El primer virus informático se propaga en red (1988)

Estos dos últimos días he estado entresacando párrafos del libro Los piratas del chip, de su primera edición de noviembre de 1992. En esta vieja obra Bryan Clough y Paul Mungo van narrando de manera casi novelada aquellos años ochenta en los que los delitos informáticos empezaban a saltar a la prensa, desde el hacking hasta los virus informáticos, llenándolo de anécdotas entremezcladas con datos y fechas. Algunas de estas aseveraciones se ven contradecidas por otros autores posteriores, pero en la mayoría de las referencia aportadas parece haber un acuerdo generalizado.

El libro comienza narrando un preámbulo con los inicios de Fry Guy en 1987, cuando aún tenía sólo 13 años, para acto seguido iniciar la historia en el capítulo 1 con el nacimiento del phreaking, "palabra derivada de freak, phone y free, cuyo principio era un simple pasatiempo y su propósito no era más que la manipulación del sistema telefónico Bell", según la obra. Esto ocurría a finales de los sesenta y principios de los setenta del pasado siglo. "En 1971 la revista Esquire dio a conocer la moda de esta práctica en un artículo de Ron Rosenbaum con el título Los secretos de la caja azul. Era la primera vez que se hablaba del phreaking en una publicación de gran difusión y es el único artículo de que se dispone para remontarse a sus comienzos."

Avanzamos 18 años en el tiempo, al 2 de noviembre de 1988. Los virus y el que se podía augurar como próspero negocio del software antivirus hacen acto de presencia en la vida social y pública, en los medios de comunicación, en la prensa y en las conversaciones de los informáticos de la época. Y ese día, un hecho daría el espaldarazo final a su propagación como realidad imparable.

Entre las 5 y las 6 de la tarde de aquel miércoles, hora occidental [de EEUU], se cargó un programa dañino en el sistema de ARPAnet [red que diera lugar a Interne, aunque en aquel momento coexistían ambas]. Tres horas más tarde, al otro lado del continente, en la Rand Corporation de Santa Mónica, los operadores observaron que sus ordenadores se paraban. Algo ocupaba el espacio del ordenador; las máquinas iban cada vez más despacio. A las 10:45 los administradores de la Universidad de California en Berkeley descubrieron lo que creían era un hacker tratando de penetrar en sus sistemas. A medida que los intentos proseguían y los ataques aumentaban, comprendieron con horror que no se trataba de un hacker. Era un programa, y se estaba multiplicando.

Al mismo tiempo, el programa estaba atacando el Laboratorio de Inteligencia Artificial del MIT, así como otros diversos aparatos en Purdue, Princeton y Stanford. Se movía por las redes, y pasó de ARPAnet a MILnet -la red informática del Departamento de Defensa [de EEUU]- y después a Internet, que por sí sóla une 400 redes locales [¡en aquel entonces!]. Se difundió al Lawrence Livermore National Laboratory, después a la Universidad de Maryland, de nuevo al otro lado del país, a la Universidad de California en San Diego, y finalmente al Ames Laboratory de la NASA y a la Biblioteca Nacional Los Álamos de Nuevo México. En pocas horas, todo el sistema Internet estuvo sitiado. Peter Yee, de Ames, envió el primer aviso en el servicio de correo electrónico de la red a las 2:28 de la madrugada: "Estamos siendo atacados por un virus de Internet."

[...]

A medianoche, las autopistas electrónicas entre los 60.000 o más ordenadores interconectados en Internet y ARPAnet [año 1988] estaban tan atascadas por el trafico que los especialistas informáticos fueron despertados de su sueño y llamados a sus oficinas para ayudar a luchar contra el ataque. La mayoría de ellos no regresó a casa hasta la noche siguiente.

A las 3:34 de la madrugada del 3 de noviembre, poco después de que Yee hubiera dado la primera voz de alarma, otro mensaje acerca del virus fue enviado desde Harvard. Este mensaje era mucho más útil: no se trataba sólo de un aviso, sino que ofrecía sugerencias constructivas. Explicaba tres pasos que servían para detenerlo. El remitente anónimo [que más tarde se desvelaría como colaborador o amigo del autor del gusano] parecía estar bien informado sobre sus mecanismos; sin embargo, debido al caos que reinaba en la red, el mensaje no llegó hasta 49 horas después.

[...]

Al principio se creía que los 60.000 ordenadores de las redes sitiadas corrían peligro. Pero pronto se hizo evidente que el programa dañino estaba atacando sólo a modelos concretos: máquinas Sun Microsystems Sun 3 y ordenadores VAX, con variantes del sistema operativo UNIX. Pero lo más evidente era que el programa dañino se estaba multiplicando a una velocidad devastadora, pasando de un ordenador a otro, reinfectando las máquinas una y otra vez [luego se descubrió que era un fallo dentro del programa, pues la idea era que sólo se reprodujera una vez dentro de cada máquina]. A medida que las reinfecciones se multiplicaban, los sistemas empezaron a quedarse atascados; después, las máquinas se quedaron sin espacio y se estropearon.

