse en un número significativo de virus propagados a través de software comercial de proveedores de renombre. Sin embargo, el mayor riesgo de propagación de virus mediante discos sigue siendo el software pirateado. Brandow afirma que utilizó el virus como advertencia sobre los peligros de la piratería de software. ¡Sin duda demostró su punto! ¡Algunas estimaciones sitúan el número de Macintosh infectados en hasta 350.000! Una vez presente en el entorno informático internacional, MacMag se propagó rápidamente a numerosos países, incluidos Japón, Australia y varios países europeos, a menudo mediante copias piratas de FreeHand obtenidas a partir de los discos infectados originalmente. Aldus actuó con rapidez y responsabilidad, por lo que resultó irónico y una clara advertencia para la industria sobre nuestra vulnerabilidad a las infecciones que, incluso tomando estrictas precauciones, los prototipos de una versión actualizada de FreeHand se infectaran posteriormente con el virus.

El virus Scores

Este es un virus que infecta aplicaciones en el entorno Macintosh. Fue creado en 1987 e infecta cualquier programa, aumentando su tamaño en 7000 bytes, y busca nuevos equipos para infectar cada tres minutos y medio en su búsqueda de archivos específicos para destruir. Miles de usuarios inocentes han sido víctimas del virus Scores, uno de los más perniciosos hasta la fecha. Un exempleado descontento de Electronic Data Systems, fundada por el empresario Ross Perot y ahora una de las mayores empresas de consultoría informática y procesamiento de datos del mundo, parece haber creado Scores para vengarse de la compañía. EDS salió bien librada, pero ahora Scores circula libremente y causa estragos.

Los primeros síntomas de una infección por Scores incluyen ralentización del sistema, problemas de impresión, aumento del tamaño de los archivos y que los iconos pequeños de Mac para el Bloc de notas y el Álbum de recortes se conviertan en páginas dobladas. Para recuperarse de una infección, es necesario hacer una copia de seguridad de todos los archivos de datos, borrar todos los discos infectados, restaurar los archivos del sistema y de las aplicaciones desde sus copias originales y, finalmente, restaurar los archivos de datos. Scores presenta problemas.

Este virus se ejecuta de forma automatizada para permanecer inactivo, interfiriendo con las aplicaciones en distintos momentos durante aproximadamente una semana.

Scores ha sido un ejemplo clásico de cómo un programa malicioso puede usarse contra una empresa por venganza o para sabotear sus intereses. Esta infección también demuestra lo fácil que es quedar atrapado en el fuego cruzado de una ofensiva de virus.

Es uno de los peores virus para Mac que han surgido hasta ahora y demuestra la imprecisión que puede producirse cuando un programa malicioso se ataca de forma imprecisa. El creador instruyó específicamente a Scores para que buscara en cualquier base de datos en la que se encontrara y se replicara, con el fin de continuar su búsqueda de archivos EDS. Lo hace con gran eficiencia, pero los ingenieros de software de EDS lo detectaron a tiempo, tomaron las precauciones necesarias y lograron contener el daño.

Sin embargo, este programa malicioso, como todos los demás, tiene una tendencia natural a propagarse, por lo que finalmente escapó de los sistemas EDS al dominio público a través de discos infectados y continúa buscando incansablemente más objetivos EDS a los que atacar. En sí mismo, esto no perjudica a otros usuarios que contraen la infección, pero el programa contiene errores que pueden causar daños. Los efectos perjudiciales varían según el sistema. A veces se destruyen datos; en otras infecciones, el disco duro falla, los periféricos como la impresora dejan de funcionar o el resto del sistema empieza a fallar. En ocasiones, Scores se activa con la simple acción de abrir un archivo. Resulta especialmente molesto por su imprevisibilidad. Parece probable que quien creó Scores no quisiera perjudicar a nadie más que a EDS, sino que escribiera un programa que representa una amenaza potencial para todos los usuarios de Mac, un programa que seguirá replicándose y propagándose de un ordenador a otro, buscando archivos de EDS.

Scores es una amenaza que nos acompañará durante mucho tiempo, pero su capacidad para causar daño se ve limitada, en cierta medida, por el deseo de su creador de restringir sus actividades maliciosas, en este caso, a la empresa específica contra la que guardaba rencor. Actualmente, existe una clara tendencia a crear virus realmente maliciosos que causan daños generalizados a todos los sistemas infectados, no solo a objetivos específicos.

Por ello, Scores, al ser un mecanismo de propagación muy eficaz, se está utilizando como base para desarrollar infecciones destructivas de mayor alcance.

Las infecciones más conocidas del virus Scores en Macintosh se produjeron en la NASA y otros sistemas de agencias gubernamentales. Su propagación se ha extendido ampliamente: la propia oficina de Apple en Washington, D.C., detectó el virus y la compañía actuó con rapidez para lanzar su programa antivirus Virus RX. Sin embargo, Scores ha sido posteriormente reprogramado en versiones más virulentas. Algunos ordenadores se han vendido con el virus ya instalado en el disco duro, probablemente porque se ejecutó software infectado durante las pruebas previas a la entrega.

La versión original de Scores causa daños limitados, ya que no afecta a los archivos de datos, aunque provoca varios fallos de funcionamiento del sistema. Para eliminarlo, es necesario borrar los archivos del sistema y todos los programas. Cuando se produce una infección de Scores, el virus añade archivos de bloc de notas y de recortes si no existen en el sistema y cambia los iconos por páginas con aspecto desgastado.

El virus nVIR

Este es otro virus genérico para aplicaciones de Macintosh, creado en 1987 en Hamburgo, Alemania, pero que ahora aparece en muchas variantes gracias a que los hackers se han beneficiado de la publicación de su código fuente. Es un virus particularmente virulento que puede infectar todos los programas del sistema en cuestión de minutos.

Los síntomas varían debido a las diferentes variantes de nVIR en circulación. El usuario con MacinTalk puede escuchar un mensaje de voz que dice «No se preocupe», otros oirán un pitido al abrir una aplicación, los archivos pueden desaparecer o puede que no haya ninguna advertencia antes de que el sistema falle.

Nuevamente, el procedimiento de recuperación implica hacer copias de seguridad de los archivos de datos antes de borrar los discos infectados, restaurar los programas desde las copias maestras originales protegidas contra escritura y, finalmente, restaurar los archivos de datos. nVIR se propagó rápidamente por Estados Unidos cuando un hacker de Alemania Occidental lo publicó en la red CompuServe.

David Spector, programador sénior de sistemas en el Centro de Computación Académica de la Escuela de Negocios de la Universidad de Nueva York, admitió haberse asustado mucho al encontrar nVir en la red CompuServe. El virus activaba sintetizadores de voz que decían "No se asusten", pero muchos usuarios entraron en pánico al darse cuenta de que se habían convertido en las últimas víctimas de la guerra de virus.

Se trataba de un virus muy simple que, según su creador, había publicado en el foro público con fines educativos para concienciar a la gente sobre los problemas y, por lo tanto, sobre la necesidad de escribir programas defensivos. El programa, poco convencional, constaba de unas pocas páginas de Pascal y unas 50 líneas de código ensamblador. El virus en sí era un pequeño fragmento de código disfrazado de recurso que se insertaba en una trampa del sistema de controladores. “Me asusta mucho”, dijo el Sr. McCarthy. Spector. Si este código sirve de indicación, los virus en general son muy fáciles de escribir y pueden insertarse en cualquier lugar, incluso en pilas de HyperCard (el software de hipertexto de Apple), aparentemente inofensivas, que miles de personas y grupos de usuarios descargan y distribuyen por doquier.

A finales de 1988, Aldus fue atacado por el virus nVir en una forma relativamente benigna que simplemente se adjuntaba a otros programas sin causar mucho daño ni consumir memoria excesiva. La segunda infección del software FreeHand se detectó a tiempo gracias a la mayor concienciación sobre los virus generada por la publicidad. Afortunadamente, un usuario beta atento de la versión actualizada de FreeHand detectó el virus y alertó a Aldus. (Las versiones beta del software propietario son las primeras que se distribuyen a clientes y universidades selectos para que las ejecuten y prueben antes del lanzamiento comercial completo del programa). Obviamente, ahora debe ser rutinario que las versiones beta se sometan a pruebas rigurosas para detectar posibles infecciones de virus.

Aldus ha sufrido daños como resultado de estas infecciones, tanto por la retirada y sustitución del software infectado como por la mala publicidad. Sin embargo, no es responsable del virus. Las guerras y otros fabricantes de software líderes son igual de vulnerables, si no más. La lucha contra los virus exige que cualquier fabricante divulgue abiertamente los detalles de las infecciones y ejecute de inmediato acciones de retirada y reparación, tal como se exige a los fabricantes de automóviles cuando se descubren defectos en sus productos. De hecho, se necesita legislación para la divulgación pública de virus, así como legislación para la retirada de software que obligue a los fabricantes a minimizar los daños a los usuarios cuando el software propietario se infecta con virus.

El creador de nVir describió en su documentación adjunta cómo, después de que su sistema resultara dañado por varios virus, creó uno para su autoprotección: una especie de vacuna. Todos sus programas contienen este virus vacunador en un intento de evitar que programas desconocidos se ejecuten en su hardware. Pero, como en medicina humana, las vacunas en dosis altas pueden ser peligrosas y causar infecciones.

El virus Amiga

Un virus similar a las cepas israelí y de Macintosh infectó muchos sistemas Amiga personales. Conocido como el virus Amiga, apareció primero en Inglaterra y Australia, y luego se propagó rápidamente a Estados Unidos.

Cuando se cargaba un disco infectado, el virus entraba directamente en el sistema. El virus se propagaba a la memoria RAM y, por lo tanto, a otros discos. Mostraba un mensaje que decía:

"Algo maravilloso ha sucedido: tu máquina ha cobrado vida".

"Te invade sigilosamente", dijo Jeff White, presidente del Grupo de Usuarios de Amiga de Tampa (Florida). Sin darse cuenta, copió el virus en 20 de sus propios discos, y otros miembros del club lo adquirieron a través del intercambio mensual de discos del club. Aunque varios distribuidores de Amiga reaccionaron rápidamente para proporcionar a sus clientes un programa detector que permitiera identificar e intentar eliminar el virus, este corrompió una cantidad significativa de archivos de datos empresariales e inutilizó muchos discos.

El virus Alameda (o Merritt)

Este es un virus del sector de arranque que, en algunos aspectos, es similar al virus Pakistani Brain. Sin embargo, tiene una vulnerabilidad que limita su potencial de propagación, como ocurrió con el virus israelí. Guarda el sector de arranque original durante el proceso de infección, pero no protege contra escritura el área del disco donde se guarda. A medida que se usa el disco, el sector de arranque original puede quedar inutilizable. El virus sobrescribe el archivo y se autodestruye.

Este virus utiliza una técnica de infección inusual. Solo infecta disquetes al reiniciar el sistema. Cuando se inserta un nuevo disquete en la unidad de disquete y se reinicia el sistema, el virus toma el control de la secuencia de reinicio y aprovecha la oportunidad para infectar el nuevo disquete. A simple vista, el sistema parece reiniciarse, pero no es así. El virus solo simula el reinicio y mantiene el control del sistema.

Este virus se detectó por primera vez en el Alameda College en mayo de 1988. Se ha extendido por todo el país y ahora representa un porcentaje significativo de las infecciones de PC.

Capítulo 9: Un virus analizado: Códigos del virus del Alameda College y del auténtico virus Pakistani Brain

¡Advertencia! Este capítulo está dirigido a entusiastas de la informática.

Obviamente, para un libro completo sobre virus informáticos, hemos tenido que ilustrar el aspecto de estos programas. Sin embargo, creemos que sería irresponsable proporcionar una descripción completa. Listado de un programa autorreplicante que cualquiera podría copiar y usar con fines maliciosos. Así que tenemos ejemplos de programación de virus, código auténtico obtenido al desensamblar los virus Pakistani Brain y Alameda College. Sin embargo, el código ha sido modificado y cualquier

Los intentos de recompilar a partir de estos ejemplos no darán como resultado un virus funcional.

Interpath Corporation fue una de las primeras organizaciones en desensamblar un virus, analizar su funcionamiento y ponerlo a disposición de otros investigadores bajo condiciones controladas. El siguiente programa es la versión analizada por Interpath del virus de arranque del Alameda College. Es del tipo "solo para disquetes", replicándose en el sector de arranque de un disquete y, una vez que toma el control, se mueve a la memoria superior. Redirige la función de interrupción del teclado (INT 09H) para buscar secuencias ALT-CTRL-DEL. Cuando las encuentra, intenta infectar cualquier disquete en la unidad A.

El virus Alameda, descubierto por primera vez en el Merritt College de Oakland, California, en la primavera de 1988, se manifiesta en un sistema ralentizando la secuencia de arranque. Mantiene el sector de arranque real en la pista 39, sector 8, cabezal 0. A diferencia del Pakistani Brain, no marca este sector como "malo". Si un archivo utiliza esa área, el virus se propagará.

Es similar al virus Brain, pero no contiene mecanismos anti-detección. El virus Alameda aparentemente utiliza la cabeza 0, sector 8 (no la cabeza 1, sector 9), ya que esta última es común a todos los formatos de disquete, tanto de una como de doble cara. Alameda no contiene código malicioso de troyano, pero sí parece contar cuántas veces ha infectado otros discos. La secuencia de programación del contador es inofensiva y nunca se accede a él.

Entre las características a destacar de Alameda se encuentran:

* Solo puede sobrevivir a un reinicio mediante el comando ALT-CTRL-SUPR, que es su único medio de reproducción en otros disquetes.

* La única forma de eliminarlo de un sistema infectado es apagar el equipo y reiniciar con una copia de DOS no infectada.

* Permanece presente incluso cuando no se inicia desde ningún disquete y se carga BASIC. Luego, al presionar ALT-CTRL-SUPR dentro de BASIC, se activa e infecta el disquete desde el cual el usuario intenta arrancar.

* Debido al comando POP CS para transferir el control a sí mismo en la memoria superior, este virus no funciona en máquinas 80286 o 80386, ya que no es una instrucción válida para 80286.

* El programa Norton Utilities puede usarse para identificar discos infectados consultando el sector de arranque. La utilidad DOS SYS puede usarse para eliminar el virus Alameda, una técnica que no funciona con Brain.

La versión analizada del virus Alameda por Interpath comienza en la página siguiente.

(código)

Una versión desensamblada del primer segmento del virus Pakistani Brain, que se originó en Lahore en enero de 1986 y se ha extendido por todo el universo de microcomputadoras PC, comienza en la página siguiente.

El virus Brain sigue siendo uno de los más sofisticados jamás creados. Se trata de un ingenioso infector del sector de arranque que reemplaza el sector original con el suyo propio, lo mueve a otra ubicación y añade siete sectores donde puede ocultar fragmentos de sí mismo. Todos estos sectores modificados se marcan como inutilizables para proteger los escondites del virus.

A continuación, presentamos parte del primer segmento, un ejemplo de código del virus Brain pakistaní.

(código)

Capítulo 10: Recuperación de la infección

Recuperación

Recuperarse de una infección viral puede ser complicado. En el mejor de los casos, requerirá un buen nivel de conocimientos técnicos y varias horas de dedicación. En el peor, puede implicar a decenas de técnicos, semanas de trabajo y el apagado parcial o total de varios sistemas informáticos durante largos periodos. Los tres factores que determinan la dificultad o facilidad del proceso de recuperación son:

1 ■ El tipo de virus.

2 ■ El tiempo que el virus ha permanecido en el sistema.

3 ■ Número de ordenadores infectados.

Dado que cada cepa de virus afecta a los ordenadores de forma diferente, la recuperación es distinta en cada caso. Algunos virus solo infectan un tipo de programa, una zona del sistema operativo o, quizás, únicamente el sector de arranque. Estos virus se eliminan centrándose en las áreas limitadas del sistema afectadas. Otros virus atacan cualquier programa disponible, y las infecciones que producen son más extensas y requieren mayor esfuerzo para su eliminación.

El tiempo que un virus lleva en el sistema también es un factor crítico durante el proceso de recuperación. Cuanto más tiempo permanezca un virus, más difícil será la recuperación. Esto se debe a que el virus habrá tenido más tiempo para infectar un mayor número de disquetes y otros soportes extraíbles que hayan estado en contacto con el sistema. Si un virus puede permanecer sin ser detectado el tiempo suficiente para infectar una gran cantidad de soportes extraíbles, la probabilidad de reinfección (tras su detección y eliminación) es muy alta y el coste final será considerable. Sin embargo, si el virus se puede identificar y tratar poco después de la infección inicial, su eliminación suele ser un proceso sencillo y su impacto es mínimo.

El proceso de infección consta de cuatro etapas, y cada una de ellas Esta etapa requiere un nivel diferente de tiempo y recursos para la recuperación. Las etapas son:

I. Infección de la memoria local

Cuando un virus ingresa por primera vez a una computadora, busca programas adecuados en los archivos de almacenamiento local a los que pueda adjuntarse. Puede permanecer en la memoria durante horas, o incluso días, antes de encontrar un huésped apropiado. Puede infectar un solo archivo del sistema operativo en el disco duro, el sector de arranque del disco duro o una o más aplicaciones, pero la infección generalizada del almacenamiento en disco no suele comenzar de inmediato.

Si se puede detectar y contener un virus en estas primeras horas, el proceso de eliminación es bastante sencillo. Basta con apagar el sistema, reiniciarlo con un disquete limpio, ejecutar un programa de utilidad para verificar la integridad del disco duro y eliminar los elementos infectados. También es necesario identificar cualquier disquete que se haya insertado en el sistema desde la infección y se recomienda una revisión minuciosa. Por supuesto, el disquete que contiene el virus original debe localizarse y destruirse. Más allá de eso, se requiere poco más. El problema al que nos enfrentamos, sin embargo, es que muy pocos virus se detectan en esta etapa temprana de la infección.

II. Infección del almacenamiento en disco local

Si una infección pasa desapercibida, con el tiempo el virus se infiltrará en un número creciente de programas almacenados en el disco local. El virus puede infectar cada programa al ejecutarse, o puede escanear periódicamente el disco en busca de programas compatibles e infectar de forma estática el primer programa no infectado que encuentre. Finalmente, es probable que todos los programas almacenados se infecten, y el proceso de eliminación se vuelve entonces más complejo.

En este nivel de infección, la recuperación puede implicar la pérdida de datos. Dependiendo del tipo de virus, el número de programas infectados y si el virus ha comenzado a dañar los archivos de datos, la única solución puede ser formatear el medio. Realizar copias de seguridad de los programas o incluso de los archivos de datos antes del formateo puede ser peligroso en este nivel de infección debido al riesgo de reinfección durante el proceso de restauración. Por lo tanto, en ocasiones puede producirse una pérdida total de datos en el disco afectado.

III. Infección del sistema de archivos compartido

Si un equipo infectado está conectado a una red de área local o a cualquier sistema que proporcione datos y archivos de programa compartidos para varias estaciones de trabajo, existe el riesgo de que el virus infecte el sistema de archivos compartido. Si un servidor de archivos se infecta, todas las estaciones de trabajo de la red que tengan acceso a los archivos compartidos se infectarán rápidamente. La infección se producirá cada vez que la estación de trabajo ejecute un programa infectado almacenado en el servidor de archivos. Este nivel de infección puede tener consecuencias para todo el sistema y la recuperación es una tarea compleja.

Las infecciones de sistemas de archivos compartidos suelen involucrar una gran cantidad de programas. Utilidades, compiladores, editores, herramientas, archivos del sistema y una amplia variedad de aplicaciones suelen estar presentes en los nodos del servidor de archivos. Todos ellos pueden ser huéspedes potenciales de un virus. Cuantos más programas estén infectados, más difícil será la recuperación. Al igual que con las infecciones del almacenamiento local de las estaciones de trabajo, si la infección está lo suficientemente extendida, puede ser necesario formatear el medio de almacenamiento de archivos compartido para eliminar el virus.

La recuperación de este nivel de infección se complica por el hecho de que muchas, si no todas, las estaciones de trabajo conectadas se infectarán. Si la infección no se elimina de todas y cada una de las estaciones de trabajo simultáneamente, la reinfección es segura y el ciclo se repetirá.

IV. Infección de medios extraíbles del sistema

Un ordenador infectado infectará muchos de los disquetes que se inserten en él. Estos pueden ser disquetes recién formateados, disquetes de datos o disquetes de programas o del sistema. El virus también infectará WORM, discos duros extraíbles, cintas de carrete y cartucho, y cualquier otro medio grabable o extraíble conectado al sistema. En el transcurso de varios meses, un solo ordenador infectado puede infectar cientos de medios de almacenamiento. Algunos de estos medios, como los disquetes y los WORM, son muy portátiles, están ampliamente distribuidos, se extravían con facilidad y son difíciles de controlar. Otros dispositivos, como los discos duros extraíbles y las copias de seguridad en cinta, se archivan durante periodos considerables y pueden mantener un virus en "almacenamiento en frío" indefinidamente, listo para ser reintroducido en un sistema limpio.

Una vez que un virus ha infectado un gran número de ordenadores en una red, la cantidad de elementos de soporte extraíbles infectados comenzará a dispararse. Finalmente, si el virus continúa sin ser detectado, se llega a una etapa en la que la probabilidad de identificar y recuperar todos los soportes infectados es prácticamente nula. Es posible que los disquetes se hayan sacado del edificio: a otras oficinas, a domicilios particulares o a las instalaciones de los clientes. Algunos pueden haber sido archivados y olvidados. Otros pueden haber sido reetiquetados y reciclados sin formatearlos previamente. Y siempre habrá algún disquete abandonado bajo una pila de discos.

Preguntas guardadas en el cajón de alguien que se descubrirán meses o años después, quizás mucho después de que la infección haya caído en el olvido.

Cuando la cantidad de estos soportes alcanza los miles (algo común), la probabilidad de una reinfección, una vez detectado y eliminado el virus, se vuelve muy alta. Algunas instalaciones han sufrido más de una docena de reinfecciones. El costo es enorme.

Dada la complejidad de las infecciones virales y las dificultades que presenta el proceso de eliminación, la pregunta es: "¿Debería siquiera intentar solucionar el problema por su cuenta?" Dr. A.S. Alan Solomon, presidente del grupo de usuarios de IBM en Gran Bretaña, reflejó la opinión de la mayoría de la comunidad profesional al afirmar: «Siempre busquen asesoramiento experto para la eliminación de virus». No estoy del todo de acuerdo con él en algunos casos, especialmente en infecciones virales detectadas precozmente que solo han infectado un ordenador. Sin embargo, existen riesgos. Los intentos de los usuarios por eliminar virus han provocado, en muchos casos, más daños que los que el virus habría causado, e incluso han contribuido a su propagación. Incluso usuarios con gran dominio técnico, siguiendo instrucciones detalladas, han tenido serios problemas al intentar eliminar una infección.

Aryeh Goretsky, de la National Bulletin Board Society, comparó los manuales de autoayuda para la eliminación de virus con las instrucciones médicas para extirpar el apéndice de un amigo: «El proceso está plagado de variables desconocidas y riesgos impredecibles».

De nuevo, estoy de acuerdo hasta cierto punto. Sin embargo, existen varias medidas que se pueden tomar al detectar un virus para minimizar sus consecuencias futuras y ayudar a contenerlo hasta que se pueda solucionar. Estos pasos deben seguirse antes de solicitar ayuda profesional.

En primer lugar, identifique la magnitud de la infección. ¿Cuántos equipos se han infectado? ¿Alguno de ellos está conectado a redes? ¿Qué porcentaje de programas en los equipos infectados se han visto afectados? Si tiene dudas sobre alguna de estas preguntas, es momento de solicitar ayuda.

A continuación, apague todos los sistemas infectados. Informe a todos los usuarios, gerentes, personal administrativo y demás personas que puedan tener contacto con los equipos que se ha producido una infección. Solo los técnicos encargados de solucionar el problema deben tener acceso a los sistemas infectados.

Determine si la infección pudo haberse propagado fuera de la organización mediante la transferencia de disquetes u otros soportes, o a través de comunicaciones electrónicas. Si existe esta posibilidad, informe a todas las organizaciones externas que puedan haber tenido contacto con el virus que también se enfrentan a la posibilidad de infección. Describa los síntomas para que puedan comenzar a buscar el virus.

Recoja todos los soportes que se encuentren en el área infectada y aíslelos. No permita que ningún soporte salga del área infectada. Realice una búsqueda exhaustiva de cualquier medio de almacenamiento que se haya insertado en el sistema en los últimos seis meses. Etiquete todos estos discos y demás medios como "Posiblemente infectados".

En este punto, debe contactar a un especialista en medidas antivirus. En cualquier gran área metropolitana encontrará varios especialistas. Si tiene dificultades para encontrar uno, la Asociación de la Industria de Virus Informáticos (CVIA) puede contactarlo. Explíquele al especialista los síntomas y la magnitud de la infección, así como las medidas que ha tomado hasta el momento. Es posible que el especialista pueda identificar el virus por teléfono y recomendarle un procedimiento detallado para eliminarlo. También es posible que exista un producto específico para la cepa de virus que ha reportado, y que el especialista se lo recomiende. Si ninguna de estas opciones es posible, el especialista probablemente le recomendará que se desplace para solucionar la infección directamente.

Es fundamental que no se realice ningún procesamiento adicional en los sistemas infectados hasta que se haya eliminado la infección, ya que esto solo aumenta el grado de infección.

Una excepción a todo lo anterior sería factible dadas las siguientes condiciones:

1. Usted es un usuario de computadoras con amplios conocimientos técnicos.

2. La infección está localizada en su computadora.

3. Está seguro de que la infección es reciente.

4. Está dispuesto a asumir las consecuencias.

Si se cumplen todas las condiciones anteriores, siga los siguientes pasos:

1. Apague el sistema.

2. Encienda y reinicie el sistema utilizando el disquete maestro del sistema original, protegido contra escritura.

3. Si cree que la infección es de arranque o del sistema operativo, y que ningún programa de aplicación se ha infectado, reemplace el sector de arranque.

Todos los módulos del sistema operativo del disquete maestro original.

4 ■ Si cree que el virus ha infectado alguno de sus programas de aplicación:

* Cargue la utilidad de copia de seguridad/restauración desde el disquete original protegido contra escritura.

* Realice una copia de seguridad de todos los datos no ejecutables (todo lo que no sean programas, superposiciones, archivos del sistema operativo o controladores de dispositivos).

* Formatee el disco duro a bajo nivel.

* Restaure todos los datos de la copia de seguridad.

* Restaure todos los programas, superposiciones, controladores de dispositivos y archivos del sistema operativo desde los disquetes originales.

5 ■ Localice todos los disquetes que hayan estado en el sistema durante los últimos seis meses y:

* Destrúyalos, o

* Formatéelos todos.

(Nota: si alguno de los disquetes solo contenía datos, puede omitir el formateo).

Seguir estos pasos le dará una buena probabilidad de erradicar el virus. Sin embargo, solo un técnico competente debe intentarlo.

Resumen de los procedimientos de recuperación

A continuación, se presenta un resumen de los procedimientos básicos de recuperación que debe seguir después de un ataque de virus, según lo recomendado por la CVIA.

1 ■ Mantenga la calma.

2 ■ Apague el equipo.

3 ■ Busque ayuda profesional, o

4 ■ Reinicie desde el disquete del sistema original.

