ILOVEYOU: el virus que amaba a todo el mundo

Hagamos un viaje por nuestra memoria, concretamente hasta mayo del año 2000. Un día más en la oficina: enciendes el ordenador del trabajo, lo conectas a internet y abres el mail más reciente de un cliente en Microsoft Outlook. De repente, ves un extraño mensaje con el asunto “ILOVEYOU”. Una persona que conoces te confiesa su amor. Tal vez sea alguien del colegio, un amor de verano o… ¡Espera, no! Todavía mejor: tu antiguo supervisor.

Sea quien sea, evidentemente te pica la curiosidad, así que haces clic en el archivo adjunto llamado “LOVE-LETTER-FOR-YOU.TXT.VBS” y… no pasa nada. Pero, un tiempo después, descubres que varios documentos importantes en el disco duro se han dañado de forma irremediable y se han mandado un montón de cartas de amor parecidas, esta vez en tu nombre, a todos los contactos de tu agenda.

Un e-mail con el gusano ILOVEYOU tenía este aspecto en el antiguo cliente de correo electrónico de Microsoft. Fuente

ILOVEYOU no fue el primer malware que aprovechó un agujero en el cliente de correo electrónico de Microsoft, pero sin duda inició uno de los brotes de virus más graves a principios del nuevo milenio. Repasamos su historia y hablamos de cómo cambió nuestra percepción sobre la seguridad de los sistemas informáticos.

Contexto: Internet está de moda

Estamos en 2022 y sí, el 2000 no suena casi a la Prehistoria. Hoy en día, puedes mirar copias archivadas de sitios web de esos días o sacar del armario un antiguo portátil con Windows 98 para recordar los programas que se usaban; como se suele decir, todo era campo, ¿verdad? Buenos, en realidad no. Es cierto que la tecnología era bastante primaria si la comparamos con hoy. La gran mayoría de los usuarios se conectaban a la red mediante un módem, el cual era increíblemente lento. Pero, ya entonces, existían prototipos de casi todos los servicios de red modernos.

No existía el streaming, pero sí la radio, y también había una amplia gama de servicios de mensajería en línea. El comercio electrónico se desarrollaba a gran velocidad, aunque en ocasiones era más fácil llamar por teléfono a la tienda que hacer el pedido por su sitio web.

Por regla general, en el año 2000 cualquier tecnología de red o cualquier servicio con el prefijo “e-” (de “electrónico”) recibía mucha atención y, también, inversión. Algo más tarde, en 2001, hubo cierta decepción cuando muchas empresas nuevas de internet quebraron y la industria perdió un poco eel entusiasmo, pero ganaba algo más de sentido.

Un ejemplo claro de cómo se había extendido internet es el lanzamiento en 1998 de la famosa película Tienes un email, una mezcla entre comedia romántica y promoción para el entonces gigante America Online.

Es importante recordar que a finales de la década de los 90, Internet ya no era un lugar para unos cuantos: en el 2000, cientos de millones de personas ya estaban en línea. Además, el correo electrónico ya era una importante herramienta de comunicación y colaboración entre varias empresas y agencias gubernamentales, así como para los usuarios domésticos.

Pero en mayo de 2000, esta “transformación digital”, como fue denominada más tarde, se detuvo de manera repentina por el brote del virus ILOVEYOU. Muchas empresas se vieron obligadas a cerrar de manera temporal sus servidores de correo, ya que simplemente no podían hacer frente al enorme flujo de mensajes de amor.

Predecesores: Concept.B y Melissa

Estrictamente hablando, ILOVEYOU debe clasificarse como un gusano de red: un programa malicioso que se propaga a través de internet. Otra característica clave de ILOVEYOU fue que la infección inicial se llevó a cabo mediante un simple programa VBscript. VBscript, a su vez, se basa en la idea más antigua de las macros: programas simples que permiten automatizar acciones particulares, por ejemplo, a la hora de trabajar con documentos.

Frecuentemente, las macros se utilizan para realizar operaciones complejas en hojas de cálculo, como Microsoft Excel. Desde hace años, las macros también han sido compatibles con Microsoft Word para, por ejemplo, generar informes de forma automática a partir de datos ingresados en un formulario.

