La historia del malware: una guía sobre la evolución de las amenazas cibernéticas

Malware, un acrónimo de "software malicioso", se refiere a cualquier software, código o programa informático diseñado intencionalmente para causar daño a un sistema informático o a sus usuarios. Prácticamente todos los ciberataques modernos implican algún tipo de malware. Estos programas dañinos pueden variar en gravedad, desde altamente destructivos y costosos (ransomware) hasta simplemente molestos, pero, por lo demás, inofensivos (adware).

Cada año hay miles de millones de ataques de malware contra empresas y particulares. El malware puede infectar cualquier tipo de dispositivo o sistema operativo, incluidos Windows, Mac, iPhone y Android.

Los delincuentes cibernéticos desarrollan y utilizan malware para:

• Mantener como rehenes dispositivos, datos o redes empresariales por grandes sumas de dinero
• Obtener acceso no autorizado a datos confidenciales o activos digitales
• Robar credenciales de inicio de sesión, números de tarjetas de crédito, propiedad intelectual, información de identificación personal (PII) u otra información valiosa
• Interrumpir los sistemas críticos en los que confían las empresas y las agencias gubernamentales

Si bien las palabras a menudo se usan indistintamente, no todos los tipos de malware son necesariamente virus. Malware es el término general que describe numerosos tipos de amenazas, tales como:

Virus: un virus informático se define como un programa malicioso que no puede replicarse sin la interacción humana, ya sea a través de un enlace, la descarga de un archivo adjunto, el lanzamiento de una aplicación específica o varias otras acciones.

Gusanos: esencialmente, un virus de autorreplicación, los gusanos no requieren interacción humana para propagarse, penetrando profundamente en diferentes sistemas informáticos y moverse entre dispositivos.

Botnets: una red de computadoras infectadas bajo el control de un único atacante conocido como "bot herder" que trabaja en conjunto.

Ransomware: uno de los tipos de malware más peligrosos, los ataques de ransomware toman el control de sistemas informáticos críticos o datos confidenciales, bloqueando a los usuarios y requiriendo rescates exorbitantes en criptomonedas, como Bitcoin, a cambio de recuperar el acceso. El ransomware sigue siendo uno de los tipos de amenazas cibernéticas más peligrosos en la actualidad. 

Ransomware de extorsión múltiple: como si los ataques de ransomware no fueran lo suficientemente amenazantes, el ransomware de extorsión múltiple agrega capas adicionales para causar más daños o agregar presión adicional para que las víctimas se rindan. En el caso de los ataques de ransomware de doble extorsión, el malware se emplea no solo para cifrar los datos de la víctima, sino también para exfiltrar archivos confidenciales, como la información de los clientes, que los atacantes amenazan con divulgar públicamente. Los ataques de triple extorsión van aún más allá, con amenazas de interrumpir sistemas críticos o extender el ataque destructivo a los clientes o contactos de una víctima. 

Virus de macros: las macros son series de comandos que suelen integrarse en aplicaciones más grandes para automatizar rápidamente tareas sencillas. Los virus de macros aprovechan las macros programáticas incrustando software malicioso en los archivos de aplicación que se ejecutarán cuando el usuario abra el programa correspondiente.

Troyanos: llamados así por el famoso caballo de Troya, los troyanos se disfrazan de programas útiles o se esconden dentro de software legítimo para engañar a los usuarios para que los instalen.

Spyware: común en el espionaje digital, el spyware se esconde dentro de un sistema infectado para recopilar secretamente información confidencial y transmitirla de vuelta a un atacante.

Adware: considerado en su mayoría inofensivo, el adware generalmente se encuentra incluido con software gratis y envía spam a los usuarios con ventanas emergentes no deseadas u otros anuncios. Sin embargo, algunos programas publicitarios pueden recopilar datos personales o redirigir los navegadores web a sitios web maliciosos.

Rootkit: un tipo de paquete de malware que permite a los hackers obtener acceso privilegiado y de nivel de administrador a un sistema operativo de computadora o a otros activos. 

Debido al gran volumen y variedad, un historial completo de malware sería bastante largo. Ese es un vistazo a algunos momentos tristemente célebres en la evolución del malware.

Mientras se construían las primeras computadoras modernas, el matemático pionero y colaborador del Proyecto Manhattan, John von Neumann, estaba desarrollando el concepto de un programa que se pudiera reproducir y propagar por todo un sistema. Publicado póstumamente en 1966, su trabajo, Theory of Self-Reproducting Automata, sirve como base teórica para los virus informáticos.