5 ■ Realice una copia de seguridad de todos los archivos no ejecutables.

6 ■ Formatee el disco a bajo nivel.

7 ■ Reemplace los programas del sistema y los ejecutables.

8 ■ Restaure los datos.

Bajo ninguna circunstancia ejecute ningún programa del disco infectado.

El impacto de los virus en la relación de las personas con las máquinas

La experiencia ha demostrado que eliminar un virus no es suficiente. También deben tenerse en cuenta las actitudes de quienes utilizan las máquinas. Los virus afectan la relación emocional que muchas personas desarrollan con sus computadoras. Podrían cambiar la naturaleza misma de la informática, transformándola de una función esencialmente lógica y predecible a una plagada de incertidumbre y peligro.

Computafobia

Como consecuencia de los virus, podemos prever un aumento de la computafobia, un problema muy real —aunque aún en gran medida desconocido— en el ámbito empresarial y educativo. El Fondo para la Mejora de la Educación Postsecundaria del Departamento de Educación de EE. UU. ha patrocinado un proyecto en el campus de Dominguez Hills de la Universidad Estatal de California que está arrojando nueva luz sobre la computafobia. Los primeros resultados indican que el problema puede ser grave en una proporción significativa de la población y, en los casos más extremos, se manifiesta con síntomas marcados de estrés y ansiedad. Algunas personas tienen dificultades incluso para sentarse frente a un ordenador y sienten un fuerte deseo de alejarse de las máquinas.

Las actitudes mentales negativas que ya se están gestando en las personas con dificultades para relacionarse con los ordenadores se ven agravadas por el miedo a los ataques de virus. Los profesionales de recursos humanos también deberían supervisar cuidadosamente las consecuencias en la plantilla tras un ataque de virus. Inevitablemente, surgirán tensiones y frustraciones excepcionales. Estas pueden variar considerablemente según las circunstancias y la magnitud del daño. Las reacciones pueden ser graves si se retrasan los proyectos, si se pierde mucho trabajo o si las repercusiones financieras son tan severas que los empleados dudan de la viabilidad de la empresa.

La actitud de los empleados también puede verse afectada negativamente cuando la dirección intenta buscar culpables, llegando incluso a una especie de «caza de brujas» que hace que los empleados se sientan amenazados e inseguros. Tras la infección en la Universidad de Lehigh, se inició una auténtica caza de brujas que afectó a numerosas personas inocentes. El aumento de la seguridad fue tal que afectó a todos. Se monitorizó el correo electrónico y se denegó el acceso a las instalaciones a varios programadores. Lauren Keim, miembro del personal, había realizado un valioso trabajo recopilando y analizando virus, y fue uno de los programadores despedidos de Lehigh tras la infección. Como era de esperar, dada su experiencia en la materia, fue la primera persona en identificar el virus y desarrollar un antídoto. Por consiguiente, se convirtió en sospechoso, pero quienes lo conocemos lo consideramos un excelente experto en la lucha contra los virus, no un propagador de la infección.

A continuación, se presenta una lista de verificación con algunos procedimientos personales que deben seguirse en caso de una infección viral. Los directivos y el personal que trabaja con ordenadores deben comprender, al menos en parte, los aspectos menos tangibles de los virus para poder afrontar las consecuencias emocionales y de otro tipo.

Los siguientes pasos ofrecen sugerencias para un plan que motive al personal a ser consciente de la amenaza que representan los virus informáticos, las precauciones que deben tomar y las medidas que deben adoptarse ante la sospecha o la confirmación de una infección.

1 ■ Educar y motivar. Realizar una revisión general de la seguridad informática de la organización, con un análisis de riesgos de la exposición a infecciones y sus posibles consecuencias. Revisar las asignaciones presupuestarias para seguridad informática. Adoptar y distribuir la política corporativa correspondiente.

Difundir información sobre virus en toda la organización.

No se trata de medios de comunicación. Realice sesiones informativas especiales para todo el personal involucrado en funciones informáticas.

2 ■ Implemente programas de prevención. Incorpore prácticas de informática segura en todos los cursos de capacitación en procesamiento de datos.

Coloque instrucciones resumidas para la informática segura en todos los terminales. Realice sesiones de capacitación periódicas sobre informática segura, actualizándolas regularmente a medida que evoluciona la epidemia del virus.

3 ■ Plan de recuperación ante desastres. Prepare un escenario de peor caso y forme y capacite al personal para que tome las medidas adecuadas en caso de infección.

Proporcione y muestre en los terminales números de teléfono de emergencia disponibles las 24 horas para solicitar asistencia especializada de inmediato.

Evite reacciones exageradas al intentar atribuir culpas o imponer controles que obstaculicen el procesamiento eficiente de datos.

Implemente sistemas de respaldo para minimizar los daños consecuentes.

Investigadores del proyecto de California sobre la fobia a las computadoras observaron que aproximadamente la mitad de un grupo de estudiantes presentaba síntomas de este problema y el 25 por ciento experimentó cierto grado de pánico en su relación con las máquinas. Los niños generalmente se adaptan con mayor facilidad a las nuevas tecnologías que muchas personas mayores, por lo que es prácticamente seguro que una proporción significativa de la fuerza laboral ya presente problemas relacionados con las computadoras. Estos problemas se agravarán en cierta medida tras una infección, o incluso ante la mera sospecha de que se ha producido una. La aparición de los virus introduce el concepto de un comportamiento impredecible y hostil por parte de cualquier computadora. Una simple pulsación de tecla puede desencadenar un programa malicioso que provoque una reacción agresiva e irracional, destruyendo la confianza y los cimientos mismos de la relación con la máquina. La máxima informática de siempre —«si introduces basura, obtienes basura»— ya no se aplica con certeza. La entrada de datos puede ser perfecta, pero el sistema infectado responderá con información errónea. Peor aún, puede emprender una campaña de destrucción maliciosa, borrando días, semanas o incluso años de trabajo minucioso. Sus actividades pueden ser más sutiles, alterando insidiosamente los datos de tal manera que la verdad se vuelve indistinguible de la ficción.

Estrés por miedo

Muchos usuarios de computadoras experimentan síntomas de estrés simplemente por el temor a que sus sistemas estén infectados sin presentar síntomas aparentes. Este temor puede ser muy real. Un virus latente podría estar oculto en un disco duro o entre los 368.640 bytes de un disquete. Podría estar esperando el momento preciso en que el reloj interno de la computadora lo active. O podría estar esperando pacientemente una palabra o acción que se le comunique inadvertidamente mediante pulsaciones de teclas o movimientos del ratón.

Las empresas con visión de futuro están integrando información sobre virus en sus programas de comunicación interna como parte de su rutina. Es fundamental actualizar la información periódicamente y el contenido debe ser comprensible para todos, ¡incluso para quienes tienen fobia a las computadoras!

No subestime la actitud negativa que algunas personas tienen hacia las computadoras, incluso si parecen funcionar correctamente. Los conflictos reales y potenciales en la relación entre las personas y las computadoras son un factor importante que los virus pueden agravar enormemente. La Comisión Europea tiene un proyecto que mide el deterioro de esta relación y que podría dar lugar a otros enfoques para el problema de los virus. Se ha adaptado la tecnología de visión robótica para que una cámara de vídeo se conecte al ordenador y se programe para observar el rostro del operador. Monitoriza la comunicación no verbal, como el ceño fruncido o los movimientos que reflejan una creciente frustración. A continuación, el ordenador comprueba si está provocando estas reacciones humanas e intenta modificar su propio comportamiento.

Una parte esencial de la gestión de los desafíos que plantean los virus —tanto para las personas como para el procesamiento de datos— es establecer una rutina eficaz para que los problemas no se agraven por reacciones humanas inapropiadas cuando se producen infecciones. Una de las mayores frustraciones para muchos de los implicados en la lucha contra el brote en Internet fue no poder contactar con otras víctimas de la red para alertar o compartir soluciones y consejos.

Simplemente publicar un número de teléfono de asistencia para virus junto a cada terminal supondría un avance significativo para afrontar las consecuencias de una infección. La capacidad intelectual generada durante la noche de la infección inicial en Internet fue enorme, y pronto se empezaron a idear métodos eficaces para limitar el daño viral. Los ingenieros de software poseen una notable camaradería y mostraron un gran entusiasmo por compartir información vital y ayudarse mutuamente durante el brote. Sin embargo, muchos de los beneficios que podrían haberse derivado de esta cooperación se vieron limitados, ya que el virus colapsó su red de correo electrónico y la comunicación telefónica, especialmente por la noche, resultó muy difícil.

Las organizaciones más grandes podrán crear sus propios servicios internos de emergencia, listos para actuar de inmediato ante una infección viral, al igual que los bomberos de las fábricas están preparados para emergencias físicas.

Es posible que se desarrollen servicios de consultoría en gestión de desastres, como los que Unisys y otras empresas están impulsando. Sin embargo, la mejor protección sigue siendo la prevención, y la mejor prevención consiste en seguir las prácticas básicas de seguridad informática ya detalladas. Estas son las medidas de seguridad más efectivas que cualquier sistema puede adoptar. Su implementación depende tanto de las habilidades interpersonales como del conocimiento de la tecnología informática. Un enfoque práctico es el que adoptó AT&T en 1987 tras un aumento significativo de los intentos de intrusión en sus redes y ordenadores. La empresa formó un grupo de trabajo para abordar todos los aspectos de la seguridad informática de forma coordinada, haciendo especial hincapié en la formación y la motivación de los empleados.

Capítulo 11: Prevención: Estrategias esenciales para protegerse contra los ataques de virus

La ofensiva de virus ha abierto una nueva dimensión en la seguridad informática, que se ha tratado en capítulos anteriores, pero que ahora debe abordarse con mayor detalle.

Se ha escrito mucho sobre seguridad informática desde la infección de Internet en noviembre de 1988, que dejó meridianamente claro a los responsables de la toma de decisiones en el ámbito empresarial, académico y gubernamental que los virus son un problema muy grave y persistente. Sin embargo, algunos profesionales de la seguridad creen erróneamente que los sistemas pueden hacerse invulnerables a las infecciones. La realidad es que ningún sistema puede ser 100% seguro. Incluso si se aplican prácticas informáticas seguras y un sistema se aísla lo máximo posible de cualquier fuente externa de infección, un virus (o una puerta trasera por la que podría infiltrarse) podría haberse introducido en la programación original.

El caso de Internet demostró sin lugar a dudas que las precauciones de seguridad, diseñadas para minimizar las infecciones por virus, son ahora un componente esencial de cualquier estrategia de seguridad informática. Dicha estrategia debe comenzar con medidas de protección físicas, pero debe avanzar hacia defensas electrónicas más sofisticadas hasta llegar a aquellas medidas diseñadas específicamente para proteger contra ataques virales. Entonces, debe preverse el peor escenario posible e implementarse una estrategia para afrontar las consecuencias de una infección que cause una pérdida importante de datos y al menos varios días de inactividad.

A medida que los virus se vuelven cada vez más sofisticados y virulentos, el peor escenario posible también debe incluir la probabilidad de que se produzca una reinfección, quizás varias veces. Esta ha sido la experiencia de numerosas víctimas, y sería poco realista esperar que la situación cambie.

Los analistas de riesgos más expertos —los que trabajan para las compañías de seguros— saben que la infección viral y sus consecuencias representan un riesgo inaceptable, incluso con primas muy altas. Ni siquiera pueden cuantificarlo con un grado razonable de precisión. Por lo tanto, los usuarios de computadoras se enfrentan a la posibilidad muy real de no tener un seguro que los ayude después de una infección que haya destruido registros esenciales de los que depende su negocio u otra actividad (y que haya interrumpido las operaciones durante un período prolongado). Puede haber daños colaterales extensos además de la pérdida de datos. La fabricación controlada por computadora y otros procesos también podrían verse afectados. Si bien la industria de seguros no cubre los virus, ha proporcionado información valiosa sobre el problema. Las aseguradoras cuentan con los mejores actuarios y analistas de riesgos, muchos de los cuales dedican su amplia experiencia al tema del virus. Sin embargo, es probable que, tras analizar los datos, puedan validar y realizar estimaciones precisas de su grado de exposición potencial. Parece inevitable que las aseguradoras sigan limitando severamente su exposición a un brote viral catastrófico, que podría poner en riesgo la viabilidad financiera de toda la empresa. Por lo tanto, todos los usuarios de computadoras deben tomar las medidas adecuadas para protegerse y no esperar soluciones ni recompensas inmediatas. La salud de los sistemas informáticos depende en gran medida del control de la propia empresa.

A menudo se acusa a los ciudadanos de países desarrollados de cavar su propia tumba con malos hábitos alimenticios. Los sistemas informáticos, que se han convertido en una extensión tan importante de muchas funciones humanas, también se ven amenazados por estos malos hábitos. Los procedimientos de seguridad física y electrónica disponibles son valiosas herramientas de protección, pero la actitud y la práctica de un uso seguro de la informática son la clave para combatir la infección.

Seguridad física

La protección física de los sistemas informáticos es un campo especializado que ha alcanzado un alto grado de desarrollo tecnológico.

Los sistemas pueden protegerse adecuadamente contra inundaciones, incendios, ataques físicos y otros desastres convencionales. Algunos sistemas, incluidas las instalaciones de defensa, incluso se encuentran aislados en entornos de máxima seguridad.

Estructuras montadas sobre mecanismos de suspensión avanzados para aislarlas de terremotos. Por supuesto, la protección contra la humedad, la temperatura y la actividad electromagnética extremas debe extenderse también a los medios de almacenamiento magnético de datos y programas, incluyendo el almacenamiento de respaldo en otras ubicaciones. Se hace demasiado hincapié en la creación de sistemas informáticos tolerantes a fallos en una ubicación específica, mientras que se pasa por alto la vulnerabilidad equivalente del software de respaldo almacenado en otro lugar. Incluso si el hardware de un sistema permanece físicamente intacto después de un desastre, su software podría quedar inutilizado por un ataque de virus; el respaldo se vuelve invaluable para evitar grandes pérdidas y para que la operación vuelva a la normalidad sin demoras indebidas.

Por ejemplo, el Northwest Bank de Minneapolis se recuperó rápidamente de un incendio que destruyó gran parte de su capacidad de procesamiento de datos porque el software esencial se encontraba en una ubicación separada. Establecer dicha reserva se ha vuelto mucho más importante debido a la amenaza de los virus, pero es importante recordar las advertencias anteriores sobre los peligros de la reinfección; los virus pueden estar presentes en las copias de seguridad si se ha producido una infección no detectada.

La política de establecimiento de centros de datos de reserva debe formar parte de un análisis de riesgos integral, sopesando los elevados costes que puedan implicar frente al valor de los datos y los daños, tanto directos como indirectos, de una infección. El almacenamiento seguro de datos de respaldo puede resultar costoso, y para las pequeñas empresas o aquellas que no dependen en gran medida de los ordenadores, puede ser más rentable simplemente guardar las copias de seguridad en casa o en una caja de seguridad. Se incrementará el uso de centros de datos en frío y en caliente como parte de los planes integrales de recuperación ante desastres. El centro de datos en frío está listo para asumir el procesamiento de datos, pero el coste se reduce al no tener los ordenadores instalados hasta que surja la necesidad. Un centro de datos en caliente está completo y su configuración y mantenimiento pueden ser muy costosos.

Debido a la migración de gran cantidad de datos importantes a microordenadores en red o independientes, a menudo alejados del centro de procesamiento de datos central, se debe prestar mayor atención a la seguridad física de las estaciones de trabajo de microordenadores y a las copias de seguridad del software que contienen. Muchos microordenadores que realizan tareas importantes ni siquiera están protegidos contra sobretensiones, y mucho menos operan en condiciones ambientales aceptables.

La siguiente etapa, tras proteger nuestros sistemas contra desastres naturales y otros elementos hostiles, consiste en controlar el acceso de las personas a ellos. Esto implica principalmente supervisar a quienes pueden utilizar el sistema y sus periféricos. Podemos lograrlo mediante diversas técnicas, principalmente dirigidas a identificar a los usuarios autorizados. Los controles físicos pueden ser muy efectivos para restringir el acceso únicamente a empleados de confianza. Podemos proporcionarles tarjetas de identificación codificadas, verificar sus huellas dactilares o la geometría de su mano, medir los patrones distintivos de los vasos sanguíneos en el tejido retiniano, analizar las características de su voz y comparar electrónicamente sus firmas con los datos biométricos almacenados.

Todas estas medidas de seguridad pueden impedir el acceso de intrusos, pero, a menos que se tomen precauciones adicionales, no evitarán que las personas de confianza, incluso aquellas que han sido sometidas a controles, introduzcan infecciones virales. Un usuario autorizado del sistema, al que se le permita acceder a su entorno con un disco o cinta magnética, podría, sin intención de causar daño alguno, introducir un virus capaz de provocar daños tan graves como una bomba, una inundación o un terremoto severo. Además, la amenaza que representan los usuarios autorizados y de confianza que se han vuelto descontentos u hostiles está siempre presente. No tienen que preocuparse por los controles de seguridad destinados a detectar bombas u otros dispositivos que puedan dañar físicamente la instalación. Un programa malicioso podría estar escrito en un papel en sus bolsillos o incluso memorizado parcialmente, y bastarían unas pocas horas de actividad sin supervisión en un terminal para convertirse en una peligrosa realidad. Por consiguiente, controlar el acceso a un centro informático no es la única preocupación; también debe supervisarse lo que hacen las personas una vez dentro. Sin embargo, este aspecto de la seguridad también tiene su contrapartida. Los controles estrictos pueden ser contraproducentes, generando hostilidad y estrés adicional entre los empleados, por lo que es necesario mantener un equilibrio.

Seguridad electrónica

Hasta que los delitos informáticos en general, y la ofensiva de virus en particular, se convirtieron en una amenaza tan grave y combinada, existía la tendencia a confiar demasiado en los diversos métodos de protección electrónica de los sistemas contra el acceso no autorizado. Muchos aún no han prestado atención a las advertencias, y estos aspectos de la seguridad requieren ahora una reevaluación seria. La dependencia de contraseñas y técnicas de cifrado son áreas típicas donde el exceso de confianza puede ser limitado.

Es preocupante porque una gran proporción de las contraseñas existentes son de muy poco valor. Algunos sistemas utilizan contraseñas tan obvias que adivinarlas requiere muy poco tiempo o habilidad (como se mencionó anteriormente). Aproximadamente el 50 % de las contraseñas en un sistema de Nueva Jersey se adivinaron con bastante facilidad, y los hackers han demostrado ser expertos en encontrar contraseñas aún más rebuscadas de diversas maneras. La mayoría de las personas eligen contraseñas fáciles de recordar, como nombres de pila o una variación del nombre de la empresa o departamento. Algunas de estas contraseñas comunes pueden ser descubiertas por los hackers en cuestión de minutos; otras, en pocas horas.

Por lo tanto, es esencial que el sistema limite el tiempo y el número de intentos para introducir una contraseña correctamente y que, si se realizan varios intentos de acceso no autorizado, alerte inmediatamente al operador del sistema. Lo ideal es una contraseña aleatoria: una que sea muy difícil de adivinar o encontrar consultando diccionarios o listas de nombres, pero que sea fácil de recordar para el usuario. Mejor aún es no utilizar una palabra legítima que se encuentre en un diccionario, sino una combinación de letras y números que no tenga significado para nadie más que el usuario autorizado. No deberían ser contraseñas obvias, como el carné de conducir o el número de la seguridad social, sino quizás las fechas de cumpleaños de los hijos o nietos. Es probable que algunos hackers lean este consejo, así que conviene intentar algo original.

Por supuesto, las contraseñas deben cambiarse con frecuencia y las listas de contraseñas deben mantenerse muy seguras, aisladas en las partes más difíciles de acceder del sistema. Una táctica común entre los hackers, una vez que acceden a un sistema, es buscar la lista maestra de contraseñas para obtener acceso a niveles de seguridad superiores y a otras cuentas.

Los dispositivos de protección de puertos (PPD) son una línea de defensa adicional y rentable, similar a una barrera física de seguridad que crea un área de espera donde la persona que intenta acceder queda confinada hasta que se verifican sus credenciales. El usuario no se conecta al sistema hasta que el PPD confirma que es un usuario autorizado. Algunos de estos dispositivos pueden ser sofisticados en las comprobaciones que realizan, mientras que el registro que mantienen los mejores sobre los intentos de acceso al sistema puede ser una herramienta muy útil para monitorizar la actividad y proporcionar las primeras pistas de que algo está sucediendo. Los dispositivos PPD que interrumpen la conexión y devuelven la llamada al número de teléfono registrado como propio del usuario autorizado de la contraseña son útiles, pero no infalibles. Los hackers son tan hábiles que pueden redirigir las llamadas y su arsenal de técnicas y equipos se amplía constantemente.

En cualquier caso, las contraseñas y la mayoría de las demás barreras electrónicas no impiden que muchos virus entren en un sistema y se preparen para replicarse, especialmente si el sistema tiene una puerta trasera, como ocurre con muchos. En ese caso, es como tener una puerta principal con una cerradura cara, pero con la llave olvidada bajo el felpudo.

Cuando se descubrieron las puertas traseras de Internet, se advirtió a los usuarios de su vulnerabilidad al virus, pero muchos no tomaron medidas. Quienes sí lo hicieron, como los Laboratorios Bell Murray Hill de AT&T, no se infectaron.

El cifrado y las sumas de verificación también se han promocionado como eficaces para combatir la manipulación de datos y diversas amenazas a la seguridad informática, pero no son muy efectivos, si es que lo son, para prevenir una infección por virus. El cifrado puede hacer que los datos sean incomprensibles a menos que se tenga acceso al código para descifrarlos, pero la mayoría de los virus no se preocupan por el contenido de los datos; simplemente los destruyen. El virus incluso puede reemplazar el programa que realiza la verificación del cifrado.

Las sumas de verificación monitorean los cambios en el contenido de los programas como método para detectar la actividad viral, pero solo son efectivas contra ciertas cepas de virus. Virus como Brain no funcionan adhiriéndose a los programas, sino reemplazando un segmento de las instrucciones que el ordenador ejecuta inmediatamente después de encenderse. Se reemplaza el sector de arranque, junto con el inicio de la suma de verificación. Muchos programas antivirus utilizan sumas de verificación, por lo que está surgiendo una defensa estándar que el creador del virus suele conocer y burlar: descubre dónde se almacena la suma de verificación y la ataca con otro programa que imita su rutina.

Los nuevos sistemas de alta seguridad, como los del Comando Aéreo Estratégico, el Comando Nacional de Defensa Aeroespacial y el Banco Nacional de Pruebas (NPT) de mil millones de dólares para simulaciones de la Guerra de las Galaxias, se están equipando con procedimientos de verificación frecuentes y se encuentran físicamente aislados de las redes de menor seguridad. Sin embargo, estos sistemas siguen siendo vulnerables a los ataques de virus. Los virus pueden incorporarse y ocultarse en ellos durante la escritura del software original —proveniente de varios proveedores— o durante su actualización, algo que ocurre con frecuencia.

Estos complejos programas de defensa, y sus equivalentes en el mundo comercial, pueden contener millones de datos.

Se trata de fragmentos de información de programación, y es imposible estar seguro de que un virus no se encuentre oculto en alguna parte, especialmente si incorpora una bomba lógica o de tiempo para mantenerse oculto hasta una fecha futura determinada por su creador.

Además, no hay garantía de que un sistema se considere completamente aislado ahora, cuando en algún momento de su historia pudo haber estado conectado a una red o haber tenido contacto con un disco externo. Cuando se asignó a una docena de expertos para intentar encontrar un error introducido deliberadamente en un programa de guiado de misiles balísticos, ninguno lo logró. Imagínese, entonces, la probabilidad de encontrar un virus sofisticado mediante comprobaciones ocasionales de software complejo que puede o no estar infectado. No sorprende que muchos expertos en virus sean tan escépticos ante las afirmaciones de que los sistemas estratégicos sensibles y otros sistemas importantes son seguros. La verdad es que pueden ser seguros en el sentido convencional y tradicional, pero están lejos de estar protegidos eficazmente contra infecciones virales. Necesitamos adoptar una mentalidad muy diferente al abordar la seguridad contra los ataques de virus.

La autoinoculación del software, programado para alertar al usuario si el sistema está infectado, es un concepto atractivo que el Grupo de Desarrollo de Software promueve activamente, pero presenta serias limitaciones. Una nueva legislación que defina mejor los virus y establezca sanciones penales y civiles más severas para quienes infecten sistemas podría ser más eficaz. Sin embargo, el anonimato con el que se pueden crear e implantar los virus limita la efectividad de las medidas disuasorias legales, y su aprobación por parte del Congreso o los estados no está garantizada. Uno de los problemas es que podría interpretarse como una estrategia de los fabricantes de software para limitar las demandas por responsabilidad del producto.

El verdadero error, que confunde el tema de la seguridad electrónica, es creer que unos procedimientos más estrictos para controlar el acceso a los archivos informáticos constituyen, por sí solos, una defensa eficaz contra los virus. Es erróneo pensar que uno está a salvo por permitir que alguien lea sus archivos, pero no por impedir que escriba o modifique sus programas. Es útil contar con un sistema que permita que los datos fluyan de forma segura a personas con mayor nivel de autorización, pero que impida que personas con menor autorización accedan a ellos. Sin embargo, estas medidas de seguridad no necesariamente impiden la propagación de virus.

Una lista de control de acceso funciona bien para controlar a los usuarios, pero los virus generalmente no se interesan por espiar información restringida. Su único objetivo es replicarse y destruir, por lo que se propagan por el sistema sin ser detectados, llevando a cabo sus acciones pero sin percatarse de las barreras de seguridad electrónicas diseñadas para distintos niveles de confianza en los usuarios.

Estos procedimientos de seguridad son valiosos —las computadoras enfrentan muchas amenazas además de los virus—, pero las barreras electrónicas, basadas en conceptos de seguridad convencionales, no son adecuadas para prevenir ataques virales.

El avance en seguridad electrónica, en lo que respecta a la protección antivirus, provendrá de los desarrollos en la arquitectura de hardware. Esto no sucederá rápidamente y los hackers más audaces seguirán pisándole los talones a esta tecnología. Incluso podrían superarla. Sin embargo, ahora contamos con una defensa parcial de hardware: las estaciones de trabajo sin disco. Se trata de terminales de red con la pantalla, el teclado, la unidad central de procesamiento y la memoria limitada habituales, pero sin unidades de disquete, por lo que no pueden infectarse con virus transmitidos por disco. Sus principales ventajas hasta ahora han sido su menor coste y su tamaño compacto. No obstante, aún es posible escribir un programa malicioso en una estación de trabajo sin disco y enviarlo a una red, y una red de estaciones de trabajo sin disco sigue siendo vulnerable a los ataques de hackers que introducen virus.

Motivar a los empleados

En el sector de la seguridad, es un principio fundamental que las personas son el eslabón más débil de cualquier sistema de seguridad, y este axioma se aplica tanto a los sistemas informáticos como a las bóvedas bancarias. Es necesario motivar a todos los empleados para minimizar las oportunidades de sabotaje informático interno en la empresa. Una de las mejores protecciones para una empresa es un personal leal, que estará en la mejor posición para detectar actividades sospechosas de empleados descontentos, como ocurrió en el caso de Texas, cuando se observó a un empleado despedido instalando un programa malicioso en el ordenador de la empresa.

