La historia del malware: una introducción a la evolución de las ciberamenazas

Malware, un acrónimo de "software malicioso", se refiere a cualquier software, código o programa informático diseñado intencionadamente para causar daño a un sistema informático o a sus usuarios. Prácticamente todos los ciberataques modernos implican algún tipo de malware. Estos programas dañinos pueden variar en gravedad desde altamente destructivos y costosos (ransomware) hasta simplemente molestos, pero inocuos (adware).

Cada año, se producen miles de millones de ataques de malware contra empresas y particulares. El malware puede infectar cualquier tipo de dispositivo o sistema operativo, incluidos Windows, Mac, iPhone y Android.

Los ciberdelincuentes desarrollan y utilizan malware para:

• Tomar como rehenes dispositivos, datos o redes empresariales a cambio de grandes sumas de dinero.
• Obtener acceso no autorizado a datos confidenciales o activos digitales
• Robar credenciales de inicio de sesión, números de tarjetas de crédito, propiedad intelectual, información de identificación personal (PII) u otra información valiosa
• Alterar los sistemas cruciales en los que confían las empresas y las agencias gubernamentales

Aunque las palabras suelen utilizarse indistintamente, no todos los tipos de malware son necesariamente virus. Malware es el término general que describe numerosos tipos de amenazas, tales como:

Virus: un virus informático se define como un programa malicioso que no puede replicarse sin la interacción humana, ya sea haciendo clic en un enlace, descargando un archivo adjunto, iniciando una aplicación específica o realizando otras acciones diversas.

Gusanos: en esencia un virus autorreplicante, los gusanos no requieren interacción humana para propagarse, haciendo un túnel profundo en diferentes sistemas informáticos y moviéndose entre dispositivos.

Redes de bots: una red de ordenadores infectados bajo el control de un único atacante conocido como "bot-herder" que trabajan al unísono.

Ransomware: uno de los tipos más peligrosos de malware, los ataques ransomware toman el control de sistemas informáticos cruciales o datos sensibles, bloqueando a los usuarios y exigiendo rescates exorbitantes en criptomoneda como Bitcoin a cambio de recuperar el acceso. El ransomware sigue siendo uno de los tipos de ciberamenazas más peligrosos en la actualidad. 

Ransomware de extorsión múltiple: como si los ataques de ransomware no fueran lo suficientemente amenazantes, el ransomware de extorsión múltiple agrega capas adicionales para causar más daños o agregar presión adicional para que las víctimas capitulen. En el caso de los ataques de ransomware de doble extorsión, el malware se utiliza no solo para cifrar los datos de la víctima, sino también para exfiltrar archivos confidenciales, como la información de los clientes, que los atacantes amenazan con hacer públicos. Los ataques de triple extorsión van aún más allá, con amenazas de interrumpir sistemas cruciales o extender el ataque destructivo a los clientes o contactos de la víctima. 

Virus de macro: son series de comandos normalmente integradas en aplicaciones más grandes para automatizar rápidamente tareas sencillas. Los virus de macro se aprovechan de las macros programáticas mediante la incrustación de software malicioso en los archivos de la aplicación que se ejecutarán cuando el usuario abra el programa correspondiente.

Troyanos: llamados así por el famoso caballo de Troya, los troyanos se disfrazan de programas útiles o se esconden en un software legítimo para engañar a los usuarios para que los instalen.

Spyware: común en el espionaje digital, el spyware se esconde dentro de un sistema infectado para recopilar en secreto información confidencial y transmitirla a un atacante.

Adware: considerado en su mayoría inofensivo, el adware suele encontrarse incluido con software gratuito y envía spam a los usuarios con ventanas emergentes no deseadas u otros anuncios. Sin embargo, algunos programas publicitarios pueden recopilar datos personales o redirigir los navegadores web a sitios web maliciosos.

Rootkit: un tipo de paquete de malware que permite a los hackers obtener acceso privilegiado de nivel de administrador a un sistema operativo de ordenador o a otros activos. 

Debido a su gran volumen y variedad, una historia completa del malware sería bastante extensa. En su lugar, echemos un vistazo a algunos momentos infames en la evolución del malware.

Mientras se construían los primeros ordenadores modernos, el matemático pionero y colaborador del Proyecto Manhattan John von Neumann desarrollaba el concepto de un programa que pudiera reproducirse y propagarse por todo un sistema. Publicado póstumamente en 1966, su trabajo, Teoría de los autómatas autorreproductores, sirve como base teórica para los virus informáticos.