Apenas cinco años después de la publicación del trabajo teórico de John von Neumann, un programador llamado Bob Thomas creó un programa experimental llamado Creeper, diseñado para moverse entre diferentes computadoras en ARPANET, un precursor de la Internet moderna. Su colega Ray Tomlinson, considerado el inventor del correo electrónico, modificó el programa Creeper no solo para moverse entre computadoras, sino también para copiarse de una a otra. Así nació el primer gusano informático.

Aunque Creeper es el primer ejemplo conocido de gusano, en realidad no es malware. Como prueba de concepto, Creeper no se creó con intenciones maliciosas y no dañaba ni alteraba los sistemas que infectaba, sino que se limitaba a mostrar el caprichoso mensaje: "SOY CREEPER: ATRÁPAME SI PUEDES". Aceptando su propio reto, al año siguiente, Tomlinson creó también Reaper, el primer software antivirus diseñado para eliminar a Creeper al moverse de forma similar a través de ARPANET.

Desarrollado por Rich Skrenta cuando tenía solo 15 años, el programa Elk Cloner fue pensado como una broma. Como miembro del club de computación de su escuela preparatoria, Skranta era conocido entre sus amigos por alterar los juegos y otro software compartido entre los miembros del club, hasta el punto de que muchos miembros se negaban a aceptar un disco del conocido bromista.

En un esfuerzo por alterar el software de los discos a los que no podía acceder directamente, Skranta inventó el primer virus conocido para computadoras Apple. Lo que ahora llamaríamos un virus del sector de arranque, Elk Cloner se propagaba infectando el sistema operativo Apple DOS 3.3 y, una vez transferido desde un disquete infectado, se copiaba en la memoria de la computadora. Cuando más tarde se insertaba un disco no infectado en la computadora, Elk Cloner se copiaba en ese disco y se propagaba rápidamente entre la mayoría de los amigos de Skranta. Aunque deliberadamente malicioso, Elk Cloner podría sobreescribir y borrar inadvertidamente algunos disquetes. También contenía un mensaje poético que decía:

ELK CLONER:

EL PROGRAMA CON PERSONALIDAD

SE LLEVARÁ TODOS SUS DISCOS

SE INFILTRARÁ EN SUS CHIPS

¡SÍ, ES CLONER!

SE ADHERIRÁ COMO EL PEGAMENTO

TAMBIÉN MODIFICARÁ LA RAM

¡ENVÍEN EL CLONER!

Si bien el gusano Creeper podía moverse a través de computadoras en ARPANET, antes de la adopción generalizada de Internet, la mayoría del malware se transmitía a través de disquetes, como Elk Cloner. Sin embargo, aunque los efectos de Elk Cloner se limitaron a un pequeño club informático, el virus Brain se propagó por todo el mundo.

Creado por los distribuidores de software médico paquistaníes y los hermanos Amjad y Basit Farooq Alvi, Brain se considera el primer virus para IBM Personal Computer, y se desarrolló inicialmente para evitar la infracción de derechos de autor. El virus estaba destinado a evitar que los usuarios emplearan versiones copiadas de su software. Cuando se instalaba, Brain mostraba un mensaje que pedía a los piratas que llamaran a los hermanos para recibir la vacuna. Al subestimar lo extendido que era su problema de piratería, los Alvis recibieron su primera llamada desde Estados Unidos, seguida de muchas más de todo el mundo.

El gusano Morris es otro precursor de malware que no se creó con intenciones maliciosas, sino como prueba de concepto. Desafortunadamente para el creador, el estudiante del MIT, Robert Morris, el gusano demostró ser mucho más efectivo de lo que había previsto. En ese momento, solo alrededor de 60 000 computadoras tenían acceso a Internet, principalmente en universidades y dentro del ejército. Diseñado para explotar una puerta trasera en los sistemas Unix y para permanecer oculto, el gusano se propagó rápidamente, copiándose una y otra vez e infectando un 10 % de todas las computadoras en red.

Debido a que el gusano no solo se copiaba en otras computadoras, sino que también se copiaba de manera reiterada en las computadoras infectadas, involuntariamente consumía memoria y paralizaba varias PC. El incidente, que fue el primer ciberataque generalizado a Internet del mundo, causó daños que, según algunas estimaciones, ascendieron a millones. Por su participación en este crimen, Robert Morris fue el primer delincuente cibernético condenado por fraude cibernético en Estados Unidos.