La mayoría de las personas no son conscientes de la seguridad y prácticamente todas pueden ser muy crédulas. Si a estas características se le suma un desconocimiento general de la informática, es fácil comprender cómo los sistemas se ven tan fácilmente comprometidos por empleados malintencionados cuyas acciones no alertan a sus compañeros, por un pirata informático externo que utiliza información obtenida de un empleado, o por ambos trabajando en conjunto.

Acceso a través de puertas traseras

A diferencia del pirata informático externo, los empleados o consultores tienen la oportunidad de crear una forma de acceder ilegalmente a un sistema.

El sistema se encuentra en una etapa temprana de la secuencia de eventos que lo ponen en funcionamiento. Existe el riesgo constante de que alguien involucrado en la configuración del sistema pueda introducir un virus o dejar una puerta trasera que permita un acceso fácil en cualquier momento. Una puerta trasera se puede ocultar fácilmente en programas que prueban y solucionan problemas de sistemas informáticos, y puede sortear muchas barreras de seguridad para acceder directamente al software o a los sistemas operativos.

Una puerta trasera puede ser insertada por una fuente externa que trabaje para uno de sus proveedores de software, por un consultor que configuró el sistema o por un empleado. La verdadera seguridad implica que todos, dentro o fuera de una organización, desarrollen el hábito automático de estar atentos a posibles brechas de seguridad, lo que significa utilizar empresas o personas confiables, supervisar sus actividades y verificar la información antes de introducir datos vulnerables. Utilizar un tercero para realizar una verificación de seguridad final puede ser una precaución útil, pero, por supuesto, esto también lo expone a riesgos adicionales.

Cuando los empleados insertan puertas traseras en los sistemas como "pólizas de seguro" para un posible uso posterior, sus motivaciones pueden ser diversas. Es posible que, aunque inicialmente no estén completamente formados, piensen en cometer un delito informático más adelante. Quizás deseen vengarse de la organización. Un empleado irracional podría sentir que la organización debería ser "castigada" por sus políticas o por lo que considera prácticas poco éticas.

Ya se han producido numerosos actos hostiles contra los sistemas informáticos. Algunos fueron delitos convencionales, relativamente fáciles de investigar, como el del individuo que robó datos de Imperial Chemical Industries en Gran Bretaña tras no haber sido ascendido. Exigió un rescate por los datos robados.

Actos de venganza

Mucho más difícil de combatir, debido a que las motivaciones suelen ser muy oscuras, es un acto de venganza en el que no se busca ningún beneficio material. Una bibliotecaria de seguros fue despedida por la vergüenza causada por sus relaciones extramatrimoniales. Antes de irse, borró datos y causó daños estimados en 10 millones de dólares. Con las técnicas de seguridad convencionales, podemos impedir en gran medida que quienes representen una amenaza para nuestro ordenador accedan directamente a él, pero no podemos imponer controles similares a los datos que ingresan. La seguridad informática debe evolucionar: de protegerse contra la amenaza humana a construir barreras contra los virus ocultos en los datos y programas.

Un ordenador conectado a cualquier red es particularmente vulnerable, pero incluso aquellos sin conexiones externas a posibles fuentes de infección pueden no ser seguros. En la mayoría de las empresas, un empleado tiene muchas oportunidades de llevar un disco al trabajo, instalar un programa malicioso en el sistema de la empresa y causar estragos. Se han creado herramientas sencillas y accesibles para el sabotaje industrial a gran escala y con gran eficacia. Este sabotaje puede iniciarse como resultado de conflictos personales en el lugar de trabajo. Si un compañero considera a otro una amenaza o tiene una personalidad problemática, podría vengarse con un virus, con muy poco riesgo.

Supongamos que ha desarrollado un procedimiento para ahorrar costes o un método nuevo y más eficiente de fabricación o distribución. Un virus podría fácilmente introducir instrucciones erróneas en los equipos de producción, alterar los componentes de una fórmula farmacéutica, modificar las temperaturas en un proceso de producción de plásticos o metalurgia, o causar estragos en los procedimientos de distribución y facturación.

El ataque del virus Scores a Electronic Data Systems, perpetrado por un empleado descontento, tuvo como motivación la venganza, pero este no es, ni mucho menos, el único motivo por el que el propio personal de una organización crea y propaga virus internamente.

El profesor Cohen cita el caso clásico de un vicepresidente que despliega un virus para contaminar los programas y herramientas que el presidente de la empresa utiliza para planificar y realizar proyecciones, con la esperanza de perjudicar su imagen y conseguir su destitución.

En cualquier organización existen tantos escenarios como rivales, frustraciones, ambiciones, codicia y deseos de venganza. Ahora, con los virus informáticos, se abren las puertas a la posibilidad de canalizar esas emociones y aspiraciones hacia un arma tangible y eficaz.

Por ejemplo, no es difícil escribir un virus, o modificar uno existente, para alterar los datos que controlan los procesos de fabricación. El software ya es vulnerable a simples errores de entrada. La colocación incorrecta de un punto decimal en datos informatizados provocó la fabricación en Australia de 6400 frascos de jarabe para la tos potencialmente peligrosos que contenían diez veces la cantidad adecuada de un determinado componente químico. Un virus puede manipular fácilmente los puntos decimales de forma muy difícil de detectar.

Una prisión en California está muy preocupada por las posibles consecuencias de utilizar a reclusos con conocimientos informáticos en tareas de programación y procesamiento de datos. Podrían insertar virus en el sistema informático de la prisión para adelantar las fechas de liberación y libertad condicional, o permitir que los reclusos reciban privilegios especiales.

Existen expertos en informática que consideran que los riesgos que plantean estos escenarios están exagerados. Sin embargo, el grado de riesgo de los virus aumenta inexorablemente, junto con el creciente número de ordenadores y la mayor variedad de tareas que se les asignan.

■ Prácticas Antivirales: Una Lista de Verificación

Las prácticas y procedimientos informáticos seguros pueden minimizar el riesgo de infección por virus y, junto con los productos antivirus, también ayudan a afrontar las infecciones en caso de que se produzcan. Existen doce prácticas fundamentales de seguridad para el usuario que pueden reducir sustancialmente la vulnerabilidad de un sistema.

1 ■ Nunca arranque desde un disquete que no sea el original protegido contra escritura del paquete de distribución original.

Esta recomendación es extremadamente importante. La mayoría de los virus que infectan el sector de arranque solo pueden infectar su sistema si arranca desde un disquete infectado. Arrancar desde disquetes prestados, desconocidos o copiados multiplica la posibilidad de infección, pero el riesgo es mínimo al usar los disquetes originales suministrados con el software propietario.

2 • Solo se debe asignar un disco de arranque a cada PC con disquete (sistemas sin disco duro), y dicho disco debe estar claramente etiquetado como el disco de arranque del sistema. Este disco debe ser intocable y nada debe comprometer su integridad. Además, resulta ventajoso, tanto en la práctica como, en cierta medida, desde el punto de vista psicológico, no crear ni utilizar copias del disco de arranque, ya que estas pueden ser más vulnerables a fallos de seguridad y malas prácticas informáticas. ¡El disquete de arranque debe tratarse como un tesoro único!

3 ■ Un sistema con disco duro nunca debe arrancarse desde una disquetera.

Las únicas excepciones son la recuperación tras una infección viral, como se describe en la siguiente sección.

4 ■ Trate con precaución el software de dominio público y el shareware.

Los virus son difíciles de detectar y, por lo general, no modifican el funcionamiento del programa infectado antes de su activación. Un amigo o conocido podría recomendar un programa de buena fe sin saber que está infectado. Si es posible, limite el uso de dichos programas a sistemas sin disco duro. Si los usa en discos duros, asigne subdirectorios separados para los programas de dominio público. Esto limitará la exposición, ya que algunos virus restringen la replicación al subdirectorio actual. El software de dominio público o shareware nunca debe colocarse en el directorio raíz.

5 ■ Cree etiquetas de volumen descriptivas en todos los discos duros y disquetes al formatearlos.

Acostúmbrese a revisar las etiquetas de volumen cada vez que ejecute un comando de directorio. Esté atento a cualquier cambio en las etiquetas de volumen.

6 ■ Observe los cambios en el patrón de actividad del sistema.

Hágase las siguientes preguntas: ¿Los programas tardan más de lo normal en cargarse? ¿Los accesos al disco parecen excesivos para tareas sencillas? ¿Aparecen mensajes de error inusuales con regularidad? ¿Se encienden las luces de acceso de algún dispositivo del sistema cuando no debería haber actividad en ese dispositivo? ¿Hay menos memoria del sistema disponible de lo habitual? ¿Desaparecen programas o archivos misteriosamente? ¿Hay una reducción repentina en el espacio disponible en el disco?

Cualquiera de estos signos puede indicar una infección viral.

7 ■ En un entorno corporativo o multisistema, el intercambio de código ejecutable entre sistemas debe minimizarse siempre que sea posible. Al usar recursos de la PC de otra persona (una impresora láser, por ejemplo), transfiera los datos necesarios a un disquete que no contenga código ejecutable. Además, no utilice discos de arranque ni que contengan archivos del sistema.

8 ■ Si opera en un entorno de red, no coloque programas de dominio público ni programas shareware en un directorio común del servidor de archivos al que pueda acceder cualquier otra PC de la red.

9 ■ No permita que nadie que no sea el administrador del sistema en un entorno de red utilice el nodo del servidor de archivos.

10 ■ Si utiliza emuladores 3270 o cualquier software de emulación que permita la conexión a sistemas mainframe, todo el software de emulación debe mantenerse en un subdirectorio independiente y no debe incluir en dicho subdirectorio ningún código ejecutable que no forme parte del conjunto de emuladores. De ser posible, dichas terminales deberían limitarse a tareas de emulación, y todo el demás software debería eliminarse del disco. Los emuladores 3270 son las principales vías de entrada de virus a los mainframes IBM.

11 ■ Las pestañas de protección contra escritura en los disquetes contribuyen en gran medida a limitar la propagación de virus. Todos los disquetes de arranque deberían estar protegidos contra escritura de forma sistemática. Para ciertos entornos de alta seguridad, se recomienda adquirir sistemas de protección contra escritura para discos duros. Si bien puede perderse cierta flexibilidad, el nivel de protección es alto.

12 ■ Los disquetes deben extraerse de las ranuras de las unidades y guardarse en archivadores cuando no se estén utilizando. Un virus que salta directamente de las ranuras de las unidades y se guarda en archivadores cuando no se está utilizando. ¡Un virus que salta directamente de la memoria del sistema a un disquete que no se ha insertado aún no ha ocurrido!

Capítulo 12: Aprovechamiento de las debilidades de los virus para crear productos antivirus: Una revisión de auto_awesome

Cada clase de virus utiliza un mecanismo de infección diferente, y cada cepa emplea métodos únicos para activarse y corromper los datos del sistema. Incluso un estudio detallado de los virus podría llevar a pensar que no existe un método genérico para prevenir, detectar o identificar infecciones virales que sea efectivo contra más que unos pocos virus específicos. De hecho, nuestra primera impresión, tras una revisión superficial de varios virus descompuestos, fue que era imposible desarrollar una técnica capaz de detectar todos los virus existentes, y mucho menos los nuevos que aún no se habían analizado. Sin embargo, la situación no es tan desesperada ni tan compleja como sugieren las primeras impresiones.

Para comprender cómo neutralizar eficazmente los virus, primero debemos reconocer algunas de sus limitaciones fundamentales. Además, es necesario extraer características comunes a todos los virus y aprovecharlas. Esto puede parecer una tarea ardua, pero en realidad ya se ha logrado, y los resultados se han incorporado con éxito en varios productos antivirales.

La primera y más importante limitación que poseen todos los virus es que sus objetivos deben ser segmentos ejecutables del sistema informático. Solo pueden infectar otros programas, ya sean programas del segmento de arranque, elementos del sistema operativo o aplicaciones. No pueden infectar eficazmente archivos de datos, hojas de cálculo, información tabular ni ningún elemento de datos sin procesar dentro del sistema, aunque sí pueden causar que los datos se alteren o destruyan. Esto puede parecer un consuelo menor, pero de hecho, como se demostrará en breve, es una limitación importante que puede aprovecharse eficazmente en la lucha contra los virus. Algunos teóricos han propuesto modelos de virus que podrían, de forma limitada y bajo la suposición de circunstancias extraordinarias, infectar datos sin procesar. Dichos virus pueden ser posibles en teoría, pero su efectividad es extremadamente limitada debido a las improbables condiciones ambientales necesarias para su replicación. No representan una amenaza estadísticamente válida para los ordenadores existentes. El experto en virus David Chambers ha propuesto una segunda clase de excepciones a esta regla. Demostró un mecanismo de replicación en ordenadores personales IBM que modificaba archivos por lotes como parte del proceso de infección. Para causar daño y replicarse más allá de los límites de un solo ordenador, el virus requería un segmento ejecutable complementario que operara junto a él. Este segmento se ajustaba perfectamente a las limitaciones de los virus estándar.

La segunda debilidad de los virus es que cualquier infección, por sofisticada que sea, debe alterar de alguna manera el segmento infectado del sistema. El virus reemplaza por completo una sección del sistema o modifica el segmento existente. Si el virus se adjunta a un programa existente, cambia el inicio, el final o alguna parte del programa. Si se oculta en áreas vacías del disco, estas áreas dejan de estar vacías y se modifican. Si el virus almacena el sector de arranque original en algún lugar discreto, el movimiento en sí mismo modifica el sistema. La regla es la siguiente: toda infección deja algún rastro residual. Este rastro persistente es el segundo punto débil.

La tercera debilidad es que, para que el virus sobreviva y se multiplique, el código del programa debe ejecutarse en algún momento. Es decir, el virus debe posicionarse de tal manera que pueda tomar el control del ordenador al menos una vez tras la infección inicial. Si no se cumple esta regla, el virus nunca podrá replicarse ni activarse. Un virus no puede adjuntarse aleatoriamente a los programas; su programación debe reflejar aspectos de la estructura general de los programas anfitriones y adjuntarse de forma que se ejecute siempre que se ejecute el programa anfitrión.

Los virus invariablemente se posicionan de manera que se ejecuten antes que el programa anfitrión. Algunos investigadores han propuesto modelos para virus que no tienen que seguir esta regla. Estos modelos demuestran que tales virus son posibles, pero se limitan a infectar programas cuya estructura se conoce de antemano. Dichos virus solo pueden insertarse en programas con la misma estructura, algo improbable en un entorno informático promedio. También se han propuesto modelos para virus que interceptan direcciones de bifurcación internas aleatorias dentro de los programas y se insertan en esas ubicaciones lógicas. Sin embargo, hasta la fecha, ningún virus de este tipo ha funcionado en el mundo real, debido a la imprevisibilidad del entorno operativo en el momento de la interceptación de la bifurcación.

La necesidad del virus de posicionarse (o al menos partes de sí mismo) en áreas específicas del programa del huésped es una limitación que también pueden aprovechar los sistemas antivirales.

En resumen, los virus tienen tres debilidades principales que ayudan a construir defensas contra ellos. Deben:

(1) Infectar programas, (2) se posicionan —al menos parcialmente— en áreas limitadas y específicas de dichos programas, y

(3) mediante el acto mismo de la infección, invariablemente provocan algún cambio en el sistema que aumenta la probabilidad de que sean descubiertos. Estas debilidades pueden no parecer muy significativas, pero en el contexto de un entorno informático promedio, pueden ser explotadas eficazmente.

Para explicar cómo se pueden aprovechar estas tres vulnerabilidades, debemos examinar cómo los distintos tipos de sistemas antivirus se benefician, cada uno a su manera, de una o más de estas debilidades.

Sistemas Antivirales

Existen casi tantas maneras de desarrollar software antivirus como tipos de virus. Sin embargo, en última instancia, los programas antivirus se dividen naturalmente en tres categorías diferentes:

1 ■ Productos de Prevención de Infecciones. Estos productos detienen los procesos genéricos de replicación viral y evitan que los virus infecten inicialmente el sistema. Por lo general, no son específicos para virus individuales, sino que protegen contra todas las clases de virus.

2 ■ Productos de detección de infecciones. Estos productos detectan una infección poco después de que se haya producido. Generalmente identifican el área específica del sistema que se ha infectado. Al igual que los productos de Clase 1, identifican infecciones virales genéricas en lugar de virus individuales.

3 ■ Productos de identificación de infecciones. Estos productos identifican cepas virales específicas en sistemas ya infectados y, por lo general, eliminan el virus, restaurando el sistema a su estado anterior a la infección.

Algunos investigadores subdividen esta categoría en dos clases: productos de identificación de infecciones y productos de eliminación de infecciones. La clasificación más simple es preferible, ya que un producto de eliminación sin un elemento de identificación carece de sentido. (Al momento de escribir este texto, no tengo conocimiento de ningún producto que separe realmente ambas funciones).

Productos de prevención de infecciones

Los programas de prevención de infecciones permanecen residentes en la memoria del ordenador en todo momento. Monitorizan toda la actividad del sistema, buscando signos característicos de replicación viral. Estos programas filtran los accesos a archivos (lecturas y escrituras) intentados por otros programas. Monitorizan los programas que se cargan y descargan de la memoria, así como todas las solicitudes de servicios del sistema operativo. Estos programas supervisan las tablas del sistema y las estructuras de control. Prácticamente todos los aspectos de la actividad del sistema se monitorizan y verifican en tiempo real.

Todos estos programas antivirus esperan el mismo evento: una señal de que un virus está intentando infiltrarse en el sistema. Esta señal casi siempre se presenta de la misma forma: un intento de acceso a uno de los programas ejecutables del ordenador (el segmento de arranque, el sistema operativo o una aplicación). Cuando se intenta dicho acceso, el programa bloquea el sistema (antes de que el virus pueda completar su replicación) y muestra un mensaje de advertencia al usuario. De esta forma, el virus puede eliminarse de forma segura.

¿Cómo distingue el programa antivirus entre un virus que intenta acceder a un programa y cualquier otra función inofensiva que intente hacer lo mismo? ¿En qué se diferencia el acceso del virus del de un procesador de textos o un programa de base de datos? La respuesta es que, normalmente, un procesador de textos nunca intentaría acceder ni escribir en otro programa. El software de procesamiento de textos solo accede a archivos de datos, no a archivos de programas ejecutables. Tampoco lo haría un sistema de base de datos, una hoja de cálculo o un programa de gráficos. De hecho, las modificaciones o accesos normales a segmentos ejecutables de un ordenador son extremadamente raros. Dichos accesos solo se producirían si el programa en cuestión se estuviera reemplazando por una versión más reciente o si se estuviera instalando inicialmente en el ordenador.

Al menos, esa es la teoría. Sin embargo, en la práctica, existen varias funciones normales del sistema informático que pueden hacer que este tipo de programas antivirus crean que hay un virus presente cuando no lo hay en el sistema. Por lo tanto, el programa antivirus puede ser engañado. Cuando esto ocurre, se activa una «falsa alarma». Una de las medidas de la eficacia de este tipo de programas es la frecuencia de las falsas alarmas. Los programas bien diseñados y sofisticados presentarán pocas falsas alarmas. Los programas mal diseñados pueden causar tantas falsas alarmas que, al igual que otros procedimientos de seguridad con el mismo fallo, se vuelven inútiles.

Los programas de prevención también pueden ser engañados por los propios virus. Algunos virus utilizan mecanismos de infección diseñados específicamente para evitar ser detectados por este tipo de programas antivirus. Dichos virus emplean una técnica de acceso difícil de monitorear o prevenir. La técnica implica escribir directamente en el hardware que controla los dispositivos de almacenamiento, un proceso extremadamente difícil y que consume mucho tiempo. Pocos hackers tienen la competencia técnica para crear tales virus, pero el riesgo de infección por ellos existe, especialmente a medida que Los hackers son cada vez más hábiles.

Una desventaja final de los programas de prevención es que no pueden evitar las infecciones del segmento de arranque. Esto se debe a que las infecciones del segmento de arranque se producen al encender o reiniciar el sistema. En ese momento, el programa de prevención de infecciones aún no se ha cargado y, por lo tanto, no puede actuar. Esta es una limitación arquitectónica fundamental de este tipo de dispositivos de protección, y es poco probable que los avances técnicos la superen.

A pesar de estos tres problemas, los programas de prevención de infecciones pueden ofrecer un margen de seguridad estadísticamente atractivo para el usuario medio. Puede ser mejor detectar y prevenir, por ejemplo, el 80 % de todas las infecciones, que no detectar ninguna.

Programas de detección de infecciones

Los programas de detección de infecciones funcionan según el principio de que las infecciones virales pueden detectarse después de que se produzcan, localizando los rastros de la infección. Estos rastros son las modificaciones o cambios que los virus realizan en el sistema durante el proceso de infección. Los programas de detección de infecciones suelen ser más fiables que los programas de prevención de infecciones y son eficaces contra todas las clases de virus.

Funcionan de dos maneras: mediante la "vacunación" o mediante la técnica de "instantánea".

Programas de Inmunización

La vacunación funciona modificando los programas del ordenador para incluir un mecanismo de "autodiagnóstico" en cada uno. Este mecanismo utiliza una suma de comprobación u otra técnica matemática o algorítmica para determinar si se ha alterado la secuencia de instrucciones del programa. El autodiagnóstico se ejecuta cada vez que se inicia el programa; comprueba si se han realizado cambios desde la última ejecución. Si el programa presenta alguna diferencia, se asume una infección por virus y se muestra una advertencia al usuario.

La vacunación tiene varias desventajas importantes. La más importante es que muchos programas críticos del ordenador, incluido el segmento de arranque, son difíciles, y en muchos casos imposibles, de vacunar eficazmente. Por supuesto, los virus del segmento de arranque generalmente reemplazan todo el segmento de arranque. En tal caso, el sector de arranque vacunado nunca llega a ejecutarse después de la infección y, por lo tanto, no tiene la oportunidad de advertir al usuario. Aunque pudiera ejecutarse, la autocomprobación no detectaría ningún problema, ya que el virus solo movió el segmento de arranque y no lo modificó de ninguna otra manera.

El segundo problema de la vacunación es que, por muy eficaz que sea el algoritmo de autocomprobación, un virus que infecta un programa vacunado invariablemente toma el control antes de que se ejecute el mecanismo de autocomprobación. Desde esta posición, el virus aún puede replicarse, posiblemente activarse e incluso, en el caso de virus sofisticados, desactivar el mecanismo de autocomprobación antes de que este se ejecute.

A pesar de estos inconvenientes, la forma de vacunación de los productos de detección de virus aún puede proporcionar cierto grado de protección. Al igual que con los productos de prevención de infecciones, es mejor proteger parcialmente que no proteger en absoluto.

Programas de instantáneas

Quizás la forma de protección más eficaz disponible actualmente la proporcionan los productos de detección de infecciones que utilizan una técnica de instantáneas eficiente. Los programas de instantáneas funcionan registrando toda la información crítica del sistema en el momento de la instalación inicial. Luego, se ejecuta una rutina de verificación periódicamente para comparar el estado actual del sistema con la instantánea original. Si se detectan rastros de infección, se identifica el área afectada del ordenador y se notifica al usuario.

Los programas de instantáneas tienen la ventaja de que permiten comprobar, cotejar y comparar simultáneamente todas las partes del sistema. Gracias a esto, se pueden detectar infecciones del sector de arranque, virus del sistema operativo y virus genéricos. Otra ventaja es que el archivo de instantánea y el programa de comparación se pueden mantener fuera de línea, es decir, fuera del ordenador, donde los virus no pueden manipular la instantánea ni el programa de comprobación.

Las técnicas de instantáneas han sido las más eficaces hasta la fecha para identificar la mayor variedad de infecciones virales poco después de su aparición. Un posible inconveniente de algunos programas de instantáneas es que las técnicas de verificación (sumas de comprobación u otros algoritmos matemáticos) pueden tardar bastante tiempo en comprobar todo el sistema. Algunos productos más recientes emplean técnicas innovadoras para acelerar este proceso. Algunos productos utilizan una técnica denominada «mapas de direcciones de rama» para comprobar los programas ejecutables en busca de rastros de infección. Estos programas son capaces de verificar sistemas informáticos completos con cientos de programas, incluyendo el segmento de arranque y todos los archivos del sistema operativo, en cuestión de segundos.

Las rutinas de verificación que utilizan los programas de instantáneas se pueden ejecutar en cualquier momento para comprobar si un virus ha infectado el ordenador. Sin embargo, la mayoría de los programas también ofrecen una función de verificación automática. Esta función se ejecuta periódicamente, por ejemplo, cada vez que se enciende o se reinicia el ordenador. Si hay una infección presente,

Estos programas de análisis de instantáneas identifican el programa o área específica del sistema que ha sido infectada. La eliminación suele ser un proceso sencillo en el caso de la mayoría de los virus y normalmente se documenta en el manual del producto.

Estos programas parecen ser tan efectivos, eficientes y seguros como lo permite la tecnología actual. Existe un pequeño riesgo de que el virus se active antes de que se ejecute el programa de detección. Por ejemplo, un virus que se activa ese mismo viernes por la mañana podría atacar. En tal caso, el programa de análisis no se ejecutaría hasta que se encienda o reinicie el ordenador, normalmente ese mismo día o en otro momento. Mientras tanto, el virus ya se habría activado y causado el daño. Sin embargo, la probabilidad de que esto ocurra es muy baja.

Programas de identificación de infecciones

Las dos clases anteriores de productos antivirus se utilizan para prevenir infecciones o para alertar poco después de que se haya producido una infección. Pero ¿qué ocurre si el ordenador ya está infectado y el virus se ha propagado por todo el sistema? ¿Qué pasa si se ha activado, ha destruido una gran cantidad de datos y ha infectado todos los disquetes almacenados? En tales situaciones, es demasiado tarde para la prevención, mientras que la detección ha sido demasiado obvia.

Cuando esto sucede, entra en juego la tercera categoría de productos antivirus. Estos programas buscan cepas específicas de virus en cada rincón del sistema. Cuando las encuentran, las desactivan o las eliminan por completo.

Estos programas funcionan buscando características específicas de cada cepa viral. Pueden escanear el sistema en busca de un segmento específico del código del virus, o buscar etiquetas de virus o marcas de derechos de autor. Pueden buscar modificaciones específicas de interrupción del sistema que sean exclusivas del virus, o nombres de archivo específicos o datos clave en direcciones de disco fijas. Cuando se encuentra cualquiera de estas marcas, el virus se localiza y se erradica.

Estos programas parecen, a primera vista, la solución definitiva. Sin embargo, todos estos programas tienen un factor limitante fundamental: los diseñadores necesitan una muestra funcional del virus que intentan combatir antes de poder diseñar el programa antiviral. Esto significa que, para crear un programa eficaz de identificación de virus, primero hay que identificar el virus. Luego, debe aislarse, capturarse y desensamblarse, un proceso que puede durar meses. A continuación, debe analizarse y diseñarse un desinfectante eficaz. El diseño debe implementarse y el producto final debe envasarse y comercializarse. Este ciclo completo puede durar meses o incluso años desde que el virus se introduce en circulación.