Solo cinco años después de la publicación del trabajo teórico de John von Neumann, un programador llamado Bob Thomas creó un programa experimental llamado Creeper, diseñado para desplazarse entre diferentes ordenadores de ARPANET, el precursor de internet. Su colega Ray Tomlinson, considerado el inventor del correo electrónico, modificó el programa Creeper no sólo para que se moviera entre ordenadores, sino también para que se copiara de uno a otro. Así nació el primer gusano informático.

Aunque Creeper es el primer ejemplo conocido de un gusano, en realidad no es malware. Como prueba de concepto, Creeper no se creó con intenciones maliciosas y no dañaba ni perturbaba los sistemas que infectaba, sino que se limitaba a mostrar el enigmático mensaje: "I’M THE CREEPER: CATCH ME IF YOU CAN". Aceptando su propio reto, al año siguiente Tomlinson creó también Reaper, el primer software antivirus diseñado para eliminar a Creeper moviéndose de forma similar a través de ARPANET.

Desarrollado por Rich Skrenta cuando solo tenía 15 años, el programa Elk Cloner pretendía ser una broma pesada. Como miembro del club de informática de su instituto, Skranta era conocido entre sus amigos por alterar los juegos y otros programas compartidos entre los miembros del club, hasta el punto de que muchos miembros se negaban a aceptar un disco del conocido bromista.

En un esfuerzo por alterar el software de los discos a los que no podía acceder directamente, Skranta inventó el primer virus conocido para ordenadores Apple. Lo que ahora llamaríamos un virus del sector de arranque, Elk Cloner se propagaba infectando el sistema operativo DOS 3.3 de Apple y, una vez transferido desde un disquete infectado, se copiaba a sí mismo en la memoria del ordenador. Cuando más tarde se insertaba un disco no infectado en el ordenador, Elk Cloner se copiaba a sí mismo en ese disco y se propagaba rápidamente entre la mayoría de los amigos de Skranta. A pesar de ser deliberadamente malicioso, Elk Cloner podía sobreescribir y borrar algunos disquetes de forma inadvertida. También contenía un mensaje poético que decía:

ELK CLONER:

THE PROGRAM WITH A PERSONALITY

IT WILL GET ON ALL YOUR DISKS

IT WILL INFILTRATE YOUR CHIPS

YES IT’S CLONER!

IT WILL STICK TO YOU LIKE GLUE

IT WILL MODIFY RAM TOO

SEND IN THE CLONER!

Aunque el gusano Creeper podía moverse entre ordenadores en ARPANET, antes de la adopción generalizada de Internet la mayor parte del malware se transmitía a través de disquetes como Elk Cloner. Sin embargo, mientras los efectos de Elk Cloner se limitaron a un pequeño club informático, el virus Brain se extendió por todo el mundo.

Creado por los hermanos pakistaníes Amjad y Basit Farooq Alvi, distribuidores de software médico, Brain está considerado el primer virus para el IBM Personal Computer y se desarrolló inicialmente para evitar la infracción de derechos de autor. El virus tenía como objetivo evitar que los usuarios utilizaran versiones copiadas de su software. Cuando se instalaba, Brain mostraba un mensaje que invitaba a los piratas a llamar a los hermanos para que les administraran una vacuna. Subestimando lo extendido que estaba su problema de piratería, los Alvis recibieron su primera llamada de Estados Unidos, seguida de muchísimas más de todo el mundo.

El gusano Morris es otro precursor del malware que no se creó con intenciones maliciosas, sino como prueba de concepto. Desafortunadamente para su creador, el estudiante del MIT Robert Morris, el gusano demostró ser mucho más eficaz de lo que había previsto. En ese momento, solo unos 60 000 ordenadores tenían acceso a Internet, principalmente en universidades y dentro del ejército. Diseñado para explotar una puerta trasera en los sistemas Unix y permanecer oculto, el gusano se propagó rápidamente, copiándose una y otra vez e infectando a un 10 % de todos los ordenadores conectados en red.

Como el gusano no sólo se copiaba a sí mismo en otros ordenadores, sino que también se copiaba repetidamente en los ordenadores infectados, consumía memoria sin querer y paralizaba varios PC. Como primer ciberataque generalizado en Internet del mundo, el incidente causó daños que, según algunas estimaciones, se cifran en millones. Por su parte, Robert Morris fue el primer ciberdelincuente condenado por ciberfraude en Estados Unidos.