Aunque no es tan dañino como el gusano Morris, aproximadamente una década después, Melissa demostró lo rápido que puede propagarse el malware por correo electrónico, infestando aproximadamente un millón de cuentas de correo electrónico y al menos 100 000 computadoras en el lugar de trabajo. El gusano de más rápida propagación para su época, causó grandes sobrecargas en los servidores de correo electrónico de Microsoft Outlook y Microsoft Exchange, lo que provocó retrasos en más de 300 corporaciones y agencias gubernamentales, incluida Microsoft, el Equipo de Respuesta ante Emergencias Informáticas del Pentágono y aproximadamente 250 organizaciones adicionales.

Siendo la necesidad la madre de la invención, cuando Onel de Guzmán, un filipino de 24 años, se encontró incapaz de costear el servicio de acceso telefónico a Internet, creó un virus gusano de macro que robaba las contraseñas de otras personas, convirtiendo a ILOVEYOU en la primera pieza significativa de malware. El ataque es un ejemplo temprano de ingeniería social y phishing. De Guzmán empleó la psicología para apoderarse de la curiosidad de las personas y manipularlas para que descargaran archivos adjuntos de correo electrónico maliciosos disfrazados de cartas de amor. “Me di cuenta de que muchas personas quieren un novio, se quieren entre sí, quieren amor”, dijo de Guzmán. 

Una vez infectado, el gusano hizo más que robar contraseñas: también borró archivos y causó millones en daños, e incluso apagó el sistema informático del Parlamento del Reino Unido por un breve período. A pesar de que de Guzmán fue capturado y arrestado, todos los cargos fueron retirados, ya que en realidad no había infringido ninguna ley local.

Al igual que ILOVEYOU, el gusano Mydoom también empleó el correo electrónico para autorreplicarse e infectar sistemas en todo el mundo. Una vez que se arraigaba, Mydoom secuestraba la computadora de una víctima para enviar más copias de sí mismo por correo electrónico. Asombrosamente eficaz, el spam de Mydoom representó en su momento el 25 % de todos los correo electrónicos enviados en todo el mundo, un récord que nunca se batió, y terminó causando daños por 35 000 millones de dólares. Ajustado a la inflación, sigue siendo la pieza de malware más destructiva desde el punto de vista monetario jamás creada.

Además de secuestrar programas de correo electrónico para infectar tantos sistemas como fuera posible, Mydoom también empleó computadoras infectadas para crear un botnet y lanzar ataques de denegación distribuida del servicio (DDoS). A pesar de su impacto, los delincuentes cibernéticos detrás de Mydoom nunca fueron capturados ni identificados.

Identificado por primera vez en 2007, Zeus infectó computadoras personales a través de phishing y descargas ocultas, y demostró el peligroso potencial de un virus de estilo troyano que puede entregar muchos tipos diferentes de software malicioso. En 2011, se filtraron su código fuente y su manual de instrucciones, lo que proporcionó datos valiosos tanto para los profesionales de la ciberseguridad como para otros hackers.

CryptoLocker, una de las primeras instancias de ransomware, es conocido por su rápida propagación y sus potentes (para su época) capacidades de cifrado asimétrico. Distribuido a través de botnets no autorizados capturados por el virus Zeus, CryptoLocker cifra sistemáticamente los datos en las PC infectadas. Si la PC infectada es un cliente en una red local, como una biblioteca u oficina, los recursos compartidos se atacan primero.

Para recuperar el acceso a estos recursos encriptados, los fabricantes de CryptoLocker solicitaron un rescate de dos bitcoins, que en su momento estaban valorados en aproximadamente 715 USD. Por suerte, en 2014, el Departamento de Justicia, en colaboración con agencias internacionales, logró tomar el control del botnet malicioso y descifrar los datos de rehenes de forma gratuita. Por suerte, el programa CyrptoLocker también se propaga a través de ataques básicos de phishing y sigue siendo una amenaza persistente.

Una vez llamado el "rey del malware" por Arne Schoenbohm, jefe de la Oficina Alemana de Seguridad de la Información, el troyano Emotet es un excelente ejemplo de lo que se conoce como malware polimórfico, lo que dificulta que los especialistas en seguridad de la información lo erradiquen por completo. El malware polimórfico funciona alterando ligeramente su propio código cada vez que se reproduce, creando no una copia exacta, sino una variante que es igual de peligrosa. De hecho, es más peligrosa porque los troyanos polimórficos son más difíciles de identificar y bloquear para los programas antimalware.

