{"id":27478,"date":"2022-08-10T14:51:54","date_gmt":"2022-08-10T12:51:54","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=27478"},"modified":"2022-08-10T14:51:54","modified_gmt":"2022-08-10T12:51:54","slug":"history-lessons-code-red","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/history-lessons-code-red\/27478\/","title":{"rendered":"La evoluci\u00f3n de la seguridad: la historia de C\u00f3digo Rojo"},"content":{"rendered":"

C\u00f3digo Rojo (Code Red) era un gusano inform\u00e1tico (worm<\/em> en ingl\u00e9s) dirigido a los sistemas Windows con Microsoft IIS (Internet Information Services for Windows Server) instalado. La historia tiene, al menos, un comienzo feliz ya que la propagaci\u00f3n del malware<\/em> se detect\u00f3 justo al inicio del \u201cbrote\u201d. Un grupo de investigadores de eEye Security descubrieron el C\u00f3digo Rojo<\/a>, y justo en ese momento (13 de julio de 2001) estaban, precisamente, desarrollando un sistema para encontrar vulnerabilidades de Microsoft IIS. De repente, el servidor de prueba que ten\u00edan dej\u00f3 de responder. A esto le sigui\u00f3, naturalmente, una noche sin poder dormir: hab\u00eda que encontrar cualquier rastro o indicio de la infecci\u00f3n. El nombre del malware<\/em> viene del primer objeto que llamo su atenci\u00f3n: una lata de refresco Mountain Dew Code Red .<\/p>\n

Sin embargo, a pesar de esta detecci\u00f3n temprana, la epidemia no se detuvo. El malware<\/em> utiliz\u00f3 sistemas ya infectados para nuevos ataques y, en pocos d\u00edas, ya se hab\u00eda extendido a nivel mundial. Despu\u00e9s, el Centro de An\u00e1lisis de Datos de Internet Aplicados (CAIDA) dio a conocer las estad\u00edsticas correspondientes al 19 de julio, las cuales demostraban la velocidad de distribuci\u00f3n y propagaci\u00f3n del C\u00f3digo Rojo. Seg\u00fan varias fuentes, m\u00e1s de 300.000 servidores fueron a tacados en total.<\/p>\n

\"Propagaci\u00f3n

Propagaci\u00f3n del gusano C\u00f3digo Rojo a partir del 19 de julio de 2001. Fuente<\/a><\/p><\/div>\n

C\u00f3mo funciona C\u00f3digo Rojo<\/h2>\n

El gusano de internet explotaba una vulnerabilidad de poca importancia en uno de los m\u00f3dulos del servidor web, m\u00e1s concretamente en una extensi\u00f3n para la indexaci\u00f3n de datos. Hab\u00eda un error de desbordamiento de b\u00fafer en la biblioteca idq.dII. La vulnerabilidad recibi\u00f3 el identificador MS01-33. El error es f\u00e1cil de explotar: solo hay que enviar al servidor una petici\u00f3n bastante larga, como esta:<\/p>\n

GET \/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a\u00a0 HTTP\/1.0<\/p>\n

Los resultados despu\u00e9s de los numerosos caracteres \u201cN\u201d se interpretan como instrucciones y se ejecutan. Toda la carga \u00fatil maliciosa est\u00e1 contenida directamente en la solicitud; o sea, con una instalaci\u00f3n vulnerable de Microsoft IIS, se garantiza que el sistema ser\u00e1 infectado de forma instant\u00e1nea. La consecuencia m\u00e1s visible de dicha infecci\u00f3n fue, literalmente, la desfiguraci\u00f3n de los sitios servidos por el servidor web. En lugar de su contenido habitual, se muestra lo siguiente:<\/p>\n

\"C\u00f3mo

C\u00f3mo se ve\u00eda un sitio web en un servidor infectado con C\u00f3digo Rojo. Fuente<\/a><\/p><\/div>\n

Seg\u00fan Kaspersky<\/a>, la desfiguraci\u00f3n no era permanente: 10 horas despu\u00e9s de un ataque fruct\u00edfero, el gusano restablec\u00eda el contenido normal del sitio web. El resto de acciones depend\u00edan de la fecha. Del 1 al 19 de cada mes, el gusano se propagaba mediante solicitudes maliciosas enviadas a direcciones IP aleatorias. Del 20 al 27, varias direcciones IP fijas fueron atacadas mediante DDoS, incluida la del sitio web de la administraci\u00f3n presidencial de Estados Unidos. Desde el 28 y hasta fin de mes, C\u00f3digo Rojo se tomaba un descanso merecido (o no).<\/p>\n