Por consiguiente, los productos de identificación de infecciones siempre irán un paso por detrás en la lucha contra los virus. Esto no significa que no

(162 páginas faltantes)

tengan cabida en la batalla; al contrario, estos programas han demostrado ser invaluables en grandes organizaciones que han sido víctimas de cepas virales particularmente comunes y conocidas para las que existen productos de identificación eficaces. En una época en la que cientos de ordenadores y miles de discos pueden infectarse simultáneamente en una organización, la tarea de eliminar el virus a veces resulta ingente. Un programa que realice esta tarea es mucho más rápido, económico y eficaz que cualquier método manual de recuperación tras una infección.

Reseñas de productos

De hecho, a principios de 1989, existían más de sesenta productos comerciales que afirmaban ser eficaces para prevenir o detectar ataques de virus, y casi a diario aparecían nuevos.

Tras examinar más de treinta productos antivirus, los autores han constatado una gran variabilidad en sus capacidades, facilidad de uso, eficacia y precio. Algunos productos ofrecen una protección sencilla y sin mantenimiento, centrada en detectar o eliminar virus. Otros proporcionan sistemas completos que incluyen registros de auditoría o informes detallados y requieren una considerable interacción por parte del usuario. Algunos productos son eficaces contra muchos virus. Otros solo pueden detener o detectar unos pocos. Algunos se venden por unos pocos dólares, y otros cuestan cientos, pero el precio a menudo no es un indicador de rendimiento.

Entonces, ¿qué puede hacer el usuario de ordenador? ¿Cómo puede tomar una decisión informada? Las reseñas de productos publicadas en las principales revistas de informática pueden ser útiles, pero rara vez se basan en pruebas exhaustivas realizadas por expertos en condiciones reales, y suelen ser muy subjetivas. En cualquier caso, gran parte de lo que se publica sobre todo tipo de productos informáticos se basa en información proporcionada por el fabricante, en lugar de ser el resultado de una investigación imparcial y experta. Esto puede no ser demasiado crítico cuando resulta relativamente fácil evaluar si un componente o programa de software propietario funciona correctamente.

Un producto antivirus es similar a un cinturón de seguridad para el coche: su uso se basa en gran medida en la confianza, y si tiene defectos ocultos, probablemente solo se descubrirán cuando sea demasiado tarde.

Al final de este capítulo se argumenta a favor de un programa nacional —o, mejor aún, internacional— para evaluar los productos antivirus. La Asociación de la Industria de Virus Informáticos (CVIA) trabaja activamente para lograr este objetivo. Mientras tanto, los usuarios principiantes deberían, como con cualquier compra importante de hardware o software, buscar asesoramiento experto e imparcial sobre los productos antivirus que mejor se adapten a sus necesidades.

Hay pocos expertos en virus, por lo que obtener dicho asesoramiento es difícil. Para ayudar a paliar esta carencia, los autores elaboraron la siguiente lista de los productos que han demostrado ser los mejores para detectar virus. Tras su experiencia con cientos de instalaciones infectadas, estos son los productos que recomiendan con seguridad, según las necesidades de cada usuario y su entorno operativo. Los precios están sujetos a cambios.

Los autores esperan que esta lista satisfaga las necesidades del lector o que le oriente para tomar la mejor decisión. Antes de tomar la decisión final de compra, le recomendamos revisar las secciones anteriores sobre protección antivirus. Antes de gastar un solo centavo, recuerde que la mejor defensa contra infecciones puede ser gratuita. La mayoría de las infecciones que se han producido podrían haberse evitado si las víctimas hubieran practicado técnicas informáticas seguras.

DISK DEFENDER

Para PC IBM y compatibles

Director Technologies
906 University Place
Evanston, IL 60201
312 491 2334
Precio: $240.00

Disk Defender es un dispositivo de hardware antivirus en forma de tarjeta adicional para PC IBM y compatibles. Este producto protege el disco duro contra el borrado o la modificación de programas o archivos de datos que no requieren cambios frecuentes. También protege contra virus que intentan conectarse a programas del sistema o aplicaciones, bloqueando sus intentos y proporcionando una indicación visual cuando se intenta escribir en un área protegida contra escritura.

Un interruptor conectado a la placa protege contra escritura todo el disco, solo una parte o ninguna. El interruptor se puede configurar, retirar y guardar en un lugar seguro. Además, la placa permite proteger contra escritura una parte del disco duro, mientras permite la escritura normal en otras áreas.

Disk Defender permite dividir el disco duro en dos particiones DOS activas, y el usuario puede designar un área o zona como de solo lectura o de lectura/escritura. Los indicadores luminosos de la caja del interruptor se iluminan cuando se intenta escribir en una partición protegida.

Disk Defender es uno de los antivirus más eficaces disponibles. Evidentemente, si un virus no puede acceder físicamente a su programa anfitrión, no puede infectar el sistema. El hardware de Disk Defender funciona según lo anunciado, pero tiene algunas desventajas. La instalación es bastante compleja y requiere una copia de seguridad de todos los datos y el formateo del disco duro. Posteriormente, se deben restaurar todos los datos y programas.

Disk Defender también requiere la reorganización de archivos y la reconfiguración de algunos programas si utilizan la unidad C para almacenamiento temporal. En consecuencia, se pierde cierta flexibilidad.

A pesar de sus limitaciones, Disk Defender es un producto fiable y muy recomendable.

PC SAFE

Para PC IBM y compatibles

The Voice Connection
17835 Skypark Circle
Irvine, CA 92714
714 261 2366
Precio: $4

PC Safe es un producto eficaz de Clase 1 (prevención de infecciones), fácil de instalar y usar. Como programa residente en memoria, monitoriza la actividad del sistema y busca actividades características de replicación viral. Comprueba los intentos de escritura en el sector de arranque, en cualquier controlador de dispositivo del sistema, en cualquier archivo del sistema operativo o en cualquier programa de aplicación. También monitoriza los intentos de acceso a datos críticos del sistema, como las tablas de atributos de archivos, y previene actividades destructivas como el formateo de discos.

PC Safe cuenta con varias características que lo hacen único entre los productos de Clase 1. Por ejemplo, muchos productos de Clase 1 no pueden distinguir entre un acceso aceptable e inaceptable a un programa ejecutable, como cuando el comando COPY de DOS sobrescribe un archivo ejecutable existente. Si bien esto es aceptable, muchos productos de Clase 1 interpretan este acceso mediante el comando COPY como un posible virus y muestran una advertencia. PC Safe es lo suficientemente inteligente como para diferenciar entre comandos COPY y virus reales.

Del mismo modo, algunos programas se modifican durante su ejecución. Estas son actividades normales, pero muchos productos de Clase 1 las detectan como tales. Estos falsos positivos resultan un inconveniente y, al igual que las alarmas antirrobo o contra incendios defectuosas, pueden provocar que se ignoren mensajes de error o advertencia legítimos. PC Safe genera muchas menos falsas alarmas que la gran mayoría de los productos de Clase 1.

PC Safe reduce aún más los problemas de los falsos positivos al permitir a Los usuarios pueden asignar listas de programas "seguros", como FORMAT o CHECKDESK, que de otro modo podrían activar la ventana de advertencia de virus.

PC Safe se puede activar o desactivar con una sola tecla de acceso rápido. También se puede desactivar durante la ejecución de un programa o proceso específico, si se desea. Una vez finalizado el programa o proceso, PC Safe se reactivará automáticamente.

Como todos los productos de Clase 1, presenta algunas desventajas, principalmente la incapacidad de prevenir infecciones en el sector de arranque, algo que ningún producto de Clase 1 puede lograr en la actualidad. También puede entrar en conflicto con otros programas residentes en memoria. Existe una notoria falta de estandarización para los programas residentes en memoria en el entorno de IBM PC, y cuantos más programas de este tipo se utilicen, mayor será la probabilidad de que se produzca un conflicto. Según la experiencia de CIVA, una de cada veinte instalaciones tiene un programa existente que entra en conflicto con PC Safe. Los conflictos se pueden resolver desinstalando PC Safe o el programa que entra en conflicto con él.

TRACER

Para PC IBM y compatibles

Interpath Corporation
4423 Cheeney Street
Santa Clara, CA 95054
408 727 4559
Precio: $49.95

Nota del editor: John McAfee dudó al principio en incluir un programa propio en esta lista de productos recomendados por temor a una aparente falta de objetividad. Sin embargo, es imposible omitir TRACER, el programa de detección de infecciones de Clase 2, ya que ha demostrado ser una de las herramientas antivirales más efectivas. John creó TRACER con el objetivo de desarrollar el mejor producto posible dentro de las limitaciones de la tecnología actual y la información disponible. Las pruebas de campo han mostrado resultados notables en el logro de dicho objetivo, pero, para garantizar una evaluación imparcial, Jim Cornell, de la National Bulletin Board Society, un ingeniero y diseñador de productos antivirales con amplios conocimientos y experiencia, ha evaluado TRACER para nosotros. Sus comentarios son los siguientes:

Cuando abrí el programa TRACER por primera vez y revisé la breve documentación, pensé que no había enviado el paquete completo. Acostumbrado a lidiar con interminables manuales para instalar y usar programas nuevos, espero que un buen programa requiera muchísimas instrucciones. TRACER me sorprendió gratamente. Solo tuve que insertar el disquete en la unidad y escribir la palabra "INSTALAR" para usar TRACER. La instalación creó un programa de verificación que se ejecuta automáticamente cada vez que enciendo el sistema o lo reinicio.

Ejecuté varios programas antivirus recopilados por el BBS y, sin excepción, TRACER los detectó todos. TRACER es un programa de detección de infecciones de Clase 2. No detiene las infecciones, pero las identifica poco después de que se produzcan. También indica qué programas o áreas específicas del sistema se han infectado, lo que simplifica el proceso de eliminación. Parece proporcionar una indicación de infección casi infalible.

TRACER se ejecuta en dos fases. La fase de instalación inicial registra automáticamente los parámetros de hardware y software del sistema, incluyendo los estados iniciales del vector de interrupción, las instrucciones del sector de arranque, los archivos DOS ocultos, los controladores de dispositivos y todo el código ejecutable del disco duro. También se registran las instrucciones de carga inicial, las direcciones de bifurcación y otros estados de los programas para cada programa en el disco duro. La fase de verificación se ejecuta cada vez que se inicia el sistema y comprueba todos los parámetros del sistema en busca de rastros de infección.

TRACER parece ser totalmente eficaz contra los virus más recientes que infectan los sectores de arranque del disco, así como contra los virus ocultos que dejan el tamaño del programa anfitrión y otros parámetros sin cambios tras la infección. En definitiva, no he visto nada mejor.

Tras una búsqueda exhaustiva, logré encontrar algunos aspectos negativos. Un aspecto que podría mejorarse es la interfaz de usuario. Personalmente, prefiero que los elementos visuales, los mensajes, etc., se presenten en ventanas destacadas. Los mensajes de TRACER aparecen en la línea de comandos. No es un gran problema, pero este aspecto podría mejorarse. Además, cualquier cambio en el archivo CONFIG.SYS hará que TRACER detecte la presencia de un virus. Con frecuencia (dos veces al mes o más) modifico mi archivo CONFIG.SYS. Tras la modificación, debo reinstalar TRACER o aceptar su mensaje de advertencia cada vez que inicio el sistema. Aparte de esto, no encuentro ningún inconveniente. Es un producto excelente.

VIRUS-PRO

Para PC IBM y compatibles

International Security Technologies
515 Madison Ave.
Suite 3200 Nueva York, NY 10022 212 288 3102
Precio: Licencia de sitio únicamente; contacte con la empresa para obtener un presupuesto.

Virus-Pro es un producto de Clase 2 (detección de infecciones), pero es mucho más que un simple detector de virus. Incluye registros de auditoría sofisticados e información histórica que permiten rastrear el origen de una infección dentro de una organización y monitorizar el uso y la transferencia de programas entre ordenadores. El proceso de análisis requiere bastante tiempo y un administrador o coordinador de sistemas dedicado a Virus-Pro, pero es una excelente solución a nivel de sistema.

La función principal de Virus-Pro es supervisar el estado de los programas ejecutables en las unidades lógicas e informar sobre cambios y excepciones. Virus-Pro almacena cinco parámetros de cada archivo ejecutable u oculto en un archivo de análisis. Estos parámetros son:

* Nombre, extensión y ruta

* Tamaño en bytes

* Fecha y hora

* Atributos (oculto, sistema y solo lectura)

* Suma de verificación del programa

Además, el programa almacena información sobre la pista de arranque de la unidad lógica. Virus-Pro compara el archivo de análisis con un archivo de análisis anterior de la misma unidad lógica y con un archivo de referencia creado mediante análisis de disquetes de distribución de software individuales. Las diferencias o coincidencias en uno o más de estos cinco parámetros se utilizan para determinar la presencia de infección.

El software administrativo facilita al coordinador de VirusPro de una organización la preparación de disquetes para los coordinadores de sitio. Cada coordinador de sitio dispone de herramientas similares para crear disquetes de Virus-Pro para los usuarios de sus PC. Estos disquetes incluyen un programa de análisis y escaneo de disco. Los coordinadores utilizan un programa llamado WARNING para almacenar los datos extraídos de los disquetes del proveedor en archivos de referencia, que un programa de análisis compara con los resultados del escaneo.

El análisis permite detectar virus, software pirata, versiones incorrectas de programas y otras inconsistencias relevantes para el coordinador. Dos programas administrativos del sistema gestionan los archivos maestros de los coordinadores de sitio y los usuarios de PC, imprimen listas completas con nombres, direcciones y números de teléfono, preparan los disquetes y ofrecen otras funciones administrativas.

Virus-Pro es un antivirus de sistema muy completo. Sin embargo, requiere más mantenimiento que los antivirus independientes y no detectó un virus del sector de arranque en el entorno de pruebas de los autores. A pesar de ello, se recomienda sin reservas como uno de los mejores productos integrales disponibles. Virus-Pro ofrece una alta fiabilidad en la detección de infecciones virales.

VIREX

Para Macintosh

HJC Software
P.O. Box 51816
Durham, NC 27717
919 490 1277
Precio: $99.95

Virex es uno de los mejores programas de Clase 3 disponibles para Macintosh. Detecta y elimina los virus más comunes de Macintosh, y su desarrollador se compromete a actualizarlo a medida que se identifiquen nuevas variantes de virus.

Virex es compatible con las computadoras personales Macintosh Plus, SE y II. Su diseño es excelente y su eficacia es notable. La documentación es sencilla e intuitiva; la instalación toma menos de cinco minutos. También dispone de ayuda en línea para obtener asistencia durante el uso del programa.

Virex funciona escaneando el disco seleccionado y buscando indicios característicos de infección. Si se detecta una infección, se notifica al usuario. Este puede entonces solucionar la infección manualmente o permitir que Virex elimine el virus automáticamente. Si se selecciona la eliminación automática, Virex sobrescribirá el virus y restaurará el sistema a su estado anterior a la infección. La detección y eliminación funcionan tanto en programas de aplicación como en archivos del sistema.

Existe la posibilidad de que los archivos de programa infectados se corrompan durante el proceso de eliminación, ya que algunas cepas de virus han sido modificadas por hackers y funcionan de forma ligeramente diferente. Esta incertidumbre puede confundir a Virex y causar problemas. Sin embargo, la corrupción es poco frecuente y, en cualquier caso, un programa que no se ejecute es probablemente preferible a un programa infectado. Los programas pueden reemplazarse en el disco desde el disquete original.

En resumen, Virex es un programa muy bien diseñado y eficaz.

Pruebas de productos antivirus

La avalancha de productos antivirus en el mercado y la complejidad de las numerosas cepas de virus han creado un verdadero problema para los usuarios de computadoras. ¿Cómo pueden saber cuáles son los mejores productos y los más adecuados a sus necesidades? Se necesita urgentemente un sistema formal, completo y bien estructurado para validar los productos antivirus. Existen cuatro problemas principales que superar en este sentido:

1 • Conocimiento limitado. El conocimiento sobre los virus es limitado, y se concentra en un grupo muy reducido de personas. Pocas personas, e incluso empresas, tienen acceso a una biblioteca sustancial de virus vivos. Menos aún han realizado investigaciones exhaustivas sobre virus vivos, incluyendo su aislamiento, desensamblaje, análisis y clasificación. Sin embargo, una sólida base en análisis de virus es esencial para poder realizar una validación integral de los productos antivirales.

2 • Acceso limitado a herramientas de validación. Existe una amplia gama de simuladores disponibles, necesarios para probar la eficacia de los diferentes productos contra los virus existentes y las nuevas cepas que puedan producirse en el futuro. Estas herramientas son escasas y rara vez las distribuyen sus creadores.

3 • Recursos limitados. Interpath ha constatado que nu análisis exhaustivo, incluso de un solo producto antivirus, requiere una inversión considerable de tiempo y recursos.

El producto debe probarse frente a una gran cantidad de virus conocidos, y cada uno debe presentarse en diversos entornos de sistema. Un mismo virus puede reaccionar de distintas maneras con diferentes versiones del sistema operativo, programas residentes en memoria, tipos de disco, controladores de dispositivos instalables, rutinas de shell y aplicaciones en ejecución. Además, las pruebas simuladas requieren la manipulación de numerosos parámetros para cada entorno. En consecuencia, una prueba exhaustiva de un solo producto podría requerir muchos meses de trabajo. No es realista esperar que un pequeño grupo de personas pueda realizar pruebas exhaustivas en una gran cantidad de productos antivirus.

4 ■ Falta de estándares. Un número creciente de pruebas de productos antivirus realizadas hasta la fecha han utilizado estándares cuestionables para la definición de "virus". Otras han definido estándares de replicación viral que resultan poco razonables en un entorno informático práctico. Si las pruebas se realizan con estándares que no son generalmente aceptados, los resultados no son fiables.

Los problemas mencionados se ven agravados por la variedad de enfoques de los productos antivirus. Existen al menos tres clasificaciones diferentes de productos en el mercado, cada una de las cuales aborda un área distinta del problema de los virus. Para ser eficaz, cualquier prueba del programa debe tener en cuenta las diferentes áreas de aplicación que abarcan los productos y, posteriormente, proporcionar esquemas de validación para cada una. Evidentemente, los enfoques de validación para cada una de estas clases deberían ser radicalmente diferentes. Algunos productos existentes pueden ofrecer servicios en más de una de las clases mencionadas y deberían someterse a todas las pruebas correspondientes a las clases aplicables.

Además de las preocupaciones anteriores, existen dos áreas distintas de prueba que deben realizarse para los productos antivirus, independientemente de su clasificación. La primera, y quizás la más compleja, es la prueba de la eficacia de los productos para prevenir, identificar o eliminar virus informáticos. La segunda área es más subjetiva e implica una serie de factores humanos y consideraciones de integración del sistema, como la facilidad de instalación, la usabilidad de la documentación, el impacto en el entorno del sistema y la estandarización de las interfaces de usuario.

Un programa de pruebas razonable debería dividirse en al menos dos fases para abordar las divisiones anteriores. Es probable que las personas más capacitadas para determinar la eficacia de los productos no sean las mismas que evaluarían los factores del sistema.

La complejidad de las evaluaciones de productos exige extremar las precauciones al preparar y llevar a cabo cualquier programa integral de pruebas de productos antivirales. Si los virus siguen representando un problema creciente para la comunidad académica, el gobierno y otros usuarios de computadoras, las pruebas de productos antivirales deben considerarse una prioridad que requiere atención urgente. La Asociación de la Industria de Virus Informáticos ha realizado un trabajo pionero en el desarrollo de programas de prueba y validación para productos antivirales. Han creado un comité de evaluación en colaboración con profesores de informática de diversas universidades estadounidenses, e incluyen a varios revisores de la industria. Sin embargo, aún queda mucho por hacer.

Capítulo 13: El futuro: Posibles desastres

¿Podría un virus informático elegir al Presidente de los Estados Unidos?

Lamentablemente, sí, o a un gobernador, un congresista, un senador estatal o un sheriff. La aparición de los virus informáticos ha abierto una caja de Pandora de engaños electrónicos maliciosos, y las consecuencias son aterradoras.

Las computadoras ya han evolucionado más allá de ser simples herramientas que amplían la capacidad de realizar tareas humanas con mayor eficiencia. Ahora son una parte cada vez más importante y crucial de la sociedad industrializada. Se les confía información sensible, a menudo íntima, y se les otorga la responsabilidad de usarla para que puedan iniciar acciones que afectan directamente nuestras vidas. Evalúan la solvencia crediticia, monitorean la salud, envían —o deniegan— información según los perfiles almacenados en sus bases de datos. Las computadoras ordenan a las personas que paguen dinero y pueden desempeñar un papel importante en la selección de personal o en la aprobación de préstamos para vivienda, estudios universitarios o tratamientos médicos urgentes.

Las computadoras también reservan alojamiento para viajes y gestionan gran parte de las decisiones que evitan accidentes aéreos. Se utilizan tras bambalinas en la creación de medios culturales: radio, televisión, publicaciones de todo tipo. Nos ayudan a hacer realidad nuestros sueños y nos dan el poder de crear y administrar negocios. Nos comprometemos de por vida con parejas que las computadoras han seleccionado como las más apropiadas para nosotros. Los criminales usan computadoras para ser más eficientes en la destrucción de nuestras vidas a través de la adicción a las drogas. Un grupo de hackers de California... Una red computarizada de prostitución y narcotráfico que incluía una actualización diaria del precio de venta al público del crack. La democracia funciona gracias a complejas redes interconectadas de computadoras.

En todas partes, extendiéndose a casi todos los aspectos de nuestras vidas, las computadoras ejercen una poderosa influencia.

«Los virus podrían ser la última advertencia sobre nuestra creciente dependencia de las computadoras», escribió Steven Levy en Macworld tras temer que su sistema hubiera sido infectado.

«Nuestra cultura está dando un paso de gigante hacia lo desconocido. ¿Quién puede predecir el impacto secundario de la saturación total de computadoras?

«Quizás el temor a los virus nos esté dando la oportunidad de respirar hondo y evaluar nuestro entorno una vez más antes de lanzarnos a un futuro donde el manejo de datos sea tan importante que un joven de 14 años pueda sabotear electrónicamente todo lo que valoramos».

Expertos en informática están viendo una importancia en los virus que escapa a la mayoría de la población, incluyendo, en un extremo, a muchos de los hackers que crean estas infecciones y, en el otro, a aquellos completamente ignorantes de la informática, pero afectados por ella. En las últimas elecciones, más de la mitad de los votos se contaron electrónicamente, tres cuartas partes en algunos lugares. Hemos incorporado la eficiencia de la informática a los procesos democráticos más básicos. En la prisa por obtener información rápidamente y al menor costo, hemos expuesto el proceso electoral a la vulnerabilidad de la infección por virus informáticos.

Mientras investigábamos para este libro, justo antes del día de las elecciones de noviembre de 1988, preguntamos a hackers, a través de la red de la National Bulletin Board Society, si creían que las computadoras que registraban y contaban los votos podrían infectarse con un virus. Su respuesta fue un rotundo "sí", aunque muchos reflejaban la actitud de una gran parte del electorado y se mostraban apáticos respecto al resultado y a si la manipulación de datos para llevar a Bush o a Dukakis a la Casa Blanca tendría realmente algún impacto en el futuro.

Un hacker comentó: "He..." Nunca he visto un ordenador que gestione las votaciones, pero si usa electricidad y ejecuta programas, podría infectarlo con un virus en una semana; en el exterior, en diez días.

Este participante fue uno de los muchos que no creían que manipular las elecciones fuera una buena idea y no lo recomendaba. Sin embargo, no tenía dudas sobre las posibilidades prácticas y admitió que necesitaría a algunos "ingenieros sociales" para recopilar la información necesaria para infiltrarse en el sistema de votación informatizado.

Otro comentó: "Sería una estupidez. Cualquiera con un mínimo de sentido común se habría dado cuenta de que, independientemente de quién gane, nada cambia. ¿Para qué molestarse?".

Pero alguien opinó que infectar los ordenadores electorales sería "el siguiente paso lógico en el progreso social".

"Creo, sin embargo, que no deberíamos programar el virus para que seleccione a un candidato específico. Más bien, deberíamos dejar que el virus decida. Una decisión electoral libre de sesgos emocionales y debilidades humanas es claramente necesaria y preferible a la situación actual".

Otro hacker retomó este tema. Consideraba que la posibilidad de infectar el sistema electoral era escasa y que la verdadera amenaza para el proceso de votación residía en el proceso en sí mismo; es decir, que el procedimiento del colegio electoral no reflejaba fielmente los verdaderos sentimientos del electorado. Sin embargo, compartía la opinión de que el potencial de los virus estaba lejos de haberse explotado por completo.

«La mayoría de los usuarios de computadoras consideran que los virus son destructivos y, en general, lo son», afirmó. «Un virus diseñado para alterar los resultados de una elección, en cambio, es un virus en su fase de desarrollo.

Esto se debe a que no solo hace lo que hacen otros virus tradicionales, sino que tampoco se manifiesta de la manera tan impactante que suelen hacerlo la mayoría de los virus. No borra un disco duro, sino que altera los datos».

“Creo que la mayoría de los virus se dedican a borrar discos duros porque los crean personas cuyo único placer en la vida es causar sufrimiento a los demás.

Algunos hackers creían que ya se había introducido un virus para distorsionar los resultados de las encuestas.

“Si crees que no se ha hecho, ¡eres más tonto de lo que pensaba!”, dijo. Creía que los códigos fuente ya habían sido manipulados “por algún loco” y que sería imposible comprobarlo con precisión.

Este hacker recomendó que él y sus compañeros contraatacaran e infectaran la zona que, según él, ya había sido manipulada.

“No es justo que la Mafia (o quien controle el código fuente) determine el destino de Estados Unidos”, afirmó. “Le corresponde a los tecnócratas, hackers y expertos en tecnología. ¡Escriban hoy mismo a sus representantes! ¡Legalicen el cracking!”

Varios hackers estuvieron de acuerdo. "Creo que sería una gran idea introducir un virus en el sistema informático electoral", comentó uno. "Ya es hora de que los genios de la tecnología tomen el control de este país. Basta con echar un vistazo de 30 segundos a los dos candidatos de este año para darse cuenta. Yo lo diseñaré para alguien si otro se encarga de implementarlo".

En el foro se debatió animadamente sobre las implicaciones prácticas.

"Solo se necesitaría que una persona tuviera acceso a cualquiera de las máquinas y al código de acceso", dijo una hacker con un seudónimo femenino. "Podríamos desmontarlo y documentarlo. Luego lo reparamos y lo volvemos a montar. Él quiere ser Secretario de Defensa. El único problema que veo es cómo conseguir que nuestros nombres aparezcan en la papeleta".

"No creo que haya ninguna duda sobre la posibilidad de infectar los datos electorales", dijo otro hacker. “Todo dependería de la calidad de tus recursos. Creo que necesitarías a alguien dentro, alguien con al menos contacto directo con el hardware.

“Puedes apostar a que la infección fue un factor a considerar al configurar el sistema de sondeo informático. Para mantener la verificación cruzada de los saldos, lo único que se podía hacer era afectar los datos en general, no datos específicos como en un recuento particular.

Así que tendrías que contar con muy buenos recursos, incluyendo tiempo. Pero estoy seguro de que es posible. Sin embargo, creo que las consecuencias de ser descubierto serían un gran elemento disuasorio. Personalmente, considero cualquier tipo de participación en la infección como traición. Yo, por mi parte, iría tras el responsable, y no creo que me hubiera pasado gran cosa si lo hubiera atrapado.”