En 1995, esta funcionalidad de Word fue explotada por el virus WM/Concept.A. Este virus de macro infectaba documentos de Microsoft Word y mostraba el siguiente mensaje al abrir un documento:

Esto es lo que conlleva la infección por el virus de macro Concept.A. Fuente

Y eso es todo. No había una funcionalidad maliciosa como tal, solo una ventana bastante molesta que no dejaba de aparecer. El exempleado de Microsoft, Steven Sinofsky, responsable del desarrollo de las soluciones para oficina de la empresa de 1998 a 2006, se refiere a Concept.A en sus memorias como la primera señal: En ese momento quedó claro que la automatización implementada en todas las soluciones de Microsoft podría utilizarse para su detrimento. Como resultado, se decidió mostrar una advertencia antes de ejecutar macros: el documento contiene un programa, ¿estás seguro de que deseas ejecutarlo?

Tan pronto como Microsoft comenzó a implementar restricciones en la ejecución de macros, los autores del malware comenzaron a buscar formas de esquivar dichas restricciones. El siguiente acontecimiento importante ocurrió en marzo de 1999. Steven Sinofsky describió cómo era: cuando revisas tu mail, recibes un mensaje con un archivo adjunto con el asunto “Mensaje importante de…”.

Mensaje infectado por el virus Melissa. Fuente

Y llegaría otro más de otro remitente. Y otro. Y luego el correo electrónico dejó de funcionar. Ni siquiera el servidor de correos de Microsoft podía soportar la carga. Era el gusano de internet Melissa. El documento de Microsoft Word adjunto contenía un código malicioso que enviaba un mensaje a través de Microsoft Outlook a los primeros 50 contactos de la agenda.

Es cuestión de amor

El gusano ILOVEYOU fue un giro de tuerca de Melissa. No aprovechó ninguna vulnerabilidad en los productos de Microsoft, sino que utilizó la funcionalidad estándar en su lugar. El único error fue que no se mostró ninguna advertencia cuando el script se iniciaba desde el correo electrónico de Outlook.

La funcionalidad del gusano no se limitaba solo a enviar mensajes de amor a todos los destinatarios. Además del spam enviado en nombre de la víctima, también tenía la capacidad de propagarse a través del entonces popular IRC Messenger. Además, el gusano descargaba un troyano que enviaba las contraseñas de acceso al correo y al internet al creador del malware. Finalmente, borraba, ocultaba y corrompía archivos del disco duro. Canciones en MP3, imágenes JPEG, diversos scripts y copias de páginas web.

El cerebro detrás del brote de ILOVEYOU incorporó desarrollos de virus de macro anteriores, ideó un truco de ingeniería social de última generación (¿cómo puede alguien ignorar un archivo con el nombre “Te amo”?), agregó una funcionalidad maliciosa y aprovechó al máximo la propagación automática del malware.

Siguiendo los informes de Kaspersky y los medios de comunicación de la época, es posible reconstruir la secuencia de eventos. En el primer día, 4 de mayo, se detectaron miles de infecciones en sistemas. El 9 de mayo, se reportaron 2.5 millones de ordenadores infectados, lo que significas que se enviaron decenas de millones de mails por todo el mundo.

El creador del virus ni siquiera intentó ocultar el código malicioso bajo la apariencia de un documento de oficina. El nombre “LOVE-LETTER-FOR-YOU.TXT.VBS” aprovechó el hecho de que los correos de Microsoft solo mostraban la primera parte de un nombre largo, como se puede observar en la captura de pantalla al comienzo de este artículo. El código interno estaba en formato abierto, y pronto muchos habilidosos ciberdelincuentes lo utilizaban para crear diversas variaciones del gusano. En lugar de ILOVEYOU, otras palabras comenzaron a aparecer en el espacio para el asunto, como advertencias de virus. La variante NewLove, detectada  el 19 de mayo, no eliminó archivos de forma selectiva, sino que borró toda la información del disco duro por completo.

Las estimación de datos final del impacto del virus ILOVEYOU son las siguientes: hasta el 10% de los ordenadores conectados a Internet resultaron infectadas, y el daño total, incluidas las acciones de sus variantes, se estima que fue de alrededor de 10 mil millones de dólares. El incidente fue cubierto por la prensa e incluso hubo audiencias en el Senado de Estados Unidos.