[...]

El programa dañino, según se descubrió posteriormente, iba de ordenador en ordenador aprovechando los defectos de la versión de Berkeley del UNIX. El principal defecto se encontraba en el sendmail, programa creado para enviar correo electrónico entre ordenadores de las redes interconectadas. Una trampilla [agujero o fallo de seguridad, o también puerta trasera] en el sendmail permitía que las órdenes, opiniéndose al correo electrónico, fueran enviadas de un ordenador a otro. Esas órdenes eran el programa dañino. Además del defecto del sendmail, el programa dañino intentaba adivinar las contraseñas para saltar a ordenadores objetivo. Su rutina de la contraseña utilizaba tres métodos: probaba permutaciones simples de los nombres de usuarios conocidos, probaba una lista de 432 contraseñas utilizadas frecuentemente y también probaba nombres del propio diccionario del ordenador anfitrión. Un análisis temprano del programa -realizado a las 4 de la madrugada del jueves por la mañana, tras el ataque inicial- lo describía como "de gran calidad". Unas 12 horas después de su emisión, se estimaba que unos 6.200 ordenadores de Internet habían sido infectados. Los costes, en tiempo de inactividad y personal, iban en aumento.

A las 5 de la madrugada el equipo de Berkeley envió la primera serie de instrucciones provisionales creadas para detener la propagación. Posteriormente, el jueves, el equipo de Purdue envió otro boletín electrónico que catalogaba métodos para erradicar el programa. En Berkeley se aislaron las trampillas que el virus había utilizado, y se anunciaron los procedimientos para cerrarlas.

Una vez acallada la conmoción, cuando los especialistas en informática habían limpiado ya las memorias de sus máquinas y comprobado todo el software, se empezó a pensar en las razones del ataque.

[...]

El programa dañino de Internet se convirtió en un acontecimiento para los medios de comunicación. El New York Times dijo del incidente que era "el mayor asalto jamás realizado contra los sistemas de la nación"; el programa mismo se hizo conocido como el virus de Internet o el gusado de Internet. En una rueda de prensa celebrada el jueves en el MIT, el día siguiente de que el gusano fuera lanzado a ARPAnet, los científicos informáticos de la universidad, normalmente reticentes a la publicidad, se encontraron frente a 10 equipos de televisión y 25 periodistas. Los investigadores del MIT pensaron que a la prensa le interesaba sobre todo confirmar los detalles o del colapso de todo el sistema informático de Estados Unidos o del comienzo de una nueva guerra mundial, o preferiblemente ambas cosas. Un participante tuvo visiones espeluznantes de un titular de tabloide: "Virus informático escapa a los humanos: 96 muertos."

El caso fue dado a conocer en todo el mundo. Al difundir la noticia, el alcance del daño producido se fue ampliando... Una de las primeras estimaciones, facilitada por John McAfee, el presidente de la CVIA, fue que limpiar las redes y reparar los defectos del sistema costaría 96 millones de dólares. Se calculó al principio que unas 6.200 máquinas, o el 10% de los ordenadores de Internet [insisto, de 1988], habían sido infectadas; posteriormente, cabezas más frías revisaron esta cifra y la redujeron a unos 2.000. El coste real ha sido evaluado en 150.000 dólares. La estimación de McAfee de 96 millones de dólares se desestimó por considerarla "muy exagerada y que servía a sus propios fines".

(Los textos entre corchetes son aportaciones propias que no aparecen en la publicación original.)

Terminan el relato Clough y Mungo con la identificación del autor de aquel gusano, Robert Morris Jr., hijo de Robert Morris Sr., científico jefe del National Computer Security Center y experto en delitos informáticos reconocido en toda la nación, veterano de los Bell Laboratories y creador del juego de alta tecnología Core Wars allá por los años sesenta del pasado siglo.

El 22 de enero de 1989 un juez federal condenó a Robert Morris hijo a tres años de libertad condicional, una multa de 10.000 dólares y 400 horas de servicios a la comunidad en lo que sería la primera sentencia en aplicación de la Ley de Fraudes y Abusos Informáticos que había sido aprobada tres años antes en USA y que fuera posteriormente un referente internacional en derecho informático.

Las cartas estaban echadas. McAfee había conseguido abrir un nuevo mercado aprovechando las circunstancias; Norton no tardó en crear su propio antivirus; en España, que no siempre hacemos las cosas los últimos ni mal, nace Panda Software; otros muchos se subieron al carro. Los virus se habían convertido en una cuestión empresarial.

Con esto termino este copia y pega a trozos que espero haya sido de agrado del lector, empezando con la prehistoria de los virus, los primeros pasos de la industria y terminando con esta novelada primera infección masiva a través de una red distribuida de ordenadores.