Otro detractor del concepto seguía convencido de que era posible. Tenía un amigo que había logrado hackear un sistema informático de medición de audiencias que procesaba encuestas de opinión pública y mediciones de audiencia de emisoras de radio.

Consiguió aumentar la audiencia de varias emisoras de radio en más del 100% gradualmente (a lo largo de un año) para que no resultara sospechoso. Según me comentó, todos los sistemas de encuestas de opinión están informatizados y pueden ser hackeados. Dijo que sin usar un virus sería más difícil. Creo que podría hackear los sistemas de encuestas políticas con un virus.

Algunos hackers plantearon varios problemas técnicos que dificultarían la interferencia en las encuestas, pero ninguno los consideró insuperables. Una sugerencia fue una función aleatoria dentro del virus que podría ajustarse para que los votos en algunos distritos electorales permanecieran intactos mientras que otros resultados se manipulaban para asegurar la victoria de un candidato determinado. Otro problema a superar era introducir instrucciones específicas sobre las próximas elecciones en un sistema de votación informatizado, incluso si ya estaba infectado con un virus.

La descripción detallada de esos obstáculos provocó la mordaz respuesta de que «cualquiera podría haber pensado en la función aleatoria. ¡Es trivial!».

«Si presentamos al Capitán Crunch como candidato por voto escrito a la presidencia y va perdiendo por 0,0001 frente a 99,999, ¿cómo se explica su aplastante victoria?». "Esto huele a pescado".

Existía un considerable apoyo a la idea de que la manipulación electoral no sería encubierta, sino un acto manifiesto de sabotaje o una maniobra política. Entre las sugerencias se incluía el uso de un virus para asegurar que no se registraran votos para ninguno de los candidatos, o que uno de ellos obtuviera todos los votos, "o convertir a Bullwinkle y Rockie en el próximo presidente y vicepresidente".

Se pensaba que el sistema podría ser cifrado, quizás por un terrorista o un anarquista, quien dejaría un mensaje como: "Saludos del Ejército de Liberación Simbionés".

Tuvimos cuidado de buscar estas reacciones a la manipulación electoral mediante el uso de virus una vez que fue evidente que los hackers ya estaban considerando tal posibilidad, evitando así estimular un nuevo desafío. Las respuestas indicaron que el pensamiento de los hackers sobre este tema no solo estaba muy avanzado, sino que existía un amplio conocimiento de la vulnerabilidad del sistema actual.

Uno de los aspectos más inquietantes de las elecciones informatizadas es que los códigos fuente, el software básico que hace posible el recuento electrónico de votos, solo son conocidos por los contratistas que los producen. Las agencias gubernamentales locales que supervisan las elecciones no realizan un control adecuado.

Como señaló Ronnie Dugger en un exhaustivo reportaje para The New Yorker: «La mayoría de los funcionarios locales que presiden las elecciones informatizadas desconocen cómo sus sistemas contabilizan los votos y cuándo las realizan».

Aunque certifican que los resultados electorales son correctos, no pueden saber con certeza si lo son.

Aunque todos esos funcionarios fueran expertos en informática, tuvieran acceso a los códigos y fueran competentes para supervisar todas las actividades informáticas relacionadas con nuestras elecciones, aún no podrían estar seguros de que los resultados no fueran manipulados por un virus. El sistema del colegio electoral implica que bastaría con desviar un número relativamente pequeño de votos de un candidato a otro para que el presidente de los Estados Unidos no reflejara la voluntad de la mayoría de su pueblo.

Un error de programación en Montana durante las elecciones de 1968 provocó la transferencia de votos entre Nixon y Humphrey. Cuando Price Waterhouse evaluó un sistema computarizado de conteo de votos con tarjetas perforadas en 1970, descubrió que era más fácil de manipular que las máquinas mecánicas. Desde entonces, ha habido muchos otros casos que generan serias dudas sobre la precisión y la seguridad del voto computarizado. La aparición de virus sofisticados aumenta enormemente el riesgo de que los resultados electorales se manipulen de forma indetectable. Hay muchas personas con la competencia técnica y la motivación política para llevar a cabo tales actos, ya sea por iniciativa propia o a instancias de intereses creados. como gobiernos extranjeros.

Si la democracia misma puede ser subvertida por virus informáticos, entonces cualquier otra área de la actividad informática también es vulnerable. El apocalipsis electrónico tal vez nunca ocurra, pero podría estar cerca. Otro resultado alarmante de nuestra encuesta sobre opiniones de hackers fue la forma en que la discusión en el foro pasó rápidamente de la manipulación electoral a una amplia gama de actividades fantasiosas de siembra de virus.

«Preferiría infectar las computadoras de tomografía computarizada para que todos los pacientes varones aparecieran con cáncer testicular. Desvirgarlos es más importante que quién gane unas elecciones» fue una respuesta que parece superficialmente frívola, pero que subraya actitudes inquietantes que podrían traducirse en actividades realmente peligrosas.

Otro hacker sugirió que los mejores objetivos para la infección por virus son las compañías farmacéuticas. Describió un plan para sustituir la cocaína por aspirina en el procesamiento de medicamentos, teorizando que, dado que toda la mezcla de medicamentos está controlada por computadora y basada en software, entonces debe ser vulnerable a los virus. Uno de ellos tenía ideas para sabotear los sistemas de control de tráfico aéreo, pero por el momento se concentraría en ganar 180.000 dólares al año desviando pequeñas cantidades de los intereses anuales de las cuentas bancarias de los clientes. Puede que estuviera bromeando, pero este tipo de fraude ya se ha producido, y los virus informáticos dificultan enormemente su detección.

Hubo algunas respuestas detalladas que demuestran una vez más el amplio potencial de infección por virus y la virulencia de la imaginación de los hackers que pueden crearlos y propagarlos.

Entre estos comentarios se incluía la preocupación por la seguridad del software comercial propietario, que hasta ahora ha tenido pocos problemas de infección por virus. Sin embargo, un hacker hizo hincapié en nuestras advertencias anteriores sobre los peligros inherentes al procedimiento establecido para las pruebas beta. Un nuevo software propietario no puede lanzarse al mercado sin extensas pruebas beta en condiciones reales de uso para detectar errores y determinar su rendimiento al interactuar con otras aplicaciones, como hojas de cálculo y procesadores de texto.

Un hacker había planeado utilizar el método de prueba beta para infectar más de 30 millones de ordenadores en un periodo de tres años. Se convertiría él mismo en probador beta, lo cual no es difícil, ya que los proveedores de software siempre buscan más usuarios para probar sus programas. Informaría de cualquier problema a los proveedores y les enviaría una copia de su programa que no funcionaba correctamente con el prototipo para que pudieran realizar los procedimientos de depuración habituales. Esa copia contendría un virus oculto que infectaría el ordenador del departamento de atención al cliente. Este departamento enviaría el programa depurado, aún con el virus oculto, al departamento de ingeniería del proveedor, infectando también sus ordenadores. A partir de ese momento, cada nuevo producto que saliera de las instalaciones del proveedor contendría el virus. Si se multiplica esta secuencia de infección entre varios proveedores líderes, las consecuencias podrían ser enormemente perjudiciales.

«En tres años, mi virus infectará más de 30 millones de ordenadores», declaró el hacker que ideó el plan. “Digamos que mi virus está diseñado para alterar los datos poco a poco durante un año después de su activación y luego, simultáneamente en todo el sistema, destruirá todos los datos, incluido el disco duro.

“¿Acaso alguien cree que esto no va a suceder?

“Mi proyecto de virus favorito serían los ordenadores con semáforo”, dijo otro hacker. “Solo hay tres Hay empresas que suministran estas computadoras y han suministrado más de 70 millones. Tengo un amigo que trabaja para uno de estos proveedores. Simplemente modificamos el compilador y, de repente, podemos hacer que todos los semáforos del país se pongan en verde en ambos sentidos al mediodía de un viernes, algún día de estos. Suavizamos la curva de accidentes proyectada y predijimos un mínimo de 18 millones de accidentes de tráfico simultáneos. Paralizaría todo. Un atasco total en todo el país.

“Ahora bien, mi otro amigo trabaja para [una compañía telefónica]. Puede programar sus centrales telefónicas con los ojos vendados desde seis kilómetros de distancia usando una lata y una cuerda. Creó un programa ingenioso de solo 14 líneas de código que podía ocultarse en cualquier número marcado.

“En otras palabras, llamas a tu madre y la saludas. El virus se activa. La siguiente persona que marque un número, digamos una agencia de crédito que intenta cobrarle a un vagabundo, se conecta con tu madre, que a su vez está conectada con la persona a la que quería llamar, pero todas las llamadas seguirían pasando por Simple.

"Necesitamos lanzar ambos virus con la misma fecha de inicio. De esa forma, cuando los 18 millones de accidentes de tráfico ocurran simultáneamente al mediodía del viernes, nadie podrá llamar a la policía."

¿Descabellado? Por supuesto, existen muchos obstáculos físicos y electrónicos que superar para implementar un escenario tan descabellado, pero merece una seria consideración, ya que aún no hemos encontrado un sistema completamente seguro e inmune al 100% a las infecciones por virus.

Alguien, en algún momento, tiene que escribir el software original que permite el funcionamiento de una computadora. Ese software suele actualizarse. A lo largo de su vida útil, las computadoras se nutren de datos y programación. En prácticamente cada etapa de la actividad informática, existe la posibilidad de infección por virus.

Millones de usuarios de computadoras, tanto personales como comerciales, se ven privados de toda la información disponible para las agencias gubernamentales y las grandes corporaciones debido a la restricción del flujo de información.

La Agencia de Seguridad Nacional (NSA), con sede en Fort Meade, Maryland, investiga activamente virus informáticos, pero mantiene un hermetismo absoluto sobre el tema, lo que genera considerable especulación y aprensión entre los usuarios de computadoras, quienes deberían recurrir a la NSA y otras agencias gubernamentales en busca de liderazgo y ayuda práctica. La Ley de Seguridad Informática de 1987 limitó las facultades de la agencia, restringiendo su capacidad para imponer estándares de seguridad en todas las computadoras empresariales estadounidenses. La NSA continúa actuando con cautela, sin compartir gran parte de su valiosa información sobre virus con quienes también están en riesgo. Es comprensible la necesidad de secretismo de la NSA, ya que se la concibe como una agencia unidireccional que recopila información importante para la seguridad nacional y no tiene la obligación de divulgar inteligencia ni de posiblemente ayudar a elementos hostiles contra nuestro gobierno, los intereses empresariales y la sociedad en general. Sin embargo, el problema de los virus informáticos plantea una serie de interrogantes fundamentales sobre la protección de la información en caso de crisis; existen importantes implicaciones nacionales e internacionales, y la solución a un ataque viral de gran magnitud puede depender de la confianza y la cooperación.

En muchos aspectos, los virus informáticos podrían convertirse en una prueba de fuego para nuestra actitud, a veces obsesiva, hacia la protección de secretos, tanto por parte del sector comercial como del gobierno. El problema de la seguridad informática internacional se ve agravado por el deterioro de las relaciones entre el sector privado, las agencias gubernamentales y los gobiernos extranjeros, lo que dificulta el intercambio de información sobre virus informáticos. Existe una gran desconfianza que frena el desarrollo de métodos eficaces para restringir la creación e infección de virus, así como otros asuntos de seguridad. La revista Government Computer News reflejó esta situación en su informe sobre la actitud de las empresas ante los intentos de la NSA de imponer estándares nacionales de seguridad informática empresarial. La revista señaló que las empresas temían que se incorporaran códigos de acceso secretos al software del sistema aprobado por la NSA, de modo que el propio gobierno pudiera espiar sus actividades.

Se ha generado una situación lamentable en la que las necesidades de seguridad informática, los intereses percibidos de las agencias gubernamentales, la libertad de información y la privacidad entran en conflicto de una manera que será muy difícil de conciliar. Hemos experimentado un conflicto similar al establecer estándares para realizar pruebas de detección de drogas. Así como la incapacidad para alcanzar compromisos aceptables entre diferentes puntos de vista ha dificultado la lucha contra los problemas de drogas, tabaco y alcohol, la discordia está frenando el progreso en la lucha contra el problema de los virus informáticos.

Amenazas

Privacidad

Muchos agentes gubernamentales trabajan arduamente tras bambalinas para obtener acceso a sistemas informáticos empresariales y de otro tipo en busca de información; sostienen que es de interés público que conozcan estos sistemas. Más allá de las consideraciones de privacidad, estos esfuerzos pueden agravar los problemas de seguridad.

Por ejemplo, la División de Control de Juegos de Nueva Jersey ha propuesto regulaciones para otorgar a los agentes acceso directo a todos los registros informáticos de los casinos. Once casinos de Atlantic City se unieron a defensores de la privacidad en una inusual alianza para oponerse a estas propuestas. El caso de Nueva Jersey es solo uno de los muchos ejemplos de agencias gubernamentales que buscan facultades para realizar inspecciones indiscriminadas con el fin de comprometer información en sistemas informáticos empresariales y de otro tipo. Otorgar dicho acceso a cualquier persona inevitablemente debilita la seguridad de un sistema y lo hace más vulnerable tanto a infecciones por virus como a delitos informáticos.

Los legisladores tendrán que tomar decisiones similares —pero mucho más complejas— sobre estos temas que las que tomaron sobre las escuchas telefónicas. Las implicaciones son de gran alcance. A medida que crece la amenaza del virus, es posible que las agencias gubernamentales intensifiquen sus esfuerzos para imponer estándares de seguridad en sistemas informáticos independientes, comenzando por los sistemas estratégicamente sensibles operados o a los que acceden los proveedores de defensa. Por supuesto, para monitorear la seguridad, las agencias pueden reforzar los argumentos para acceder a los sistemas de otras personas, legalizando así el espionaje, con la amenaza del virus informático como excusa justificable.

Amenazas a la Democracia

El experto en informática Ted Nelson defiende con vehemencia la integridad de los datos informatizados desde su casa flotante en Sausalito, California. Nelson fundó el Proyecto Xanadu para cumplir el sueño de crear la base de datos literaria más grande del mundo, a prueba de manipulaciones, y es un portavoz destacado para muchos que consideran el acceso del gobierno a los sistemas informáticos una grave amenaza para la democracia. Forma parte de un grupo de la Costa Oeste dedicado a establecer un sistema público de archivos informáticos completamente independiente para prevenir lo que él considera un riesgo muy real de un mayor control gubernamental sobre la información. El concepto del Proyecto Xanadu y otras oportunidades prometedoras para usar las computadoras en beneficio de la humanidad podrían verse fácilmente comprometidas por la epidemia del virus. La amenaza no proviene únicamente del riesgo de infección, sino también de posibles cambios legislativos y restricciones en el uso de las computadoras, como consecuencia de la necesidad de proteger los sistemas contra ataques de virus.

Una de las posibilidades más preocupantes es que el uso indebido de redes y foros para difundir material antisocial, como pornografía o ideas políticas extremistas, se agrave al combinar estas actividades con programas maliciosos que obliguen al usuario a acceder a dicho material. Ya se está proponiendo legislación para impedir que las transmisiones por fax —un sector en auge de las comunicaciones electrónicas— se utilicen para difundir correo basura no solicitado.

Una situación aún peor sería aquella en la que un sistema informático fuera atacado por un virus que no solo destruyera los datos, sino que además los reemplazara con material ofensivo. Esto no es una idea descabellada. Existe una forma particularmente desagradable de "infección" que circula ilegalmente en foros de Alemania Occidental, lo que vuelve a poner de relieve la cuestión de si estos deberían estar sujetos a controles sobre el contenido del material que difunden. Entre los videojuegos neonazis que circulan en foros alemanes se encuentra uno con la voz sintetizada del ministro de propaganda de Hitler, Joseph Goebbels, y otro llamado "Limpiando Alemania", que otorga puntos por asesinar a homosexuales, ecologistas y judíos. El Ku Klux Klan u otro grupo extremista podría utilizar las redes sociales en Estados Unidos de forma similar. No se trata de una cuestión teórica que afecte a una minoría. Según algunas estimaciones, en una década aproximadamente, alrededor del 70% de los hogares estadounidenses contarán con ordenadores personales, muchos de ellos conectados a redes.

Es necesaria una legislación más estricta y controles de seguridad más rigurosos, y estos no pueden ser efectivos sin cierto grado de intervención gubernamental en lo que hasta ahora ha sido un entorno informático sin control. La censura o la restricción de las actividades en los foros públicos es una posibilidad, pero tales medidas presentan los mismos aspectos reprobables que las restricciones a la libertad de prensa o radiodifusión.

Sería ingenuo pensar que no se producirá al menos algún tipo de intrusión gubernamental en el entorno informático. Proteger la integridad informática se ha vuelto al menos tan importante como proteger los sistemas públicos de agua. Las primeras víctimas probables son el IRS y el FBI, las agencias gubernamentales que interactúan más extensamente con elementos criminales. Tienen motivos particularmente buenos para preocuparse por los virus, ya que las infecciones podrían ayudar a los delincuentes simplemente por su capacidad de destruir datos. Una auditoría del IRS podría resultar muy costosa.

Paralizada por un ataque de virus, una de las defensas más efectivas del crimen organizado contra una investigación del FBI podría ser la infiltración de virus en los archivos pertinentes. Estos virus podrían ser atacados con relativa facilidad y autodestruirse, destruyendo simultáneamente las pruebas de la fiscalía y las de sus propias actividades.

Anteriormente se examinó la posible subversión de la democracia a través del proceso electoral; ahora también nos enfrentamos a intentos de subvertir el proceso judicial. De hecho, esto ya está ocurriendo, y es casi imposible probar cuándo sucede. Kevin Mitnick, el hacker de Los Ángeles acusado de infiltrarse en el sistema de Digital Equipment, había sido condenado siendo menor de edad por piratear el sistema de Pacific Bell. El agente de libertad condicional en ese caso le desconectó el teléfono, aunque Pacific Bell lo desconocía, y el juez determinó que su historial crediticio informatizado había sido dañado sin ninguna explicación racional. Los registros de una condena posterior de Mitnick desaparecieron de los archivos informáticos de la policía.

Ejemplos como estos solo evidencian las oportunidades más obvias para manipular cualquier tipo de datos informatizados que resulten atractivos para los delincuentes. Digital gastó 4 millones de dólares en reparar su sistema tras la intrusión, por lo que el caso acaparó los titulares. Los incidentes de manipulación de datos sutil e invisible —o robo de datos—, en los que los virus son tan expertos, no se denuncian.

Cómo proteger las libertades públicas al tiempo que se ejercen los controles necesarios sobre la informática no autorizada se ha convertido en un tema crucial, cuya urgencia se ve acentuada por el problema de los virus. Sería preferible que la industria informática o algún grupo de empresas informáticas independientes actuara como centro de información para recopilar y difundir datos sobre virus e imponer los controles necesarios. Pero esto es una utopía. Cierto grado de control gubernamental sobre la informática es necesario para abordar la epidemia de virus de forma coherente y eficaz, pero conlleva riesgos inherentes.

«Los sistemas de autenticación y verificación que no están bajo el control de los servicios de inteligencia representan la única esperanza para la libertad de información dentro de un siglo», afirma Ted Nelson en su libro Computer Lib (Tempus Books de Microsoft Press).

En 1984, de George Orwell, el protagonista trabaja en el Ministerio de la Verdad, donde los archivos y libros se falsifican continuamente para reflejar la visión oficial del mundo del partido gobernante.

Los archivos digitales prometen, por un lado, un acceso nuevo, enorme y económico a textos, imágenes, sonidos y los tesoros del mundo, para todos, de forma inmediata.

Por otro lado, los archivos digitales amenazan (como predijo Orwell) con convertirse en el único repositorio disponible de un sistema de historia manipulada, en constante cambio y cada vez más falso, donde nadie tiene acceso a la verdad.

Saboteadores electrónicos: Identifique a sus enemigos

Durante muchos años han existido libros con información para fabricar bombas, incluso dispositivos nucleares básicos. Pero construir un arma potencialmente ofensiva generalmente ha sido solo el primer obstáculo, y no necesariamente el más difícil, para cualquiera con intenciones maliciosas. El verdadero desafío y riesgo reside en hacerla llegar al objetivo. Esta situación cambió con la llegada de los virus informáticos. Por menos de 100 dólares, cualquiera puede comprar un módem y propagar un virus a través de líneas telefónicas públicas a redes que, a su vez, podrían infectar millones de sistemas. Un virus podría haber sido un arma mucho más eficaz que el ataque físico perpetrado por elementos de izquierda contra los sistemas informáticos de trenes en Japón para apoyar una huelga de trabajadores ferroviarios. Cortaron cables informáticos y colocaron más de 20 bombas en diversas instalaciones para interrumpir la red informática que operaba el sistema principal de control ferroviario. El transporte en Tokio y otras seis ciudades japonesas quedó paralizado. Un ataque de virus sofisticado podría haber tenido consecuencias aún peores y habría sido mucho más preciso en el daño causado, por lo que podríamos esperar ataques de virus contra servicios públicos controlados por computadora.

Terroristas en Europa, en particular miembros de la tristemente célebre Brigada Roja, llevaron a cabo una serie de ataques físicos con armas de fuego y bombas contra instalaciones informáticas de empresas y agencias gubernamentales. Una vez más, esto implicó mucha planificación, gastos y riesgos personales. Ahora, un programa de virus se ha convertido, en muchos sentidos, en un medio más fácil, barato y eficaz para el sabotaje informático. De hecho, la aparición de virus da una dimensión completamente nueva al sabotaje informático, con implicaciones que van más allá de los titulares alarmistas ocasionales que aparecen sobre noticias de prensa a menudo inexactas. El público está siendo engañado por algunas declaraciones oficiales en Estados Unidos y países europeos que minimizan la amenaza que representan los virus informáticos para los sistemas sensibles. En el pasado, cuando los casos de infección se han hecho públicos, los funcionarios han salido impunes al desestimar las preocupaciones sobre los riesgos involucrados porque pocos periodistas están bien informados sobre cómo Cómo funcionan los virus y qué daños pueden causar. Por ejemplo, la prensa de Washington puede ser muy eficaz al tanto de la situación política del país e investigar a fondo las noticias, pero permitió que los funcionarios dieran explicaciones vagas sobre cómo el virus Scores se propagó por los sistemas de la capital.

Lo importante no fue que un administrador informático de la agencia espacial cargara un disco infectado desde una cartelera electrónica pública, sino que el virus tardó solo cinco días en infectar otros setenta Macs en la agencia espacial. Luego, con alarmante rapidez, se introdujo en los sistemas de la Agencia de Protección Ambiental, las oficinas del Congreso y probablemente en otros lugares sensibles.

Si un virus penetra incluso en los niveles más bajos de seguridad de un sistema, puede avanzar a niveles cada vez más altos sin ser detectado, causando daños y abriendo puertas en ese sistema a pesar de los niveles de seguridad aparentemente cada vez mayores que hay que superar. Las agencias de inteligencia y defensa han demostrado a su propio personal que los virus pueden llegar hasta los niveles de seguridad más altos. Los procedimientos de seguridad que funcionaban bien antes de la aparición de los virus impiden que cualquier persona con un nivel de autorización inferior acceda a los archivos de alguien con una clasificación superior. Los datos controlados por los superiores son ilegibles, pero se les puede enviar información. Hasta ahora, un procedimiento satisfactorio, pero con la creación de virus potentes, los altos niveles de seguridad pueden ser vulnerados con relativa facilidad.

Quizás nunca se sepa hasta qué punto el virus Scores penetró en los sistemas de las agencias gubernamentales y del Congreso, ni qué otras infecciones virales se han producido con un potencial de daño mucho mayor que el que podría causar incluso una versión pirateada de Scores. Como comentó en su momento Harold J. Highland, editor jefe de Computers & Security: «un ataque viral más sofisticado podría ser devastador desde el punto de vista del terrorismo».

El profesor Fred Cohen calificó de «muy peligroso» el mensaje de las demostraciones gubernamentales: que los menos fiables de entre quienes tienen acceso a un sistema ahora tienen el poder de escribir programas que cualquiera puede usar. Los virus, afirmó, representan un nuevo nivel de amenaza debido a su sutileza y persistencia.

Sistemas sensibles

Existe otro aspecto de este problema que genera aún mayor preocupación: la cantidad de programadores y otros ingenieros de software que ocupan puestos de confianza y tienen la capacidad de crear virus destructivos, con amplias oportunidades para infectar sistemas sensibles donde pueden causar el mayor daño.

La cantidad de programadores en el sector militar y en la industria de defensa es asombrosa. Hay cientos de miles de ellos. Tan solo una sede en California de un importante proveedor de defensa emplea a 35.000 personas, y un tercio son técnicos informáticos de diversa índole. Hay 10.000 programadores de diferentes niveles. Cualquier gran grupo de programadores probablemente incluya a algunos que crean virus. Existe una alta probabilidad estadística de que ciertos programadores que trabajan para el ejército y para proveedores de la industria de defensa estén creando virus. Cabe esperar que lo hagan principalmente por diversión, pero es muy probable que algunos hayan desarrollado, o puedan desarrollar, la intención de desplegar las infecciones con fines destructivos.

Por supuesto, sería ingenuo no creer que otros programadores de sistemas de defensa trabajan sin descanso para crear sistemas antivirus cada vez más sofisticados, pero estos no pueden ser completamente efectivos con nuestro conocimiento actual. El riesgo se reduce gracias a la práctica militar de desarrollar proyectos importantes en paralelo, a menudo por dos organizaciones distintas. Sin embargo, el peligro persiste y las consecuencias podrían ser aterradoras. Prácticamente todos los dispositivos ofensivos importantes cuentan ahora con un alto grado de control informático. Los aviones de combate, los bombarderos y los misiles, en particular, poseen sistemas de control informático muy sofisticados, y es un mito creer que las decisiones finales siguen siendo tomadas exclusivamente por seres humanos en todas las situaciones. De todos modos, esto se está volviendo físicamente imposible. Cuando los futuros aviones de combate esquiven misiles, los ordenadores tendrán que tomar el control, ya que los pilotos humanos simplemente no pueden reaccionar con la suficiente rapidez ni soportar las enormes fuerzas G que implica una maniobra evasiva sin perder el conocimiento.

La probabilidad de que un virus se infiltre en un sistema de armas militar crítico es, sin duda, baja, pero la posibilidad existe. Podría existir un virus en el sistema informático de un avión; un virus muy sofisticado, capaz de anticipar y reaccionar ante una amplia gama de situaciones, programado para activarse en una situación predeterminada, como un combate con las armas del avión listas. Dicho virus podría permitir que el ordenador tomara el control ejecutando maniobras que dejaran al piloto inconsciente debido a las fuerzas G generadas. Esa aeronave podría entonces desviarse hacia otros objetivos, estrellarse deliberadamente o convertirse en... El piloto kamikaze definitivo. Podría estar volando hacia Moscú y, al perder el control, cambiar de rumbo hacia Washington, Nueva York o Chicago. Los virus en sus propios sistemas informáticos de defensa y en otros podrían frustrar cualquier intento de impedir que ataque alguna ciudad estadounidense. Un escenario similar podría plantearse para misiles no tripulados o extenderse a todas las aeronaves de un escuadrón.