Aunque no tan dañino como el gusano Morris, una década más tarde Melissa demostró lo rápido que puede propagarse el malware por correo electrónico, infestando aproximadamente un millón de cuentas de correo electrónico y al menos 100 000 ordenadores en el lugar de trabajo. Este gusano, el de más rápida propagación en su época, causó importantes sobrecargas en los servidores de correo electrónico Microsoft Outlook y Microsoft Exchange, lo que provocó ralentizaciones en más de 300 empresas y organismos públicos, entre ellos Microsoft, el Equipo de Respuesta a Emergencias Informáticas del Pentágono y unas 250 organizaciones más.

Como la necesidad es la madre de la invención, cuando Onel de Guzman, un filipino de 24 años, se vio incapaz de pagar un servicio de acceso telefónico a Internet, creó un gusano macrovirus que robaba las contraseñas de otras personas, convirtiendo a ILOVEYOU en el primer malware de importancia. El ataque es uno de los primeros ejemplos de ingeniería social y phishing. De Guzman utilizó la psicología para aprovecharse de la curiosidad de las personas y manipularlas para que descargaran archivos adjuntos de correo electrónico maliciosos disfrazados de cartas de amor. "Me di cuenta de que muchas personas quieren un novio, se quieren mutuamente, quieren amor", dijo de Guzman. 

Una vez infectado, el gusano no sólo robaba contraseñas, sino que también borraba archivos y causaba daños millonarios, llegando incluso a paralizar el sistema informático del Parlamento del Reino Unido durante un breve periodo. Aunque de Guzman fue capturado y arrestado, se retiraron todos los cargos, ya que en realidad no había infringido ninguna ley local.

Al igual que ILOVEYOU, el gusano Mydoom también utilizó el correo electrónico para autorreplicarse e infectar sistemas de todo el mundo. Una vez arraigado, Mydoom secuestraría el ordenador de la víctima para enviar por correo electrónico más copias de sí mismo. Asombrosamente eficaz, el spam Mydoom llegó a representar el 25 % de todos los correos electrónicos enviados en el mundo, un récord que nunca se ha batido, y acabó causando daños por valor de 35 000 millones de dólares. Ajustado a la inflación, sigue siendo el malware más destructivo monetariamente jamás creado.

Además de secuestrar programas de correo electrónico para infectar tantos sistemas como fuera posible, Mydoom también utilizó ordenadores infectados para crear una botnet y lanzar ataques de denegación de servicio distribuido ( DDoS). A pesar de su impacto, los ciberdelincuentes detrás de Mydoom nunca han sido capturados ni identificados.

Identificado por primera vez en 2007, Zeus infectó ordenadores personales a través de phishing y drive-by-downloads y demostró el peligroso potencial de un virus de tipo troyano que puede distribuir muchos tipos diferentes de software malicioso. En 2011, se filtraron su código fuente y su manual de instrucciones, que proporcionaban datos valiosos tanto para los profesionales de la ciberseguridad como para otros hackers.

CryptoLocker, uno de los primeros casos de ransomware, es conocido por su rápida propagación y sus potentes (para su época) capacidades de cifrado asimétrico. Distribuido a través de redes de bots no autorizadas capturadas por el virus Zeus, CryptoLocker cifra sistemáticamente los datos de los PC infectados. Si el PC infectado es un cliente de una red local, como una biblioteca o una oficina, los recursos compartidos son el primer objetivo.

Para recuperar el acceso a estos recursos cifrados, los creadores de CryptoLocker solicitaron un rescate de dos bitcoins, que en ese momento estaban valorados en unos 715 dólares. Por suerte, en 2014 el Departamento de Justicia, en colaboración con agencias internacionales, logró hacerse con el control de la malintencionada red de bots y descifrar los datos de los rehenes de forma gratuita. Por desgracia, el programa CryptoLocker también se propaga a través de ataques de suplantación de identidad básicos y sigue siendo una amenaza persistente.

El troyano Emotet, al que Arne Schoenbohm, director de la Oficina Alemana de Seguridad de la Información, calificó en su día de "rey del malware", es un excelente ejemplo de lo que se conoce como malware polimórfico, que dificulta su erradicación total por parte de los especialistas en seguridad de la información. El malware polimórfico funciona alterando ligeramente su propio código cada vez que se reproduce, creando no una copia exacta, sino una variante igualmente peligrosa. De hecho, es más peligroso porque los troyanos polimórficos son más difíciles de identificar y bloquear para los programas antimalware.