Al igual que el troyano Zeus, Emotet persiste como un programa modular que se emplea para distribuir otras formas de malware y, a menudo, se comparte a través de ataques de phishing tradicionales.

A medida que las computadoras continúan evolucionando, pasando de computadoras de escritorio a computadoras portátiles, dispositivos móviles y una gran cantidad de dispositivos en red, también lo hace el malware. Con el auge del Internet de las cosas, los dispositivos IoT inteligentes presentan una nueva y vasta ola de vulnerabilidades. Creada por el estudiante universitario Paras Jha, el botnet Mirai encontró y se hizo cargo de una gran cantidad de cámaras de CCTV, en su mayoría habilitadas para IoT, con una seguridad débil.

Inicialmente diseñada para atacar servidores de juegos para ataques DoS, el botnet Mirai era aún más potente de lo que Jha había anticipado. Al fijar su mirada en un importante proveedor de DNS, provocó efizcamente un corte en grandes franjas de la costa este de Estados Unidos de Internet durante casi un día entero.

Aunque el malware ya había desempeñado un papel en la guerra cibernética durante muchos años, 2017 fue un año excepcional para los ciberataques patrocinados por el estado y el espionaje virtual, comenzando con un ransomware relativamente poco notable llamado Petya. Aunque es peligroso, el ransomware Petya se propagó a través de phishing y no era particularmente infeccioso hasta que se modificó y se convirtió en el gusano limpiador NotPetya, un programa que parecía ransomware, pero que destruía los datos del usuario incluso si se enviaban pagos de rescate. Ese mismo año, el gusano ransomware WannaCry atacó varios objetivos de alto perfil en Europa, particularmente en el Servicio Nacional de estado de Gran Bretaña.

Se cree que NotPetya está vinculado a la inteligencia rusa, que pudo haber modificado el virus Petya para atacar a Ucrania, y WannaCry puede estar conectado a sectores adversarios similares del gobierno de Corea del Norte. ¿Qué tienen en común estos dos ataques de malware? Ambos fueron habilitados por un exploit de Microsoft Windows apodado Eternalblue, que fue descubierto por primera vez por la Agencia de Seguridad Nacional. Aunque Microsoft finalmente descubrió y aplicó parches al exploit, criticaron a la NSA por no informarlo antes de que los hackers pudieran capitalizar la vulnerabilidad.

En los últimos años, el malware ransomware despegó y se disipó. Sin embargo, aunque los casos de ataques exitosos de ransomware pueden estar disminuyendo, los hackers se dirigen a objetivos de perfil más alto y causan mayores daños. Ahora, el ransomware como servicio (RaaS) es una tendencia preocupante que ha cobrado impulso en los últimos años. Ofrecido en mercados de la dark sitio web, RaaS proporciona un protocolo plug-and-play en el que los hackers profesionales realizan ataques de ransomware a cambio de una tarifa. Si bien los ataques de malware anteriores requerían cierto grado de habilidad técnica avanzada, los grupos mercenarios que ofrecen RaaS empoderan a cualquier persona con malas intenciones y dinero para gastar.

El primer ataque de ransomware de doble extorsión de alto perfil tuvo lugar en 2019, cuando los hackers se infiltraron en la agencia de personal de seguridad Allied Universal, cifrando simultáneamente sus datos y amenazando con liberar los datos robados en línea. Esta capa adicional significaba que, incluso si Allied Universal pudo descifrar sus archivos, seguirían experimentando una filtración de datos perjudicial. Si bien este ataque fue digno de mención, el ataque al Colonial Pipeline de 2021 es más notorio por la gravedad de la amenaza implícita. En ese momento, Colonial Pipeline era responsable del 45 % de la gasolina y el combustible para aviones del este de Estados Unidos. El ataque, que duró varios días, afectó tanto al sector gubernamental como al privado a lo largo de la costa este y llevó al presidente Biden a declarar un estado de emergencia temporal.

Aunque puede parecer que los ataques de ransomware están disminuyendo, los ataques altamente dirigidos y efectivos continúan presentando una amenaza escalofriante. En 2022, Costa Rica sufrió una serie de ataques de ransomware, que primero paralizaron el ministerio de finanzas y luego impactaron incluso a las empresas civiles de importación/exportación. Un siguiente ataque desconectó el sistema de atención médica de la nación, lo que afectó directamente a todos los ciudadanos del país. Como resultado, Costa Rica hizo historia como el primer país en declarar un estado de emergencia nacional en respuesta a un ataque cibernético.