* Falacias del cableado

El contraargumento a estas teorías es que los virus solo pueden manipular el software y que muchos sistemas de control informático en equipos de defensa están ahora cableados y, por lo tanto, no son vulnerables a tales peligros. Esto no es cierto. Un circuito de procesamiento de datos cableado, ya sea en una placa o encapsulado en un chip, sigue siendo una forma de software, y podría haber sido infectado con un virus oculto en alguna etapa de su programación y fabricación. En cualquier caso, la información procesada por circuitos cableados suele enviarse a un sistema controlado por software para su posterior análisis.

Cualquiera que pudiera escribir un programa para que una aeronave realizara las complejas maniobras necesarias para evitar un misil, también podría escribir un virus para desviar la trayectoria de una aeronave de su objetivo previsto y lanzar una bomba en otro lugar. Sería mucho más fácil provocar la autodestrucción del avión y, por lo tanto, reducir la capacidad defensiva del ejército estadounidense. Existen pocas medidas efectivas para evitar la manipulación del software o para impedir que el hardware controlado por este distinga entre las instrucciones "oficiales" y "no oficiales" que podría enviarle un software infectado. La aeronave —el hardware en este caso— no puede discernir entre las instrucciones de sus sistemas de control informático que le ordenan bombardear Washington en lugar de Moscú.

Agentes durmientes y topos

Los virus informáticos ofrecen a los soviéticos, o a cualquier otra potencia potencialmente hostil, un nuevo enfoque para la defensa. Podrían dejar de preocuparse por la Guerra de las Galaxias o la última bomba y concentrarse en infiltrar agentes durmientes o topos en escuelas de todo el país con prestigio en informática, con la absoluta certeza de que, si hay suficientes personas con estas características, algunas terminarán trabajando en la industria de la defensa. Estos programadores corruptos podrían contar con las habilidades y oportunidades necesarias para diseñar programas que controlen los mecanismos de defensa e inserten virus en ellos. Anteriormente, la eficacia de los agentes durmientes y los espías se limitaba a la transmisión de información clasificada y, posiblemente, a sabotajes localizados de alcance restringido. Ahora, disponemos de oportunidades para realizar sabotajes que permanecen invisibles hasta el momento crucial en que el daño puede ser mucho mayor.

Se podrían desarrollar virus tan sofisticados que permanezcan inactivos hasta que se activen mediante un código específico, quizás transmitido por el enemigo en una frecuencia determinada. La nueva arma supera todas las pruebas y funciona a la perfección ante los generales y el equipo que la diseñó, incluido el programador saboteador, quien recibe una felicitación por el trabajo bien hecho. El dispositivo se comporta con normalidad hasta ese momento predeterminado, quizás hasta que se produce una crisis y alguien del bando contrario pulsa el botón rojo. El enemigo no necesitaría lanzar misiles, sino simplemente transmitir un código que active los virus. Este escenario no es tan descabellado como parece. Actualmente, las computadoras controlan el potencial de destrucción a gran escala, y estadísticamente es posible que programadores saboteadores ya presentes en las fuerzas armadas y en la industria de suministros de defensa puedan subvertir dichas computadoras.

Los sistemas de defensa nacional de todo el mundo dependen en gran medida de la tecnología informática para anticipar y luego iniciar acciones contra una amenaza percibida. La falta de fiabilidad del software de defensa, así como su vulnerabilidad a los virus, podría incluso resultar en un retorno a tecnologías más antiguas como parte de la planificación estratégica de defensa.

Por ejemplo, Gran Bretaña cuenta con una política de defensa civil que depende en gran medida de las computadoras para mantener a la población en sus lugares en la medida de lo posible en tiempos de guerra y para transferir poder del gobierno central, si este deja de funcionar eficazmente, a gobiernos regionales de emergencia. Los problemas de software han obligado a reevaluar por completo los planes británicos para conectar estos gobiernos regionales de emergencia mediante una compleja red informática. Los sistemas se sobrecargaron y se quedaron sin memoria por razones que aún se mantienen en secreto. La red también demostró ser vulnerable a los cortes de energía que podrían ocurrir incluso en los generadores de emergencia en caso de guerra nuclear.

Algunos sistemas de defensa podrían incluso descentralizarse y volver a métodos de comunicación tradicionales y menos complejos, como la retransmisión de voz o los teletipos. Las copias impresas también serían inmunes a virus u otras manipulaciones de datos por parte de elementos hostiles o condiciones ambientales adversas. De hecho, las fuerzas de defensa estadounidenses ya han dado un pequeño paso atrás tecnológico al utilizar ordenadores de sobremesa comerciales de propiedad exclusiva y computadoras portátiles para muchas aplicaciones porque han demostrado ser más confiables en el campo que algunos de los dispositivos mucho más sofisticados que está desarrollando el ejército.

Los dispositivos nucleares producen pulsos electromagnéticos que pueden afectar a las computadoras, incluso las ondas de radio potentes. El Ejército de EE. UU. tuvo que acelerar su programa para proteger los helicópteros Blackhawk de la interferencia de ondas de radio tras un incidente en Alemania Occidental, cuando uno de ellos realizó un giro incontrolado mientras volaba cerca de potentes antenas de radio. Se produjo una pérdida de presión hidráulica tanto en los servomotores del rotor de cola como en los pedales de control, que se bloquearon debido a que el módulo lógico hidráulico era susceptible a los altos niveles de energía de las ondas. Si bien fue un "accidente" incontrolado, ilustra el potencial de interferencia remota deliberada con sistemas computarizados. Aunque aún no es técnicamente factible, no es inconcebible que en el futuro se puedan desactivar sistemas informáticos importantes utilizando ondas de radio como medio de transmisión, en lugar de contacto físico directo mediante discos o módems. Ya existen dispositivos de espionaje capaces de captar las señales de la pantalla de un monitor dentro de un edificio desde un coche aparcado en el exterior, espiando así los datos que se procesan, llegando incluso a obtener contraseñas u otra información de seguridad.

El potencial uso de virus por parte de terroristas u otros elementos hostiles similares con motivos bien definidos es solo la punta del iceberg. Los delitos informáticos están desarrollando un patrón en el que los perpetradores se guían más por un comportamiento irracional, antisocial y destructivo que por el beneficio personal. Estos delitos son anónimos y desafían toda explicación.

El fenómeno del vandalismo encubierto ha irrumpido en el mundo digital. Las motivaciones de los perpetradores son más difíciles de racionalizar que las razones por las que la ira reprimida se ha dirigido durante décadas contra edificios y obras de arte. Los museos y otros expositores de arte invierten ahora enormes sumas en la protección de sus colecciones. Los usuarios de ordenadores se verán obligados a adoptar medidas de defensa similares contra el nuevo fenómeno del vandalismo con virus.

Parece haber importantes paralelismos entre el vandalismo artístico y la propagación deliberada de virus informáticos maliciosos, que merecen una investigación mucho más profunda por parte de criminólogos y sociólogos. En ambos delitos, el acto hostil rara vez está motivado por el lucro, sino que refleja sentimientos complejos de exclusión, inferioridad social o un profundo resentimiento contra una organización o grupo. Este tipo de delitos son muy difíciles de prever, por lo que se pueden tomar medidas defensivas eficaces, y los delitos no son fáciles de investigar una vez cometidos. Muchos quedan impunes y sin denunciar.

Si los sistemas de defensa pueden ser saboteados por virus, aún más vulnerables son los millones de ordenadores empresariales. Un virus se infiltró en los archivos de una de las agencias nacionales de medición de audiencias de Florida e incrementó la audiencia de una emisora de radio de Miami, aumentándola lentamente y al principio de forma imperceptible, hasta que se disparó, con consecuencias que podrían ascender a millones de dólares e implicar largos litigios. Las tarifas publicitarias están directamente relacionadas con los índices de audiencia, y si las estadísticas de audiencia de una emisora se impugnan con éxito, podría verse obligada a reembolsar grandes sumas de dinero en concepto de ingresos publicitarios. Las emisoras rivales también pueden reclamar daños y perjuicios por la distorsión del poder publicitario de un competidor.

Existen muchas otras posibilidades. La empresa Volkswagen sufrió pérdidas multimillonarias debido a que algunos modelos de Audi se aceleraban repentinamente al estar en marcha. La reputación de un excelente vehículo se vio empañada y se incurrió en enormes costes, lo que perjudicó gravemente a un importante competidor en el sector más rentable del mercado automovilístico. Este tipo de problema, con todas sus ramificaciones, podría crearse deliberadamente en el futuro mediante un virus instalado en un vehículo con sistemas de frenado, motor, transmisión o suspensión controlados por ordenador. Sería difícil con la tecnología actual, pero probablemente no imposible. Un ingeniero informático que trabaje para una empresa automotriz podría introducir un error en un programa antes de que se integre en un microprocesador y activarlo posteriormente, quizás mediante el equipo de diagnóstico especial que los concesionarios conectan durante los procedimientos de servicio y puesta a punto.

Los sistemas de control que ahora se encuentran cada vez más en vehículos de todo tipo —y en muchos otros productos, desde máquinas herramienta hasta receptores de televisión— funcionan principalmente con software grabado en chips ROM. Cualquier ingeniero de software competente podría introducir un fragmento de código en uno de esos programas con el potencial de causar daños. Podría hacerlo por diversión o porque no recibió el aumento que esperaba; podría estar resentido por cualquier motivo. Simplemente busca venganza.

Es probable que las defensas contra virus sigan siendo lamentablemente insuficientes durante mucho tiempo. Incluso los programas antivirus... Las memorias RAM pueden ser manipuladas, como ocurrió con Flu-Shot, el programa antivirus que convirtió un cracker en un virus ofensivo y luego se propagó a través de foros públicos. Basta con ejecutar la documentación en disco de lo que las víctimas desprevenidas creen que es una versión más reciente del programa legítimo Flu-Shot para activar el virus y destruir datos tanto en discos duros como en disquetes.

Todos los sistemas existentes se beneficiarán del desarrollo de programas antivirus que se incorporarán cada vez más al software propietario, pero la única solución permanente a largo plazo es el desarrollo de hardware a prueba de virus. Esto implica la creación de arquitecturas informáticas completamente nuevas para reemplazar los sistemas actuales. Las implicaciones son enormes. Los virus han creado lo que podría ser un nuevo factor de obsolescencia en las computadoras, lo que podría beneficiar a ciertos fabricantes, pero también generar gastos e inconvenientes adicionales para los usuarios. Mientras tanto, hay 40 millones de sistemas que se enfrentan a la amenaza de infección y el problema crecerá de forma constante durante muchos años. Ya existen suficientes virus como para garantizar que la epidemia de infección continúe empeorando. Constantemente se crean nuevos virus maliciosos.

El mensaje es claro. Los virus informáticos representan un grave problema para todos los usuarios de computadoras. No existe una solución inmediata. La única defensa consiste en practicar los procedimientos informáticos seguros descritos en este libro, aunque incluso así no hay garantía de inmunidad.

Sin embargo, los riesgos pueden reducirse a niveles aceptables, ralentizando la propagación de la infección. De no hacerlo, la informática podría convertirse de una herramienta valiosa en una amenaza alarmante, poniendo en peligro el bienestar individual y la sociedad de maneras limitadas únicamente por la imaginación y la destreza técnica de los creadores de virus.

Apéndice A: Cronología

Breve cronología de las computadoras y los virus informáticos desde el final de la Segunda Guerra Mundial hasta la actualidad.

1945: ENIAC, la primera computadora digital electrónica del mundo, entra en funcionamiento. Había sido desarrollada para ayudar en balística durante la Segunda Guerra Mundial y medía 30 metros de largo, consumía 140 kW de potencia, pero tenía menor capacidad de procesamiento de datos que una computadora portátil moderna.

El Proyecto de Computadora Electrónica del Instituto de Estudios Avanzados de Princeton comienza con Neumann como director. Dio un gran impulso al desarrollo de la informática tal como la conocemos hoy.

1949: Se publica la obra de Neumann, *Teoría y organización de autómatas complejos*.

Década de 1950: El desarrollo de las computadoras se acelera rápidamente en Estados Unidos, Europa y otras partes del mundo, y se comercializa cada vez más.

1953: Sperry Rand Corp. presenta la Univac I, la primera computadora disponible comercialmente en el mundo.

1954: El sistema telefónico Bell publica detalles técnicos sobre las frecuencias que permitieron a los primeros piratas informáticos acceder al sistema.

1959: Los programadores del Laboratorio Bell de AT&T comienzan a jugar a Core Wars, desarrollando programas capaces de consumir datos. Otros investigadores, especialmente en el Laboratorio de Inteligencia Artificial del MIT y el Centro de Investigación Xerox en Palo Alto, también experimentan con programas que consumen gran cantidad de memoria.

1965: Los entusiastas de la nueva tecnología informática, especialmente aquellos que programaban sus propios programas, son apodados "hackers" y comienza a surgir una subcultura bien definida.

1966: Dos estudiantes universitarios estadounidenses crean un programa capaz de autocopiarse, probablemente una de las primeras formas de virus. Falló debido a un error en el programa.

1969: Arpanet se desarrolla como la primera gran red informática del mundo, conectando a investigadores involucrados en proyectos de investigación y defensa de EE. UU. La interconexión inicia dos décadas de crecimiento sostenido, abriendo mayores oportunidades para los hackers.

1971: Los delitos informáticos comienzan a intensificarse, inicialmente con actividades de manipulación de datos para alterar calificaciones crediticias, modificar registros de inventario y desviar fondos.

La revista Esquire publica los primeros detalles exhaustivos sobre las actividades de phreak telefónico. Comienzan a circular publicaciones independientes con más información.

1972: Los ciberdelincuentes comienzan a operar con mayor intensidad, encontrando nuevas formas de infiltrarse en los sistemas telefónicos sin pagar, desarrollando así la experiencia necesaria para que estos hackers independientes obtengan acceso no autorizado a sistemas informáticos.

1973: Se revela el enorme potencial del delito informático cuando se descubren los primeros detalles de la estafa de Equity Funding Corporation. Durante la década anterior, los programadores habían creado 64.000 pólizas falsas.

1974: Se demuestra el primer código autorreplicante en Xerox Corporation. Posteriormente, los administradores de los centros de investigación detienen los juegos de Core Wars.

1975: Surgen las primeras microcomputadoras.

1976: El grupo terrorista Brigada Roja inicia una serie de diez ataques contra instalaciones informáticas en Europa, los primeros ataques informáticos a gran escala.

El Departamento de Justicia de EE. UU. advierte a un comité del Senado sobre la gravedad potencial del delito informático.

1977: Se designa el Estándar de Cifrado de Datos (DNS) en respuesta a la preocupación por la necesidad de proteger la información y datos en las computadoras de agencias del gobierno federal.

1978: Se roban 10,2 millones de dólares de un banco de Los Ángeles mediante el uso telefónico no autorizado de contraseñas y códigos bancarios.

1979: Arizona es el primer estado en promulgar leyes contra los delitos informáticos.

1980: Comienza la explosión de la informática personal a medida que las máquinas se vuelven cada vez más potentes y, por consiguiente, más económicas.

Se inventan programas gusano, que pueden ser pirateados para destruir datos, en el laboratorio de Xerox Corporation.

1981: En un solo año, se estima que el número de hackers se triplica.

1982: Se descubre una bomba lógica en el sistema informático de la biblioteca del condado de Montgomery, California.

1983: Se estrena la película Juegos de guerra y el hacking cobra mayor impulso.

El secreto de los mecanismos autorreplicantes se revela en un discurso de Ken Thompson, el ingeniero de software que creó el sistema operativo Unix, ante la Asociación para la Maquinaria de Computación (ACM).

1984: Scientific American publica detalles sobre las Guerras del Núcleo; la información sobre la creación de programas virales comienza a circular con mayor amplitud.

Aparecen los primeros artículos científicos sobre programas autorreplicantes y su potencial para dañar sistemas. El profesor Fred Cohen, investigador californiano, los denomina «virus» y demuestra su poder destructivo.

1985: Las universidades estadounidenses sufren infecciones por los primeros programas virales, principalmente humorísticos como el Monstruo de las Galletas.

La facción Middle Core lidera a grupos de izquierda en ataques físicos contra veinte instalaciones informáticas que interrumpen los sistemas ferroviarios utilizados por 10 millones de pasajeros japoneses.

El Cerebro Pakistaní se crea en Lahore, Pakistán, y comienza a circular internacionalmente a través de software pirata.

Donald Gene Burleson es despedido de una empresa de bolsa de Fort Worth, Texas, e instala un gusano informático para destruir datos.

1986: Aparecen los primeros virus capaces de causar infecciones generalizadas.

1987: Se identifica el virus Lehigh, que comienza a causar daños a gran escala en universidades.

El virus Pakistani Brain cobra fuerza en Estados Unidos tras ser identificado en las Universidades de Pensilvania y Wyoming. Otras infecciones virales se multiplican rápidamente. El virus Christmas cruza el Atlántico desde Alemania y se apodera de la red de IBM, con 350.000 terminales.

En 1988, un ataque viral comienza a adquirir proporciones epidémicas. Los ordenadores de la Universidad Hebrea son infectados por el virus israelí, programado para destruir datos en el aniversario del fin del Estado de Palestina.

La Universidad de Georgetown sufre una infección persistente de siete meses por el Pakistani Brain. El virus se propaga a 300 ordenadores del Providence Journal en Rhode Island.

El virus Scores infecta a la NASA y otras agencias gubernamentales, extendiéndose a las oficinas del Congreso y a miles de otros sistemas, incluidos los de la compañía aeronáutica Boeing y Ford Aerospace. Los sistemas de Ford también son infectados posteriormente por el virus nVir.

El virus MacMag se activa el 2 de marzo, primer aniversario del lanzamiento del Mac II. Algunas estimaciones indican que se ha propagado a 250.000 sistemas.

El Club del Caos Informático de Hamburgo afirma haber introducido virus en los sistemas de la NASA. El experto en virus del club ha sido arrestado en París.

Se informa del primer caso conocido de infección de software comercial propietario. El virus MacMag se introduce en los programas Aldus FreeHand y se propaga ampliamente. Más adelante ese mismo año, las versiones beta de una actualización de FreeHand se infectan con el virus nVir, pero el brote se controla rápidamente.

El Consejo de Desarrollo de Software crea un grupo de trabajo para proponer legislación y desarrollar defensas contra los ataques de virus.

La Asociación de la Industria de Virus Informáticos recopila los datos más detallados hasta la fecha sobre infecciones virales y establece estándares para el desarrollo y la comercialización de productos antivirus.

Donald Gene Burleson es sentenciado por la primera condena relacionada con virus.

La mayor infección viral del mundo hasta la fecha se hace visible el 2 de noviembre, propagándose a través de Internet y las redes Arpanet para infectar miles de sistemas, incluidos varios involucrados en proyectos de defensa.

El informe del Congreso sobre virus plantea cuestiones importantes y afirma que «la proliferación de ordenadores en los ámbitos militar, médico, comercial, educativo y doméstico de Estados Unidos sugiere que la atención del Congreso a este tema podría ser pertinente».

Se han identificado más de treinta cepas de virus, con numerosas variaciones de cada una. Se cree que unas cuarenta grandes corporaciones industriales han sufrido infecciones hasta la fecha.

BusinessWeek, Time y otros medios comenzaron a dar amplia cobertura a la amenaza de los virus, pero aún se le resta importancia en muchas revistas de informática.

Existe una proliferación de software antivirus.

Los virus se «controlan» y se utilizan de forma beneficiosa para mejorar ciertas funciones informáticas.

Los virus se han vuelto más maliciosos y las cepas existentes se están modificando para crear versiones capaces de causar mayor daño.

Crece la preocupación de que los virus y otras manipulaciones de software puedan utilizarse para sabotear las elecciones presidenciales y otras elecciones.

Apéndice B: Virus informático R Informes estadísticos

Del 20 de marzo al 9 de septiembre de 1988, lideré una iniciativa para recopilar la mayor cantidad de información posible sobre la incidencia de infecciones por virus informáticos en Estados Unidos (según informa John McAfee). Utilicé los recursos de mi propia empresa, Interpath Corporation, y conté con la colaboración de la National Bulletin Board Society y la Computer Virus Industry Association, a quienes agradezco enormemente su cooperación. Durante este período de seis meses, las tres organizaciones recibieron 2160 llamadas reportando infecciones por virus informáticos. Además de las llamadas de los usuarios afectados, las tres organizaciones realizaron un esfuerzo conjunto para buscar activamente casos de infección. Estas dos actividades llevaron a la alarmante conclusión de que los virus estaban más extendidos de lo que se sospechaba.

Asimismo, quedó claro que la gran mayoría de los usuarios de computadoras estaban confundidos acerca de los virus, y que esta confusión estaba causando problemas en la comunidad informática. También se hizo evidente que la mayoría de las infecciones virales no se diagnosticaban correctamente. La mayoría de los casos de infección se atribuían erróneamente a problemas de hardware u otras causas no relacionadas con virus. El estudio reveló que un segmento de la población de usuarios estaba bastante paranoico con respecto a los virus.

Por ejemplo, el 96 % de las llamadas recibidas (2063 casos) correspondían a problemas no relacionados con virus. Los problemas reales fueron:

367 (17 %) — Bombas lógicas, troyanos, gusanos y otros programas intrusivos no replicantes.

Muchas instalaciones no pudieron distinguir entre un virus y otros programas intrusivos o destructivos. El hecho de que se insertaran bombas lógicas en más de una máquina llevó a los usuarios, en muchos casos, a sospechar de un agente replicante.

281 (13 %) — Problemas no reproducibles.

Estas llamadas resultaron en la imposibilidad de reproducir el problema original observado.

833 (38 %) — Errores de programa o del sistema.

Estos problemas se atribuyeron a lo siguiente:

* Errores de programa

* Fallo de hardware

* Incompatibilidades con otro software coexistente

* Datos corruptos

160 (8%) — Error del operador.

Estos problemas se atribuyeron a errores o malentendidos del usuario sobre el comportamiento de la aplicación o el sistema en cuestión.

422 (20%) — No analizables

Tras revisar estas incidencias, se encontraron discos ilegibles o sobrescritos, programas no ejecutables, pérdida de datos y otras circunstancias que imposibilitaron el análisis. Algunos casos podrían haber sido causados por virus, pero los usuarios optaron por intentar la recuperación antes de llamar. Los intentos de recuperación casi siempre resultaron en la sobrescritura de cualquier dato que pudiera indicar la presencia de un virus.

97 (4%) - Virus verificados

Estos virus se verificaron directamente al recibirlos, al extraerlos nosotros mismos o indirectamente mediante análisis telefónico (por ejemplo, solicitando a la víctima que utilizara una utilidad para mostrar el sector de arranque y leer el texto ASCII incrustado).

Sin embargo, a pesar de la gran cantidad de falsas alarmas de virus, una estadística curiosa indicaba que la gran mayoría de las infecciones virales seguían sin detectarse. Al consultar a cada una de las noventa y siete organizaciones con infecciones verificadas, descubrí que en noventa y cuatro casos, no se sospechó de un virus hasta que un gran número de ordenadores de la organización presentaron síntomas idénticos. Invariablemente, se consideró que las primeras doce máquinas infectadas tenían problemas no relacionados con virus. Esto era significativo. Muchas organizaciones, y sin duda los usuarios domésticos, no tienen un gran número de ordenadores en un mismo lugar. ¿Se atribuirían invariablemente las infecciones de estas máquinas a problemas de hardware u otros factores? De ser así, entonces quizás menos del 1% de todas las infecciones se detectarían y se atribuirían a virus.

Este problema de detección se ve agravado por las acciones de los propios virus. Son difíciles de detectar cuando ingresan al sistema y durante la fase de infección y replicación. Solo se hacen visibles cuando se activan (inician la fase destructiva o manipuladora). En ese momento, suele ser demasiado tarde para hacer algo. Con frecuencia, el virus se borra o se autodestruye mediante un formateo de bajo nivel o la eliminación de las tablas de asignación de archivos. Cuando esto ocurre, no queda ningún registro evidente de su existencia en el sistema. El usuario se pregunta si el problema fue de hardware, de un software defectuoso o de sus propios errores.

Incluso si un usuario sospecha de un virus, la tarea de recuperar el segmento infectado para demostrar la infección es ardua. Se requieren utilidades sofisticadas para iniciar la reconstrucción (si es que es posible) y un experto para ejecutarlas.

Tras la reconstrucción, debe localizarse el segmento viral. Puede ocurrir que el virus esté adjunto a una aplicación grande, lo que dificulta aún más la localización. Si no está adjunto a una aplicación, puede estar ubicado en sectores.

El virus marcó estos sectores como vulnerables. Es necesario localizarlos, aislarlos y recuperarlos. Ante tales tareas, el usuario promedio se siente abrumado y simplemente opta por empezar de cero y reinstalar todos sus programas y datos. Cuando esto sucede, se pierde toda esperanza de recuperarse del virus.

Alcance del problema

Al combinar todas las infecciones verificadas a partir de llamadas no solicitadas con nuestro propio trabajo de rastreo de infecciones a partir de informes de prensa, referencias, etc., identificamos un total de 304 corporaciones, instituciones académicas y otras organizaciones que se habían infectado en este mismo período. El número de computadoras infectadas en cada organización osciló entre 5 y más de 700. El número total de computadoras infectadas ascendió a 48.350 (con una pequeña variación debido a la incertidumbre en los informes individuales). Se estima que el número total de disquetes infectados superó el cuarto de millón.

Estas son infecciones verificadas rastreadas por tan solo unas pocas personas. Tenga en cuenta también que nuestro análisis indicó que la gran mayoría de las infecciones pasan desapercibidas. Desconocemos cuántas infecciones detectadas se notifican realmente. Sin embargo, el número real de sistemas infectados podría ascender a varios millones. De ser así, nos enfrentamos a un problema de enormes proporciones.

A partir de lo anterior, considero lo siguiente:

1 ■ Es necesario aumentar la concienciación pública, superando el nivel de casi paranoia que existe actualmente.

Una definición clara y comprensible de los virus, junto con un conocimiento básico de la mecánica de su replicación, contribuiría en gran medida a reducir el elevado número de informes erróneos.

2 • Se debe aconsejar a clientes, usuarios y compañeros de trabajo que sigan

procedimientos sencillos cuando sospechen una infección viral. Creemos que estos procedimientos incluyen:

1 ■ Apagar inmediatamente el equipo.

2 ■ Registrar toda la información relevante que haya llevado a la sospecha de infección.

3 ■ Contactar con una persona experta en recuperación de virus.

3 • Deben estar disponibles herramientas sencillas para la localización y extracción de segmentos de virus. Mientras estas herramientas estén fácilmente disponibles y sean fáciles de usar, la gran mayoría de las infecciones seguirán perdiéndose, ya que los usuarios optarán por la vía más sencilla de sobrescribir el disco.

Espero que este libro contribuya significativamente a aumentar la concienciación pública. En cuanto a la disponibilidad de herramientas especializadas, confío en que los miembros de la Asociación de la Industria de Virus Informáticos y otros investigadores del sector continúen desarrollando los productos necesarios para cubrir esta necesidad.