Al igual que el troyano Zeus, Emotet persiste como un programa modular que se utiliza para distribuir otras formas de malware y, a menudo, se comparte a través de ataques de phishing tradicionales.

A medida que los ordenadores siguen evolucionando, pasando de los de escritorio a los portátiles, a los dispositivos móviles y a una miríada de dispositivos conectados en red, también lo hace el malware. Con el auge del Internet de las cosas, los dispositivos inteligentes IoT presentan una nueva y enorme oleada de vulnerabilidades. Creada por el estudiante universitario Paras Jha, la botnet Mirai encontró y se hizo cargo de un gran número de cámaras CCTV, en su mayoría habilitadas para IoT, con una seguridad débil.

Inicialmente diseñada para atacar servidores de juegos con ataques DoS, la red de bots Mirai era incluso más potente de lo que Jha había previsto. Al centrar su atención en un importante proveedor de DNS, dejó sin acceso a Internet grandes franjas de la costa este de Estados Unidos durante casi un día entero.

Aunque el malware ya había desempeñado un papel en la guerra cibernética durante muchos años, 2017 fue un año destacado para los ciberataques patrocinados por el Estado y el espionaje virtual, comenzando con un ransomware relativamente poco llamativo llamado Petya. A pesar de su peligrosidad, el ransomware Petya se propagó a través del phishing y no fue especialmente infeccioso hasta que se modificó en el gusano limpiador NotPetya, un programa que parecía un ransomware, pero que destruía los datos de los usuarios incluso si se enviaba el pago del rescate. Ese mismo año, el gusano ransomware WannaCry atacó varios objetivos de alto perfil en Europa, en particular el Servicio Nacional de Salud británico.

Se cree que NotPetya está vinculado a la inteligencia rusa, que podría haber modificado el virus Petya para atacar a Ucrania, y WannaCry podría estar relacionado con sectores adversarios similares del gobierno norcoreano. ¿Qué tienen en común estos dos ataques de malware? Ambos fueron habilitados por un exploit de Microsoft Windows apodado Eternalblue, que fue descubierto por primera vez por la Agencia Nacional de Seguridad. Aunque Microsoft acabó descubriendo y parcheando la vulnerabilidad, criticó a la NSA por no informar de ella antes de que los piratas informáticos pudieran aprovecharla.

En los últimos años, el malware ransomware ha despegado y disminuido. Sin embargo, aunque los casos de ataques exitosos de ransomware pueden estar disminuyendo, los hackers se dirigen a objetivos más destacados y causan mayores daños. Ahora, el ransomware como servicio (RaaS) es una tendencia preocupante que ha cobrado impulso en los últimos años. Ofrecido en los mercados de la dark web, RaaS proporciona un protocolo plug-and-play en el que hackers profesionales llevan a cabo ataques de ransomware a cambio de una tarifa. Mientras que los ataques de malware anteriores requerían cierto grado de conocimientos técnicos avanzados, los grupos mercenarios que ofrecen RaaS dan poder a cualquiera con malas intenciones y dinero para gastar.

El primer ataque de ransomware de doble extorsión de alto perfil tuvo lugar en 2019, cuando los hackers se infiltraron en la agencia de personal de seguridad Allied Universal, cifrando simultáneamente sus datos mientras amenazaban con publicar los datos robados en línea. Esta capa adicional significaba que incluso si Allied Universal hubiera podido descifrar sus archivos, seguirían sufriendo una vulneración de datos perjudicial. Aunque este ataque fue digno de mención, el del oleoducto Colonial de 2021 es más notorio por la gravedad de la amenaza implícita. En ese momento, el oleoducto Colonial era responsable del 45 % de la gasolina y el combustible para aviones del este de los Estados Unidos. El ataque, que duró varios días, afectó tanto al sector público como al privado en toda la costa este, y llevó al Presidente Biden a declarar temporalmente el estado de emergencia.

Aunque puede parecer que los ataques de ransomware están disminuyendo, los ataques altamente dirigidos y efectivos siguen presentando una amenaza escalofriante. En 2022, Costa Rica sufrió una serie de ciberataques con ransomware que, en primer lugar, paralizaron el Ministerio de Hacienda y afectaron incluso a empresas civiles de importación y exportación. Un ataque posterior desconectó el sistema sanitario del país, lo que afectó directamente a todos los ciudadanos del país. Como resultado, Costa Rica hizo historia como el primer país en declarar un estado de emergencia nacional en respuesta a un ciberataque.