Errores que se cometieron

En 2022, conociendo toda la historia de principio a fin, uno se pregunta: ¿pudo haberse evitado de inmediato el brote de un virus trivial? No fue hasta el 8 de junio de 2000 que Microsoft lanzó una importante actualización de seguridad para su servicio de correo Outlook, la cual finalmente introdujo serias restricciones en la ejecución de scripts. De manera predeterminada, todos los archivos adjuntos en un correo electrónico no eran de confianza, y se introdujeron comprobaciones si alguna aplicación externa accedía al directorio de Outlook o intentaba enviar varios correos a la vez.

Tras una actualización en junio de 2000, el servicio de correo de Outlook advertía a los usuarios si una aplicación externa accedía al directorio e intentaba enviar varios mensajes de forma simultánea. Fuente

No lo hicieron antes porque a la hora de escoger entre seguridad y comodidad, Microsoft prefería esto último. Y los usuarios igual. En 1995, cuando Microsoft introdujo una simple advertencia en Microsoft Word (“Este documento contiene macros”), la empresa recibió comentarios negativos de los clientes. En algunas empresas, este reconocimiento adicional desbarató los procesos internos basados en scripts. Por tanto, incluso al desarrollar un parche a raíz de ILOVEYOU, la pregunta “¿Va a provocar molestias en los usuarios?” estaba sobre la mesa, pero esta vez ya tenían claro que la seguridad necesitaba mejoras y rápidamente.

Virus viejo, problemas modernos

La epidemia de ILOVEYOU ha planteado diversas preguntas que siguen siendo relevantes hasta el día de hoy en el campo de la seguridad de la información. La más importante parece ser: ¿no podemos enviar parches más rápido? Claro, hubo problemas con esto: Microsoft lanzó un kit de parches para Outlook más de un mes después de que iniciara el brote. Además, los mecanismos de entrega automática de estas actualizaciones eran bastante rudimentarios, por lo que los brotes locales de infección de correos tardaban mucho en solucionarse.

Ya se había demostrado que la industria de las soluciones de seguridad era muy beneficiosa en ese sentido. Como recalca Eugene Kaspersky, no fue difícil proteger a los usuarios de antivirus de la empresa. Incluso entonces, se introdujo un sistema de entregas online de actualizaciones periódicas en el software de seguridad, mientras que los desarrolladores de otro tipo de programas tardaron varios años más en implementar un esquema similar para la distribución rápida de parches. Un poco más tarde, de desarrollaron métodos de análisis heurísticos para detectar y bloquear automáticamente scripts maliciosos desconocidos.

Aunque la seguridad de los programas y sistemas operativos populares ha mejorado enormemente en los últimos 22 años, los creadores de malware siguen encontrando nuevas formas para los ataques cibernéticos exitosos.

Lo de utilizar macros de forma maliciosa tampoco ha desaparecido. En febrero de 2022, Microsoft prometió, finalmente, restringir la capacidad de distribuirlos prohibiendo la ejecución de cualquier script en los documentos de Office obtenidos a través de internet. A principios de julio de 2022, esta restricción se levantó; es razonable suponer que el temor de que algo moleste a los usuarios se hiciera realidad. Más tarde, en julio del mismo año, Microsoft decidió una vez más comenzar a bloquear macros de forma predeterminada, esta vez explicando a quienes lo necesiten, cómo eludir tal prohibición.

Hay menos brotes a gran escala en los que una pieza de malware se propaga a decenas o cientos de millones de equipos, pero aún no podemos prevenirlos del todo. Lo que ha cambiado, en definitiva, es la forma en que se monetizan los ataques cibernéticos, tomando como rehenes los datos de empresas y de usuarios, exigiendo rescate.

Acabamos nuestra historia con un breve resumen del destino del creador ILOVEYOU. Onel de Guzmán era un estudiante de 24 años en el momento del brote. En el año 2000, funcionarios del FBI pudieron determinar que los mensajes originales que contenían el gusano se habían enviados a listas de correo populares para usuarios de Filipinas, donde Guzmán todavía vive. En el 2000, fue incluido en la lista de presuntos autores de ILOVEYOU. Pero no recibió sanciones por dos motivos: la falta de pruebas y la ausencia de un artículo penal por ciberdelincuencia en la legislación local de la época.

En 2020, algunos periodistas localizaron a de Guzmán. Les dijo que originalmente ILOVEYOU no tenía una función de correo masivo para el directorio de Outlook y que creó el gusano para robar contraseñas de acceso a internet porque no podía pagarlo. De Guzmán nunca pudo monetizar su talento malicioso. Cuando el artículo fue publicado, trabajaba en un modesto taller de reparación de teléfonos en Manila.