Apéndice C: Implementación de Programas Antivirales

En 1988, la Asociación de la Industria de Virus Informáticos recibió más de 25 000 solicitudes de información sobre virus informáticos de empresas, agencias gubernamentales, grupos de interés y usuarios particulares. Las preguntas abarcaban desde "¿Cómo sé si mi sistema está infectado?" hasta "¿Dónde puedo conseguir una copia de un virus para experimentar?". Un gran número de organizaciones querían saber si la CVIA recomendaba procedimientos o políticas para minimizar los riesgos de infección (y así es). Un número menor solicitó ayuda para organizar seminarios internos de capacitación sobre antivirus. Algunos pidieron ayuda para eliminar una infección existente o para identificar la cepa específica del virus que habían descubierto. Otros querían saber por qué una infección viral en particular seguía reapareciendo. Unos pocos querían saber si los virus realmente existían (¿es todo un sensacionalismo mediático?). Un usuario, aparentemente legítimo, quería saber si se habían registrado casos de infecciones en humanos, la pregunta más original.

Sin embargo, dentro de este conjunto de solicitudes, había dos preguntas que se han convertido en las más frecuentes (y más difíciles de responder) sobre virus informáticos: "¿Cómo se puede saber si un programa antivirus en particular funciona realmente?" y "¿Cómo funcionan estos productos?".

A primera vista, la respuesta a la primera pregunta parece obvia: probarlo y ver. Sin embargo, el cómo no está del todo claro para el usuario promedio. Una persona que intente elaborar un plan de pruebas para validar productos antivirus se enfrentará a problemas enormes. Imagínese con una tarea así. El primer problema que podría surgir es dónde encontrar unas cuantas docenas de virus que puedan usarse como banco de pruebas. El siguiente problema (suponiendo que alguien más lo resuelva o que desaparezca por sí solo) es cómo ejecutar estos virus en un entorno de prueba sin infectar a toda la organización.

Si se superan estos primeros obstáculos, se enfrentará a los verdaderos problemas: ¿Cómo medir el grado de efectividad del producto, considerando que todos los virus afectan al sistema informático de manera diferente y muchos no muestran ningún impacto medible durante meses, o incluso años, después de la infección inicial? ¿Cómo probar un producto contra virus "genéricos", es decir, virus que aún no se han creado pero que

¿Contra qué virus afirma ser eficaz el producto? (Por cierto, existen antivirales genéricos eficaces). ¿Cómo se verifica si un virus determinado ha infectado o no el sistema durante una prueba? Muchos virus no dejan rastro visible externamente; ni siquiera el tamaño del programa infectado cambia. Además, muchos virus incorporan mecanismos anti-detección que dificultan enormemente su detección tras la infección.

Estos son solo algunos de los problemas que surgirán durante el desarrollo de un plan de pruebas para un producto antiviral. Y la escasa probabilidad de lograr los puntos uno y dos mencionados anteriormente agravará la situación: probablemente resultará difícil conseguir un entorno de prueba con virus vivos. La experiencia nos ha demostrado que la contención de virus es una tarea compleja. Son extremadamente difíciles de detectar sin herramientas especiales y se propagan con gran rapidez. Incluso si se utiliza un entorno completamente aislado para las pruebas, de vez en cuando será necesario introducir y extraer medios potencialmente infecciosos del entorno. Dada la propensión al error humano, una fuga está prácticamente garantizada con el tiempo suficiente o con suficientes participantes.

Se han realizado intentos bienintencionados, pero lamentablemente defectuosos, para resolver algunos de los problemas mencionados mediante el desarrollo de simuladores de virus y herramientas especializadas diseñadas para validar productos antivirales. Sin embargo, la mayoría de estos productos fueron diseñados por quienes fabrican y comercializan los antivirales, por lo que su objetividad podría ser cuestionable. Un segundo problema con estas herramientas es que no toda la actividad de los virus puede simularse. Cada nuevo virus utiliza una técnica diferente para interceptar interrupciones, eludir el sistema operativo o adjuntarse a una aplicación. Además, su técnica para activarse o causar daños será distinta, y su mecanismo básico de replicación será único. Debido a estos problemas, los programas de validación tienen una utilidad limitada.

¿Significa esto que la tarea es imposible? En absoluto. Simplemente significa que es necesario informarse. Lo primero que se necesita es comprender cómo funcionan los productos antivirales. Al comprender su funcionamiento, podremos abordar mejor la pregunta de "¿cuán eficaces son?".

Tipos de productos

El problema de los virus se ha abordado generalmente de tres maneras mediante programas antivirus individuales:

1 ■ Impidiendo que virus genéricos infecten inicialmente un sistema.

Estos productos no están vinculados a ningún virus en particular. Funcionan impidiendo cualquier actividad que pueda modificar un programa o un segmento ejecutable del sistema.

2 ■ Detectando una infección genérica una vez que se ha producido.

Estos productos tampoco están vinculados a ningún virus en particular. Buscan cualquier modificación que pueda haber ocurrido en cualquier componente ejecutable del sistema.

3 ■ Identificando infecciones de cepas virales específicas y, por lo general, eliminándolas.

Estos productos solo son efectivos contra virus conocidos.

Ha habido mucha confusión sobre la utilidad relativa de los productos antivirus debido a una comprensión limitada de las categorías anteriores. Algunos críticos, por ejemplo, han afirmado que los productos antivirus tienen una utilidad limitada porque solo funcionan contra virus conocidos. Sin embargo, esta afirmación solo es válida para la tercera categoría de productos. Estos productos se han diseñado principalmente para ayudar a eliminar infecciones existentes, y su beneficio es evidente para cualquiera que se haya infectado y los haya utilizado para desintoxicar su organismo. Estos productos combaten las cepas virales más comunes, y las probabilidades de que un usuario adquiera un producto que combata una infección específica son bastante altas. La mayoría de estos productos especifican los virus que pueden eliminar.

Otra idea errónea común se refiere a las "vacunas". Estos productos "inoculan" los sistemas con un mecanismo de autodiagnóstico que puede identificar cambios en el sistema. A menudo se les considera productos de prevención porque la palabra "vacunar" connota una medida preventiva en medicina general. Sin embargo, en realidad, estos productos son productos de detección de infecciones. Solo funcionan una vez que el sistema se ha infectado. Con frecuencia (y erróneamente), algunos analistas han señalado que estos productos no funcionan porque no previenen una infección específica.

Del mismo modo, los productos de prevención de infecciones han sido criticados por su incapacidad para "identificar" una infección preexistente. Esta confusión ha alcanzado su punto álgido en algunos de los esfuerzos organizados para evaluar formalmente los productos antivirales. Los criterios de prueba para un producto diseñado para eliminar una infección viral existente deben ser radicalmente diferentes de los criterios de prueba para los productos diseñados para prevenir que se produzca la infección, y estos criterios, a su vez, no serán aplicables a los productos de detección de infecciones. Sin embargo, se han realizado numerosas evaluaciones en las que se han considerado los tres tipos de productos.

Se nos juzga con los mismos criterios. Los resultados, al menos para algunos, carecían por completo de sentido.

Es importante comprender que cada categoría de producto está diseñada para propósitos diferentes y se aplica a distintas áreas problemáticas relacionadas con los virus. Por lo tanto, un requisito previo para evaluar la eficacia de un producto es comprender a fondo su propósito y cómo lo lleva a cabo.

Cómo funcionan

Comencemos con los productos de prevención de infecciones. Estos productos son programas residentes en memoria que redirigen las interrupciones del sistema para monitorizar la entrada/salida y otras actividades del sistema seleccionadas. Los programas filtran toda actividad que pueda indicar la presencia de un virus y notifican al usuario sobre una posible infección. Los intentos de modificar el sector de arranque, escribir en un programa ejecutable o reemplazar un archivo oculto son ejemplos de actividades que estos programas interceptarían y marcarían. En general, cualquier actividad que parezca un intento de modificación de un segmento ejecutable del sistema, como un controlador de dispositivo, un módulo del sistema operativo o un programa de aplicación, se filtraría.

Estos programas constituyen la primera línea de defensa contra los virus y, si se diseñan e implementan correctamente, pueden impedir que un virus ingrese a un sistema. Dado que pueden detectar un virus antes de que se replique, no se requiere ningún procedimiento de eliminación o desinfección, y el virus generalmente no tiene tiempo de causar daños al sistema. Estos programas también son genéricos en su funcionamiento; es decir, en teoría pueden detectar virus que aún no se han desarrollado. Esto se debe a que todos los virus deben replicarse, y es el proceso genérico de replicación (es decir, la unión a un segmento ejecutable del sistema) el que monitorean estos productos.

Sin embargo, estos productos presentan tres inconvenientes que restringen los entornos en los que se pueden aplicar y limitan la eficacia de sus capacidades de prevención.

El primer inconveniente es que se requiere un cierto nivel de conocimientos técnicos para utilizarlos eficazmente. Los usuarios deben ser capaces de distinguir entre una actividad legítima del programa detectada por el producto y una amenaza real de virus. Numerosos programas legítimos pueden, en ocasiones, realizar funciones que parecen sospechosas. Por ejemplo, algunas aplicaciones modifican sus propios módulos ejecutables durante su fase de configuración. Los compiladores, ensambladores y editores de enlaces modifican o reemplazan legítimamente el código ejecutable. El comando SYS de DOS modifica legítimamente el sector de arranque y los archivos del sistema operativo. Estos y otros programas pueden provocar que el antivirus detecte la actividad y notifique al usuario. El usuario debe entonces tener suficiente conocimiento del programa o la actividad en curso para determinar si permite que continúe o la finaliza. Muchos usuarios de sistemas no poseen los conocimientos técnicos necesarios para tomar una decisión válida.

Un segundo inconveniente es la insensibilización del usuario causada por los falsos positivos generados por estos programas. Si el antivirus detecta demasiadas actividades legítimas, el usuario se acostumbra a responder a los mensajes de advertencia con un simple "continuar", sin molestarse en leer el contenido específico de la advertencia. En muchos casos, estos programas han detectado virus reales y el usuario ignora el mensaje de advertencia por costumbre.

El tercer inconveniente de estos programas es que se basan en que el virus tenga un comportamiento predecible en su diseño. Es decir, se espera que el virus realice todas las operaciones de entrada/salida mediante llamadas al sistema o interrupciones de software. Generalmente, esta suposición es razonable, ya que suele ser más sencillo utilizar las funciones de entrada/salida del sistema operativo que desarrollar un sistema de entrada/salida propio. Además, permite que el programa funcione en una mayor variedad de hardware sin riesgo de fallos. Sin embargo, algunos diseñadores de virus están empezando a esforzarse más, asumiendo los mayores riesgos, al interactuar directamente con los dispositivos de entrada/salida del hardware. Al hacerlo, neutralizan por completo la monitorización de interrupciones de los productos de prevención de infecciones. Por muy ingeniosas que sean las interrupciones de software o la monitorización de la memoria, resultan ineficaces si el virus nunca cede el control del procesador mediante una llamada al sistema operativo.

En general, podemos decir que los productos de prevención de infecciones ofrecen la ventaja de detener un virus antes de que pueda infectar el sistema y, por lo tanto, evitar su propagación. También son eficaces contra una amplia gama de virus genéricos. Sin embargo, solo deben ser utilizados por usuarios competentes del sistema, quienes deben comprender que estos productos presentan una importante vulnerabilidad que los virus sofisticados pueden aprovechar para eludir su mecanismo de protección.

Productos de detección de infecciones

Los productos de detección de infecciones parten de la premisa de que es ventajoso detectar una infección lo antes posible tras su aparición. Los virus pueden permanecer en los sistemas durante meses o incluso años antes de activarse.

Los virus se propagan y causan daños al sistema. Durante este tiempo, su única actividad es la replicación, y toman todas las precauciones para pasar desapercibidos. Los virus necesitan esta fase "discreta" para poder duplicarse en otros sistemas, un paso necesario en su propagación. Por lo tanto, los productos de detección de infecciones intentan identificar una infección lo antes posible tras su aparición, limitando así la propagación del virus dentro de la organización y evitando su fase destructiva.

Los productos de detección funcionan de dos maneras: vacunación o registro de estado. Los productos de vacunación modifican el código ejecutable del sistema (programas, controladores de dispositivos, etc.) para incluir un mecanismo de autodiagnóstico. Esta función de autodiagnóstico genera una advertencia cada vez que se modifica el código. La advertencia se produce en el momento de la ejecución del código. Los productos de registro de estado, por otro lado, crean un archivo de registro que contiene toda la información necesaria para detectar cualquier cambio sospechoso en el sistema. El archivo suele contener una lista de sumas de verificación del código ejecutable del sistema, o bien otra información que permita identificar cambios. Posteriormente, se ejecuta periódicamente una función de verificación, generalmente al arrancar el sistema, para evaluar el sector de arranque, los archivos del sistema operativo, los controladores de dispositivos y todos los programas de aplicación. Si se detecta una modificación, se muestra un mensaje de advertencia que indica las áreas del sistema que se han infectado.

Cabe destacar que los productos de detección solo funcionan si el sistema no está infectado en el momento de su instalación. Si ya se ha producido una infección, el código del virus se registrará como parte del programa infectado y las rutinas de comparación no detectarán la discrepancia.

Los productos de detección evitan la vulnerabilidad de monitorización de interrupciones que presentan los productos de prevención. Esto se debe a que, independientemente de la sofisticación del mecanismo de infección del virus, algún segmento del código ejecutable habrá cambiado tras la infección, y detectar este cambio suele ser un proceso sencillo. Sin embargo, la desventaja de estos productos es que, a diferencia de los de prevención, el sistema debe infectarse para que se active la alerta. Por lo tanto, es necesario llevar a cabo un proceso de desinfección, y existe un ligero riesgo de que el virus se active y cause daños antes de poder ser detectado.

Otra desventaja de los productos de detección basados en la vacunación es que muchos virus no pueden detectarse con este método si reemplazan una sección completa de código en lugar de modificarla. Los virus del sector de arranque son un claro ejemplo. Reemplazan el sector de arranque con su propio código. Por lo tanto, cualquier código de vacunación aplicado al sector de arranque nunca habría tenido la oportunidad de ejecutarse, y no se produciría ninguna alerta. Esta es una desventaja importante del enfoque de vacunación.

■ Identificación de infecciones

Los productos de identificación están diseñados para identificar y, en algunos casos, contrarrestar cepas específicas de virus existentes. No son genéricos en su función; es decir, no pueden detectar ni eliminar virus que no sean de conocimiento común. Funcionan escaneando el medio del sistema, buscando segmentos de código característicos, indicadores de identificación u otras señales dejadas por una cepa de virus determinada. Dado que los virus son programas con funciones y características específicas, cada uno tendrá algún atributo distintivo único que puede usarse para diferenciarlo de los datos y el código propios del sistema. Encontrar estos atributos únicos dentro del sistema es un claro indicio de infección por el virus identificado.

Los productos de identificación cumplen dos funciones principales: Primero, permiten escanear un sistema y determinar si está infectado con un virus específico. Al usar varios productos de identificación (o un solo producto capaz de identificar múltiples virus), se puede determinar si alguno de los virus más comunes ya ha infectado el sistema. Esto aumenta la probabilidad de que el sistema esté limpio antes de implementar un producto de prevención o detección genérica. Segundo, son fundamentales para eliminar una infección existente en una organización.

Una de las principales dificultades para eliminar un virus de una organización que ha sufrido una infección generalizada es identificar todos los programas, archivos, medios extraíbles y demás elementos del sistema afectados. Los productos de identificación permiten determinar de forma rápida y fiable el alcance de la infección e identificar los elementos del sistema que deben desinfectarse. En muchos casos, además, pueden reparar los daños causados y restaurar el sistema a su estado anterior a la infección. De esta manera, se ahorra una gran cantidad de recursos humanos y de otro tipo.

Sin embargo, los productos de identificación tienen limitaciones para brindar protección contra virus más nuevos o virus más antiguos que aún no se han dado a conocer públicamente. Para desarrollar un producto de identificación, primero se debe identificar el virus.

Primero, debe descubrirse y aislarse el virus. Luego, debe descomponerse y analizarse. Finalmente, debe diseñarse, implementarse y distribuirse al público una contramedida eficaz. El tiempo que requiere este proceso oscila entre unos meses y un año o más. Esta "ventana de oportunidad" para los desarrolladores de nuevos virus representará una barrera constante para dichos productos.

Los tres tipos de productos de protección descritos anteriormente no siempre se distinguen claramente en el mercado. Algunos productos combinan dos o más programas, cada uno enfocado en un área de protección específica, en un solo paquete, de forma similar a un conjunto de utilidades antivirus. Otros productos se centran en un solo tipo de protección, pero solo ofrecen una solución parcial. Por ejemplo, existen productos de detección de infecciones que solo detectan cambios en los archivos del sistema operativo, ignorando el resto del código ejecutable. Sin embargo, todos los productos disponibles hasta la fecha ofrecen programas de protección que pueden agruparse en una o más de las categorías mencionadas.

Características importantes:

Ahora que comprendemos mejor el funcionamiento de estos productos, podemos abordar la cuestión de su eficacia. Como ya debería estar claro, cada tipo de producto debe tener un conjunto diferente de criterios para evaluar su rendimiento. Analicemos estos criterios:

Criterios de prevención de infecciones:

Los productos de prevención de infecciones deben, como mínimo, ser capaces de:

* Diferenciar entre las actividades iniciadas por el usuario y las actividades realizadas de forma autónoma por los programas. Por ejemplo: Los usuarios pueden eliminar o actualizar con frecuencia archivos de programas o segmentos del sistema operativo, lo cual es una actividad normal del sistema. Un programa de aplicación, en cambio, no debería, en circunstancias normales, modificar otro programa de aplicación, un programa del sistema operativo ni el sector de arranque del sistema. Estos procesos son indicativos de actividad viral. El producto de prevención de infecciones debe ser capaz de distinguirlos.

* Generar pocos falsos positivos o falsas alarmas. Los usuarios se acostumbran a las falsas alarmas frecuentes y tienden a pasar por alto una advertencia válida de virus cuando se produce.

* Ejecutarse con otros programas residentes en memoria. Los programas de prevención de infecciones son residentes en memoria y modifican un gran número de interrupciones de software. Esto hace que dichos programas tiendan a bloquearse o a colgar el sistema cuando se ejecutan simultáneamente con otros programas residentes en memoria.

* Protege contra modificaciones de todos los datos ejecutables, incluyendo:

* El sector de arranque del sistema

* Todos los controladores de dispositivos del sistema

* Todos los módulos del sistema operativo, incluyendo programas de archivos ocultos

* Todos los programas de aplicación.

* Proporciona un interruptor de activación/desactivación de fácil acceso. En muchos casos, será necesario suspender temporalmente el proceso de comprobación. Un simple interruptor de encendido/apagado es indispensable.

* Permite proteger o ignorar selectivamente programas o áreas específicas del sistema. Esto reducirá el número de falsas alarmas al ejecutar programas que infringen las "reglas" impuestas por el producto.

* Permite congelar la actividad del virus cuando se detecta e impedir que continúe el acceso ilegal. Esto es fundamental para evitar que el virus infecte el sistema.

* Se ejecuta sin degradar notablemente el rendimiento del sistema. Los programas residentes en memoria tienden a aumentar la sobrecarga del sistema y, por lo tanto, a ralentizarlo. Un producto bien diseñado no debería causar una degradación del rendimiento del sistema superior al 5 %.

* Supervise y proteja todos los dispositivos de lectura/escritura conectados. Todos los dispositivos conectados en los que se puede escribir son posibles objetivos de virus. El producto de prevención debe proteger todos estos dispositivos.

* Impida selectivamente todas las operaciones de E/S a nivel de interrupción. Se proporciona un grado adicional de protección si el producto impide que los programas realicen llamadas no estándar al servicio de E/S (solicitudes a nivel de interrupción). Sin embargo, esto aumenta la tasa de falsas alarmas. El usuario debe tener la opción de permitir o no dichas llamadas.

Criterios de detección de infecciones:

Los productos de detección de infecciones deben ser capaces, como mínimo, de:

* Detectar modificaciones virales características en todos los datos ejecutables, incluyendo:

* El sector de arranque del sistema

* Todos los controladores de dispositivos del sistema

* Todos los módulos del sistema operativo, incluidos los programas de archivos ocultos

* Todos los programas de aplicación.

* Permitir al usuario excluir selectivamente programas o áreas de almacenamiento específicas de la función de verificación. Esto evitará que los programas o directorios que cambian con frecuencia generen mensajes de error durante el proceso de verificación.

* Realizar las verificaciones globales de manera oportuna. Si la verificación se ejecuta al iniciar el sistema, por ejemplo, no debería añadir más de 10 segundos a la secuencia de arranque por cada uno de los 50 programas del disco que deben verificarse.

* Proporcionar verificación automática. La función de verificación debe ejecutarse al menos cada vez que se enciende o reinicia el sistema. Algunos sistemas incluyen una función de reloj para que la verificación se realice automáticamente al iniciar el sistema a intervalos de tiempo especificados.

* Detener el sistema, proporcionar una advertencia visual y sonora, y esperar las instrucciones del usuario si se detecta un posible virus.

* Mostrar los nombres de todos los programas infectados o identificar claramente las áreas del sistema afectadas.

Identificación de infecciones

Los productos de identificación de infecciones deben ser capaces de:

* Identificar y eliminar múltiples cepas de virus. El número de virus existentes sigue aumentando. Por lo tanto, cuando se produce una infección, no siempre es posible identificar con certeza la cepa infecciosa. Cuantos más virus pueda distinguir el producto, mayores serán las probabilidades de identificación.

* Proporcionar información que permita al usuario determinar la precisión del diagnóstico. En algunos casos, la identificación de un virus no es tan precisa como se podría pensar. Esto se debe a que muchos virus han sido ligeramente modificados por hackers desconocidos y reintroducidos en el dominio público. Estos virus modificados a veces solo pueden detectarse mediante la comparación de muchas características diferentes. El producto debe proporcionar el grado de certeza u otra información que permita determinar el curso de acción a seguir ante cualquier virus sospechoso.

* Identificar e informar sobre todas las áreas del sistema infectadas. Es importante conocer la extensión de la infección, y el producto debe proporcionar dicha información.

* Informar al usuario sobre el grado de éxito de la eliminación. Dependiendo del tiempo que el virus haya permanecido en el sistema, la eliminación puede ser posible o no. El producto debe informar al usuario sobre las opciones disponibles en caso de duda. Las opciones disponibles deben incluir la eliminación automática o el borrado del elemento del sistema afectado.

* Analizar y eliminar la infección de todos los dispositivos conectados. Esto incluye disquetes, discos duros fijos y extraíbles, y unidades de cinta.

* Analizar automáticamente todos los subdirectorios. El producto debe ser capaz de localizar todas las áreas del sistema donde la infección pueda estar alojada, sin la intervención del usuario.

* Marcar todas las áreas del sistema donde la eliminación haya sido parcial o totalmente ineficaz. Estas áreas deben revisarse manualmente una vez finalizado el programa.

* Evitar que el programa se infecte durante el proceso de identificación y eliminación. Este es un riesgo real para muchos productos de identificación. Un producto de identificación infectado corre el riesgo de infectar todos los sistemas en los que se utilice.

■ Procedimientos de prueba

Ahora que hemos visto cómo funcionan estos productos y conocemos los criterios principales para su evaluación, estamos listos para comenzar las pruebas. La eficacia de estos productos generalmente se puede determinar sin necesidad de herramientas especializadas. Solo se requiere un procesador de texto o editor de texto, una buena utilidad de disco como Norton Utilities, conocimientos básicos de comandos del sistema operativo y una buena comprensión de los temas que hemos tratado hasta ahora.

Los procedimientos de prueba que se recomiendan a continuación posiblemente no proporcionen el mismo nivel de seguridad que podrían obtener especialistas en virus con experiencia en pruebas de laboratorio con virus reales. Sin embargo, proporcionarán mucha más información sobre el rendimiento del producto que la que se podría obtener leyendo la documentación o los folletos de venta. También proporcionarán más información que muchas de las reseñas de productos publicadas, ya que obtendrá experiencia práctica con el producto en su entorno operativo. Cualquier producto que obtenga buenos resultados en las siguientes pruebas garantiza cierto grado de protección real.

Comencemos con los productos de prevención de infecciones.

Pruebas de productos de prevención de infecciones:

Recuerde que estos productos son básicamente programas de filtrado que supervisan el sistema e intentan evitar que los virus infecten inicialmente programas u otros componentes ejecutables. Las pruebas deben determinar la eficacia con la que los productos protegen estos elementos del sistema contra modificaciones. Las pruebas también deben determinar la sensibilidad de estos productos a las actividades legítimas del sistema que podrían activar una alerta de virus. El producto ideal detectará todas las actividades realmente sospechosas e ignorará las actividades normales del sistema. Los siguientes procedimientos le darán una buena idea de la efectividad del producto: (Asegúrese de instalar el antivirus antes de ejecutar estas pruebas).

I. PRUEBA DE MODIFICACIÓN DE PROGRAMAS

Para probar la capacidad del producto para proteger los programas ejecutables de modificaciones, cree un subdirectorio temporal y copie su procesador de texto o editor de texto en él. Cree dos archivos de texto de salida llamados TEST, uno con extensión .EXE y el otro con extensión .COM. Luego, intente actualizar el archivo usando el procesador de texto o el editor de texto. Si el antivirus funciona correctamente, debería marcar tanto la creación como la actualización como una posible infección. A continuación, cree archivos de salida llamados IBMBIO.COM, IBMDOS.COM y COMMAND.COM. Intente

Modifíquelos. Se debe impedir cada intento. Finalmente, cree archivos de salida con los mismos nombres que cada uno de los controladores de dispositivo instalables en su sistema. (Consulte su archivo CONFIG.SYS para determinar los nombres de sus controladores de dispositivo si no los conoce). Intente modificar cada uno de ellos. Se debe impedir cada intento.

Repita cada uno de los pasos anteriores utilizando un disquete como dispositivo de salida, en lugar del subdirectorio del disco duro. Debería obtener los mismos resultados.

II. PRUEBA DE E/S A NIVEL DE INTERRUPCIÓN

A continuación, debemos probar la capacidad del producto para impedir la E/S a nivel de interrupción. Para ello, primero copie la rutina FORMAT a un archivo llamado TEST.COM. Ejecute TEST y formatee un disquete en la unidad A o B. El programa antivirus debería impedir el formateo y marcar el intento.

III. PRUEBA DE COMANDOS DEL SISTEMA OPERATIVO

A continuación, debemos comprobar el uso de comandos del sistema operativo. Los programas antivirus suelen marcar erróneamente los comandos del usuario cuando estos inician operaciones que imitan la actividad de un virus. Es importante seleccionar un producto que pueda distinguir entre las actividades iniciadas por el usuario y las que se producen mediante procesos de programa. Para probar esta capacidad, utilizamos algunos comandos estándar de DOS.

Utilizando los comandos estándar COPY, DELETE y RENAME, copie un programa ejecutable en un directorio diferente, cámbiele el nombre a otro archivo .EXE o .COM y, a continuación, elimínelo. Ninguna de las tres operaciones debería ser marcada por el programa antivirus.

IV. PRUEBA DE COPY, RENAME Y DELETE

A continuación, debemos verificar que las funciones anteriores se detendrían si las realizara un programa, en lugar de un usuario del sistema. Utilizando cualquier programa de utilidades que incluya las funciones de copiar, renombrar y eliminar (como X-TREE, Norton Utilities, etc.), repita los pasos anteriores. El programa antivirus debería impedir y marcar los tres intentos como posibles actividades virales.

V. PRUEBA DE AUTOMODIFICACIÓN

Muchos programas modifican sus propios módulos ejecutables en algún momento. Esto no es característico de los virus, y el proceso no puede, bajo ninguna circunstancia, provocar su propagación. El programa antivirus no debería detectar ni impedir ningún intento de modificación por parte del programa. Para comprobarlo, copie el módulo ejecutable de su procesador de textos a un archivo de respaldo. Luego, ejecute el procesador de textos, cree un documento ficticio y guárdelo con el nombre del módulo ejecutable (por ejemplo, con WordPerfect, guarde el archivo como WP.EXE). El programa antivirus debería permitir la modificación. Tras esta prueba, copie la versión guardada del programa con su nombre original.

VI. PRUEBA DEL SECTOR DE ARRANQUE

Intente modificar el sector de arranque para comprobar la capacidad del producto para impedirlo. Es fundamental en este paso que pueda restaurar el sector de arranque en caso de que falle el mecanismo de protección del producto.

Utilizando cualquier utilidad que permita leer y escribir el sector de arranque (por ejemplo, Norton Utilities), lea dicho sector y anote el contenido del primer byte. Cambie el primer byte a 00 e intente escribir el sector de nuevo en el disco. El antivirus debería impedirlo. Si falla, reemplace el contenido original del primer byte y vuelva a escribir el sector de arranque. Esta reescritura debe realizarse antes de apagar o reiniciar el sistema.

VII. COMPROBACIÓN DE MEMORIA RESIDENTE

Muchos virus modifican la estructura original de los programas para que permanezcan residentes en memoria tras su finalización. El antivirus debería detectar cualquier intento de permanecer residentes. Para probar esta función, simplemente tome cualquier programa que normalmente reside en memoria, como SIDEKICK o CACHE, y cámbiele el nombre a TEST.COM (o .EXE, según el programa). Ejecute TEST. El antivirus debería detectar el programa y mostrar un mensaje de advertencia.

Además de las pruebas anteriores, debe crear una lista de verificación con los criterios del producto descritos en la sección anterior y revisar funciones como el interruptor de activación/desactivación, la protección selectiva y otros problemas detectados.

Pruebas de detección de infecciones

Estos productos identifican una infección una vez que se ha producido. Las pruebas deben centrarse en detectar modificaciones en los componentes ejecutables del sistema, como el sector de arranque, el sistema operativo o un programa de aplicación.

Antes de describir los procedimientos de prueba, es necesario explicar cómo se adhieren los virus a los programas. Los virus pueden adjuntarse al principio, al final o en medio de un programa, o a cualquier combinación de estos. Pueden fragmentarse y dispersar segmentos del virus por todo el programa. O incluso pueden mantener el cuerpo principal del virus sin adjuntar al programa, oculto en un sector defectuoso, por ejemplo. Sin embargo, todos los virus descubiertos han modificado al menos una pequeña parte de las instrucciones iniciales del programa. Esto se debe a que un virus debe ejecutarse primero, es decir, antes que el programa anfitrión al que se ha adjuntado. Si el virus no se ejecuta antes que su programa anfitrión, entonces el entorno en el que el virus “despierta”

El posicionamiento será incierto y la probabilidad de fallo del programa será alta.

Las excepciones a esta regla de "posicionamiento" son los virus que reemplazan el programa completo, como los que infectan el sector de arranque, y los virus que atacan solo programas específicos, como archivos conocidos del sistema operativo u otros programas que se encuentran comúnmente en muchos sistemas. Estos virus pueden tomar el control en cualquier momento, ya que la estructura del programa anfitrión es bien conocida y el entorno se puede predecir en cualquier punto del procesamiento del programa anfitrión.

Las implicaciones de este perfil de conexión de virus son muy importantes: muchos productos de detección utilizan este perfil para acelerar la función de verificación del sistema. Si cada byte de cada programa se procesa en la suma de verificación u otra técnica de comparación, las funciones de verificación global (escaneo de todo el sistema) pueden tardar mucho tiempo en completarse. Los sistemas que contienen cientos de programas grandes (algo común) pueden requerir entre 5 y 15 minutos para completar la auditoría. Dado que un escaneo global debería realizarse al menos diariamente, este requisito de tiempo es una molestia significativa para el usuario promedio y un obstáculo para la implementación del producto. Los productos que solo buscan Por otro lado, las modificaciones iniciales características de las instrucciones completarían la misma auditoría en cuestión de segundos.

Sin embargo, todos los productos deben realizar una verificación completa de los programas "universales". Estos incluyen el sector de arranque, los archivos del sistema operativo y el intérprete de comandos.

Con esta información, estamos listos para comenzar las pruebas:

I. REEMPLAZO DEL SECTOR DE ARRANQUE

Utilizando una utilidad de disco, borre el mensaje "Error de arranque" dentro del sector de arranque. Luego, instale el producto de detección que desea probar. A continuación, reemplace todo el sector de arranque usando el comando SYS (consulte la Guía del usuario de DOS para obtener instrucciones sobre cómo usar este comando). Luego, ejecute la función de verificación del producto que está probando. El producto debería advertir que el nuevo sector de arranque es un reemplazo.

II. MODIFICACIÓN DEL ARRANQUE

A continuación, reinstale el producto de detección. Luego, modifique el sector de arranque aleatoriamente usando la utilidad de disco. Ejecute la rutina de verificación. El producto debería advertir que el sector de arranque ha sido modificado. (Cuando termine con este paso, ejecute el comando SYS nuevamente o use la utilidad de disco para...) (Restaurar el sector de arranque a su estado original).

III. ELIMINACIÓN DE PROGRAMAS

Copie varios archivos COM y EXE a un directorio temporal y luego elimínelos de sus directorios originales. Ejecute la función de detección. El producto debería identificar cada uno de los programas que faltan.

IV. MODIFICACIÓN DE PROGRAMAS

A continuación, copie los programas del directorio temporal a sus directorios originales. Con la utilidad de disco, modifique el primer byte de cada uno de los programas .COM. Modifique los primeros 500 bytes de los programas .EXE. Ejecute el programa de verificación. Cada modificación debería detectarse.

En este punto, debe reemplazar cada uno de los programas modificados por los programas originales almacenados en el directorio temporal.

V. SUSTITUCIÓN DE PROGRAMAS

Reemplace uno de los programas de aplicación con el programa original del disquete de distribución. Luego, modifique el programa como se indicó anteriormente. La función de verificación debería detectar la modificación.

VI. MODIFICACIÓN DEL SISTEMA

Con la utilidad de disco, copie COMMAND.COM, IBMBIO.COM e IBMDOS.COM a archivos de copia de seguridad. Modifique aleatoriamente cada uno de ellos. Abra los archivos originales con la utilidad de disco. Modifique solo un byte en cada uno. Ejecute la rutina de verificación para comprobar que se hayan detectado las modificaciones. Repita este paso varias veces con diferentes modificaciones.

Además de las pruebas anteriores, cree una lista de verificación con los criterios del producto descritos en la sección anterior y revise funciones como la protección selectiva, la verificación automática, las advertencias visuales y otros problemas detectados.

Productos de identificación de infecciones

Es prácticamente imposible probar estos productos sin una infección real, por lo que asumiré que los está evaluando para eliminar una infección real. No recomiendo obtener muestras de virus reales para probar estos productos.

La prueba definitiva para estos productos es: ¿Identificó y eliminó la infección? Si es así, ¿con qué eficacia? Realizar la prueba es bastante sencillo.

Los primeros pasos consisten en aislar el sistema infectado de los demás sistemas y obtener copias originales y limpias de los programas infectados. Cree copias de trabajo de estos programas no infectados en disquetes separados, un programa de muestra por disquete.

Inserte cada disquete Introduzca cada programa de muestra en el sistema infectado. En la mayoría de los casos, esto provocará la infección del disquete o del programa.

Utilizando una utilidad de disco, compare binariamente el disquete infectado con la copia de seguridad. Si se ha producido una infección, los disquetes serán diferentes. Separe todos los disquetes de copia de trabajo que hayan sido modificados, dientifica los disquetes infectados y etiquétalos como tales.

Ahora ejecuta el programa de identificación en cada uno de los disquetes infectados. Hazlo en un sistema limpio y no infectado. El programa debería identificar la infección en cada disquete. A continuación, haz que el programa intente eliminarla. Ejecuta cada disquete, uno por uno, a través del ciclo de eliminación. El programa debería eliminar todas las infecciones.

Para comprobar que la eliminación se realizó correctamente, toma los disquetes infectados (y ahora, con suerte, desinfectados) y realiza una comparación binaria con los disquetes de copia de seguridad originales. No debería haber ninguna discrepancia.

Si el programa ha superado las pruebas anteriores, es claramente capaz de identificar y, al menos en los discos de prueba, eliminar la infección. En este punto, debes probar su funcionamiento en el sistema infectado. Para ello, primero crea una copia de seguridad del producto. Luego, carga el programa de identificación en el sistema infectado e inicia el proceso de identificación y desinfección.

Una vez finalizada la operación, compara el disco de trabajo con el disco original del producto. No debería haber diferencias.

Además de estas pruebas, conviene revisar los criterios de estos productos que se trataron en la sección anterior y determinar factores como la usabilidad y el rendimiento.

Glosario de términos informáticos y su relación con los virus

Acceso: acto de entrar en un sistema o programa. Puede referirse a la ruta, a través de medidas de seguridad físicas, hasta donde se encuentra el sistema, o a superar barreras electrónicas, como contraseñas. Dos tipos específicos de acceso son el acceso de lectura, que permite leer archivos, y el acceso de escritura, que permite añadir o modificar datos en el sistema.

Activación: cuando un virus se activa, comienza a destruir su entorno parcial o totalmente y puede mostrar un mensaje o alterar el sistema de alguna otra forma que va más allá de la simple replicación.

Periodo de activación: tiempo transcurrido entre la infección inicial del sistema y la activación del virus, que puede oscilar entre días, semanas e incluso años.

Algoritmo: realización de tareas mediante un método lógico paso a paso. También, el procedimiento matemático utilizado en el cifrado.

Aplicación: software o programas que realizan una tarea específica para el usuario, por ejemplo, procesamiento de textos y creación de hojas de cálculo.

Lenguaje ensamblador: lenguaje de programación de bajo nivel en el que las instrucciones se escriben en grupos simples de letras y luego un ensamblador las traduce al código binario que la computadora puede entender.

Copia de seguridad: proceso de duplicar datos y programación para crear una o más copias como reserva. Esto se ha considerado durante mucho tiempo una forma segura de proteger los registros, pero ahora existe el riesgo de que un programa antivirus también pueda ser "copiado de seguridad" (guardado para uso futuro) de forma inadvertida.

Bit: abreviatura de "dígito binario". Los bits son los unos y ceros que constituyen los bloques básicos de la información almacenada en una computadora.

Dispositivos de caja negra: creados por hackers y ciberdelincuentes para acceder al sistema telefónico, en particular para realizar llamadas que eluden los procedimientos de facturación.

BASIC: lenguaje de programación. BASIC significa Código de Instrucción Simbólica de Propósito General para Principiantes.

Bomba (véase Bomba lógica y Bomba de tiempo): programación que daña el sistema. Generalmente, una bomba se configura para activarse en un momento determinado o cuando se cumplen ciertas condiciones, por ejemplo, al encontrar un archivo específico.

Arranque: el proceso de iniciar un sistema informático. Esto se logra encendiendo el interruptor de encendido y cargando las instrucciones del disco duro, un chip integrado o un disquete.

Infector de arranque: un virus que se instala en el sector de arranque de un sistema, ya sea en un disquete o un disco duro.

Sector de arranque: el sector de un disco que contiene el código de programación necesario para iniciar el sistema operativo.

Error informático: un fallo electrónico en un sistema o un error en un programa que impide que un sistema o programa realice correctamente su tarea asignada. Los virus pueden contener errores informáticos, al igual que los programas convencionales, y estos errores pueden hacer que los virus sean más o menos destructivos de lo que su creador pretendía.

Búfer: una ubicación en la memoria RAM del ordenador que almacena datos temporalmente. Muchas impresoras, por ejemplo, tienen búferes que almacenan el texto que se desea imprimir mientras se realiza la impresión. De esta forma, la impresora libera al ordenador y le permite realizar otras tareas mientras se completa la impresión.

Sistema de Cartelera Electrónica: un buzón electrónico al que los usuarios pueden acceder para enviar o recibir mensajes.

Byte: la secuencia de dígitos binarios, generalmente ocho, que compone un carácter de texto. El número de bytes se utiliza comúnmente como medida de la capacidad de la memoria de un ordenador o de un medio de almacenamiento (por ejemplo, disquetes o discos duros).

Devolución de llamada: un procedimiento de seguridad en el que el ordenador desconecta una llamada entrante tras verificar la contraseña autorizada y, a continuación, devuelve la llamada al número de teléfono registrado como perteneciente al usuario de la contraseña.

Procesamiento central: puede referirse tanto al circuito, generalmente concentrado en un componente cableado, que conforma la unidad central de procesamiento (CPU) de la computadora, como a la instalación, generalmente una minicomputadora o una computadora central, donde una organización concentra sus actividades de procesamiento centralizado de datos.

Canal: la ruta entre sistemas informáticos conectados.

Suma de verificación: el resultado del procedimiento utilizado para verificar la integridad y precisión de los sectores de un disco mediante el cálculo del número de bits en cada sector. Esto ayuda a identificar virus al medir las diferencias entre el número estándar de bits por sector de un programa original y las adiciones o eliminaciones que puedan haber resultado de infecciones virales.

Código: el conjunto de instrucciones que se le dan a la computadora. El código se presenta en diversas formas y lenguajes; por ejemplo, el código ensamblador es programación en lenguaje ensamblador y se convierte en código objeto cuando el ensamblador lo traduce a código binario comprensible para la computadora. El llamado código de alto nivel puede escribirse en lenguajes como BASIC, Fortran, C o Pascal.

.COM: extensión de un nombre de archivo que indica un programa de comandos con instrucciones para ejecutar un comando de DOS.

Compilador: programa que convierte el código fuente de lenguajes de alto nivel en código máquina.

Fallo: cuando un programa o sistema falla.

Criptografía: uso de códigos y cifrados para proteger los datos. ¡La criptografía no es necesariamente eficaz contra los virus!

Datos: información procesada por las computadoras, a diferencia de los programas que les indican qué hacer.

Base de datos: colección organizada de datos que se pueden buscar y recuperar.

Manipulación de datos: alteración de datos sin autorización.

Estándar de Cifrado de Datos (EDS): estándar de cifrado de EE. UU. Sistema de la Oficina Nacional de Estándares para el Cifrado de Datos Comerciales.

Archivos de datos: archivos que contienen información que se va a procesar, a diferencia de los archivos de programa, que ejecutan tareas que involucran dichos datos.

Dedicado: sistema o línea telefónica/de red reservada para una función específica.

Directorio: Tabla de contenido o índice de un disco que contiene los nombres, tamaños y fechas de creación de los archivos almacenados. El directorio raíz es el primer nivel de un directorio multinivel creado por DOS y tiene capacidad limitada; un subdirectorio se encuentra en el segundo nivel y lista los archivos que contiene.

Disco: Medio de almacenamiento electromagnético de datos y programación. Los pequeños que se usan en microcomputadoras también se llaman disquetes o discos duros; existe una versión de microdisquetes que se usa en Macs, laptops y otras computadoras personales. Todos los tipos son vulnerables a infecciones virales.

Unidad de disco: Hardware que lee y graba en discos, tanto en disquetes individuales como en el sistema de disco duro (o fijo) integrado en muchas computadoras.

Documentación: Información sobre un programa que se encuentra en manuales o se muestra en el monitor mientras el programa se ejecuta. El simple hecho de consultar la documentación puede activar algunos virus.

Caído: Cuando una computadora o red no funciona.

Escucha clandestina: interceptar transmisiones de voz o datos electrónicos sin autorización (véase también Piratería informática).

Pulso electromagnético: exceso de energía eléctrica que puede afectar negativamente a los sistemas informáticos.

Emulación: proceso mediante el cual un hardware o software específico imita otros dispositivos de hardware o programas de software. El software de emulación 3270 se ejecuta en un PC para emular ciertas características de un mainframe de IBM.

Mejora: optimización del rendimiento del hardware o software.

Cifrado: almacenar información en un código cifrado que no se puede leer sin la clave correspondiente.

EPROM: siglas de Memoria de Solo Lectura Programable y Borrable. Se refiere a chips electrónicos cableados que se pueden reprogramar.

.EXE: extensión de archivo para un archivo ejecutable que contiene un programa que se ejecuta en DOS, pero que generalmente es más complejo y tiene características especiales que lo distinguen de un archivo .COM.

Ejecución: hacer que un programa se ejecute.

Archivo: conjunto de datos relacionados.

Tabla de asignación de archivos: área del disco que registra la ubicación de los archivos y asigna espacio para la creación de nuevos archivos.

Comandos de atributos de archivo: comandos de DOS que se utilizan con frecuencia para evitar que los archivos se borren o modifiquen accidentalmente, convirtiéndolos en archivos de solo lectura.

Directorio del servidor de archivos: lista los archivos de un ordenador que proporcionan recursos o servicios de red a otros ordenadores.

Disco duro: disco integrado en el ordenador, también llamado disco de trabajo, que puede almacenar mucha más información y acceder a ella más rápidamente que un disquete.

Virus genérico: virus que puede adjuntarse a cualquier programa de propósito general.

Hacker: entusiasta de la informática, término que ahora se usa generalmente para referirse a cualquiera que intente acceder ilegalmente a un sistema. Un hacker es alguien que «hackea».

Copia impresa: impresión en papel de datos de un ordenador.

Disco duro — véase Disco fijo.

Hardware — equipo informático (a diferencia del software, los programas que hacen que la maquinaria informática funcione de maneras definidas).

Cableado — cuando la programación del software se convierte en un circuito electrónico permanente, por ejemplo, en un chip.

Ordenador anfitrión — un sistema informático que contiene un programa infectado.

Programa anfitrión — el programa al que se adjunta un virus. Puede ser una aplicación, como un procesador de textos o un sistema de bases de datos; una parte del sistema operativo; o cualquier parte ejecutable del sistema, como el sector de arranque o un controlador de dispositivo instalado.

Hipertexto — descrito originalmente como un concepto para la escritura no secuencial sin la estructura ni la secuencia formal de la información escrita tradicional. Posteriormente se ha utilizado para describir diversas actividades de procesamiento de textos y es el nombre de algunos programas populares de Macintosh.

Producto de detección de infecciones — un producto de hardware o software que detecta un virus después de que se haya producido la infección.

Producto de identificación de infecciones — un producto de hardware o software que identifica cepas específicas de virus en un sistema infectado y que también puede eliminar la infección.

Producto de prevención de infecciones: un producto de hardware o software que impide que un virus infecte un sistema.

Inicialización: ocurre durante el proceso de formateo, en el que se prepara un disco para su uso. También sinónimo de "arranque".

Entrada: datos y programación que ingresan al sistema informático.

Interfaz: la conexión de periféricos o la actividad del usuario con el sistema.

Aislamiento: el proceso que utiliza un virus para identificarse y distinguirse de su programa anfitrión. El aislamiento es el primer paso de la replicación.

Kilobyte: abreviado como K o KB, significa mil bytes.

Lenguaje: todas las instrucciones de un programa pertenecen al mismo lenguaje de programación. Cada lenguaje tiene diferentes capacidades y puede ser más adecuado para diferentes tareas. Los lenguajes comunes incluyen BASIC, Fortran, Cobol, C y Pascal.

Bomba lógica: programa informático que inicia una actividad destructiva cuando se cumplen ciertas condiciones; se diferencia de un virus porque no se replica.

Bucle: secciones repetidas de un programa.

Megabyte — abreviado como M o MB, que significa un millón de bytes.

Microcomputadora — una computadora pequeña que cabe en un escritorio.

Microprocesador — el circuito integrado único en un chip de silicio que contiene la unidad central de procesamiento de la computadora.

Módem — un dispositivo que modula y demodula señales electrónicas para su transmisión a través de líneas telefónicas. Modular significa transformar señales electrónicas en sonido. Los módems permiten que los compiladores interactúen a través del sistema telefónico.

Monitor — la pantalla de video que muestra información.

MS-DOS — un conjunto de programas que conforman un sistema operativo para computadoras personales que permite al usuario interactuar con la computadora y administrar sus funciones. MS es la abreviatura de Microsoft, la empresa que creó el sistema, y DOS significa Sistema Operativo de Disco.

Red de datos — un sistema de computadoras interconectadas. Pueden conectarse localmente mediante líneas directas, líneas telefónicas u otros métodos de transmisión de señales electrónicas.

Archivo no ejecutable — un archivo que no contiene instrucciones de programación y, por lo tanto, no se puede ejecutar.

Sistema operativo: conjunto de programas que permiten al usuario interactuar con la computadora y que gestionan sus funciones (véase MS-DOS).

Salida: información e instrucciones generadas por la computadora, mostradas en una pantalla, almacenadas en un disco o impresas en papel.

Contraseña: identificación, en texto o números, mediante la cual los usuarios autorizados acceden a un sistema.

PC-DOS: sistema operativo de disco para computadora personal similar a MS-DOS (véase MS-DOS).

Programa: instrucciones escritas para que una computadora ejecute tareas definidas.

PROM: memoria programable de solo lectura, software integrado con programas fijos que no pueden modificarse mediante instrucciones de software posteriores.

RAM: memoria de acceso aleatorio, información programada almacenada en dispositivos, generalmente chips de microprocesador, que el usuario puede modificar y que se pierde al apagar la computadora.

Leer: obtener datos o instrucciones de programa del almacenamiento en un disco o chip.

Replicación: proceso de autoaislamiento de un virus respecto al programa huésped actual y su posterior unión a un nuevo huésped. La replicación es el mecanismo de infección. Permite que el virus se duplique y se adhiera a cualquier número de programas y ordenadores huéspedes.

Retrovirus: tipo de virus que puede permanecer en un sistema incluso después de realizar exhaustivos procedimientos de desinfección.

ROM: memoria de solo lectura. Es información almacenada permanentemente, generalmente código de programación, que el usuario no puede modificar y que no se pierde al apagar el ordenador.

Sector: porción de un disco que contiene secciones de las pistas donde se almacena la información. Un disquete estándar tiene nueve sectores con forma de porción de pastel.

Shareware: software distribuido gratuitamente.

El shareware está disponible para los usuarios sin necesidad de un pago inicial obligatorio, a diferencia del software propietario, que se vende comercialmente. El shareware puede ser rentable para su creador cuando los usuarios pagan una cuota para registrarse y recibir documentación, actualizaciones y otros servicios.

Software: las instrucciones que le indican a una computadora qué hacer.

Sistema: un sistema informático compuesto por hardware y software.

Archivos del sistema: archivos que contienen la programación utilizada por el sistema operativo.

Terminal: el teclado y el monitor que constituyen los medios de comunicación del usuario con un sistema informático.

Bomba de tiempo: un programa dañino programado para activarse en una fecha y hora específicas.

Puerta trasera: un método de acceso a un sistema informático que elude los procedimientos de seguridad, como las contraseñas, y que a menudo se crea para permitir que el programador acceda al sistema.

Caballo de Troya: un programa dañino disfrazado de inofensivo. Muchos virus se ocultan en caballos de Troya, pero estos no tienen la capacidad de replicarse.

Unix: un sistema operativo popular entre programadores e instituciones académicas.

Estado — cuando un sistema está funcionando.

Vector — portador de un virus. Tanto un ordenador individual como una red completa pueden considerarse vectores de propagación de un virus.

Virus — segmento de código autorreplicante que se adjunta a programas de aplicación u otros componentes ejecutables del sistema. Estos segmentos de código se mueven de un programa a otro y de un ordenador a otro. Pueden replicarse un número indefinido de veces o según lo limite su creador.

Creación de virus — acto de diseñar, estructurar y codificar un virus.

Ciclo de vida del virus — fases de la vida de un virus, que incluyen la creación, la liberación, la replicación y la activación.

Liberación de virus — acto de iniciar el mecanismo de replicación del virus e insertarlo en el primer huésped. Normalmente lo realizan los creadores del virus, pero también podría hacerlo un tercero, quizás sin mala intención.

Etiqueta de volumen — nombre que identifica un disco y su contenido.

Arranque en caliente: borra el sistema y lo reinicia cargando y ejecutando el programa del sistema operativo sin apagarlo. Un arranque en frío borra y reinicia el sistema encendiendo y apagando la alimentación, por lo que suele ser más eficaz para combatir una infección por virus.

Protección contra escritura: permite leer y usar la información de los discos, pero no modificarla, ofreciendo así protección contra virus. Los discos de 5,25 pulgadas tienen una muesca cuadrada que se puede cubrir con una pequeña pestaña extraíble para protegerlos contra escritura. Los discos de 3,5 pulgadas tienen una pestaña de plástico integrada que se puede mover para protegerlos contra escritura.

Gusano: programa que destruye datos, pero no se replica como un virus.

Sobre los autores

John McAfee es presidente de Interpj, un proveedor líder de soluciones de datos.

Colin Haynes es el autor.

Tecnología y negocios

Colin Haynes lleva más de 35 años escribiendo sobre tecnología y negocios. Entre sus publicaciones y trabajos en medios de comunicación se incluyen The New York Times, The Economist, The Times of London, la British Broadcasting Corporation y muchos más.

Contratapa

Nuestro sistema informático podría estar infectado ahora mismo, sin que usted lo sepa, por un programa malicioso que se está reproduciendo y esperando para propagarse a otras víctimas a través de la línea telefónica o el disco. Si no ha practicado las técnicas de seguridad informática descritas en Virus informáticos, corre el riesgo de perder todos sus datos en cualquier momento.

Si utiliza software de código abierto o un módem, comparte datos con otros o toma prestados discos, podría convertirse en otra víctima de esta plaga electrónica que está azotando el país y el mundo.

Este libro se encuentra erpleto de explicaciones y consejos prácticos:

* Descripciones actualizadas de virus

* Los diferentes tipos de virus y cómo funcionan, incluyendo ejemplos auténticos del código fuente de cepas tan infames como el virus Pakistani Brain y el virus Alameda College

* Gusanos, troyanos, bombas lógicas, puertas traseras y otras amenazas para su sistema

* ¿Quiénes son los objetivos más probables de un ataque?

* Cómo los virus pueden infectar tu sistema, incluso si no intercambias archivos con otros

* Cómo protegerte de un ataque de virus

* Cómo detectar y eliminar un virus

* Software antivirus: qué es y cómo funciona

Análisis de las marcas más eficaces de programas antivirus

* Apéndices con estadísticas sobre ataques de virus y sobre cómo probar e implementar software de protección

* Glosario de términos relacionados con virus

Este libro ha sido seleccionado especialmente por siete clubes de lectura de Macmillan, entre ellos la Biblioteca de Ciencias de la Computación e Información, el Club de Lectura de Ordenadores Pequeños y el Programa Ejecutivo.

Ninguna parte de este libro puede ser utilizada ni reproducida de ninguna manera sin autorización por escrito, excepto en el caso de citas breves incluidas en artículos o reseñas críticas. Para obtener más información, póngase en contacto con Martin's Press, 175 Fifth Ave., 10010.