La vista desde el 2022<\/h2>\n

Hoy en d\u00eda siguen produci\u00e9ndose casos similares, pero suelen estar asociados con vulnerabilidades de d\u00eda cero que suelen detectarse cuando se investiga un ataque activo. Un ejemplo com\u00fan es una serie de vulnerabilidades<\/a> en el servidos de correo de Microsoft Exchange que se explot\u00f3 de manera activa en cuanto se detect\u00f3. M\u00e1s de 30.000 organizaciones a nivel mundial fueron afectadas y los administradores de servicios de correo de muchas empresas se vieron obligados a instalar un parche y a realizar una auditor\u00eda en caso de que ya se hubiera producido una infecci\u00f3n.<\/p>\n

Este ejemplo muestra no solo que los ataques se han vuelto mucho m\u00e1s sofisticados, sino tambi\u00e9n que los m\u00e9todos de defensa han progresado. C\u00f3digo Rojo no explot\u00f3 una vulnerabilidad de d\u00eda cero, sino una que se detect\u00f3 y cerr\u00f3 un mes antes de la epidemia. Pero en aquel entonces, la lentitud en la instalaci\u00f3n de actualizaciones, la falta de herramientas para instalaciones autom\u00e1ticas y la poca concienciaci\u00f3n de los usuarios corporativos jugaron un papel muy importante. Otra diferencia entre C\u00f3digo Rojo y los ataques modernos es la falta de monetizaci\u00f3n. Actualmente, un ataque al servidor de una empresa vulnerable dar\u00eda pie, indudablemente, al robo o cifrado de datos, adem\u00e1s de una petici\u00f3n de rescate. Los cibercriminales de hoy en d\u00eda rara vez desfiguran los sitios hackeados; al contrario, es m\u00e1s probable que tomen todas las medidas posibles para ocultar sus huellas en la infraestructura inform\u00e1tica de una empresa.<\/p>\n

Una dura lecci\u00f3n<\/h2>\n

Hay que admitirlo: C\u00f3digo Rojo desapareci\u00f3 bastante r\u00e1pido del mapa. En agosto de 2001 apareci\u00f3 una versi\u00f3n ligeramente modificada. C\u00f3digo Rojo II<\/a> era capaz de infectar sistemas que ya hab\u00eda sido \u201cvisitados\u201d por la primera versi\u00f3n del gusano. Sin embargo, en t\u00e9rminos generales, a principios de los 2000 hubo muchos otros ataques en escenarios perecidos. Para septiembre de 2001 vimos la epidemia del gusano Nimda<\/a>, el cual tambi\u00e9n aprovech\u00f3 las vulnerabilidades parcheadas en Microsoft IIS durante mucho tiempo. En 2003, el gusano Blaster<\/a> se extendi\u00f3 por todas partes. Finalmente, se corri\u00f3 la voz de de que los parches para las vulnerabilidades cr\u00edticas en el software corporativo deben ser instaladas cuanto antes. Cuando se lanza una actualizaci\u00f3n, los ciberdelincuentes estudian minuciosamente y comienzan a explotar la vulnerabilidad de inmediato, con la esperanza de que algunos usuarios no la hayan parcheado. Pero incluso ahora, no se puede decir que el problema est\u00e9 resuelto. Existen ejemplos m\u00e1s recientes, como el ataque WannaCry de 2017.<\/p>\n

Sin embargo, lo que se puede decir es que C\u00f3digo Rojo, as\u00ed como muchos otros programas maliciosos responsables de infectar cientos de miles de sistemas en todo el mundo, ayudaron a dar forma a los enfoques de seguridad corporativa que nos gu\u00edan hoy en d\u00eda. A diferencia de hace 21 a\u00f1os, ahora dependemos totalmente de los sistemas de IT para todo, desde las comunicaciones hasta los pagos, por no hablar de las infraestructuras cr\u00edticas. Hemos aprendido c\u00f3mo defendernos ante los ataques cibern\u00e9ticos, pero todav\u00eda tenemos que producir una bala de plata para todos los problemas comerciales en el ciberespacio. A medida que la ciberseguridad evoluciona, inevitablemente, debemos reconocer que la seguridad perfecta no es un estado o caracter\u00edstica fija, sino una lucha constante.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

La historia del primer ataque importante a una infraestructura IT corporativa.<\/p>\n","protected":false},"author":665,"featured_media":27481,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2202,2754,2755],"tags":[3468,3469,2271,1536,714],"class_list":{"0":"post-27478","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-cronica","11":"tag-desfiguracion","12":"tag-epidemia","13":"tag-gusanos","14":"tag-historia"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/history-lessons-code-red\/27478\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/history-lessons-code-red\/25146\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/history-lessons-code-red\/33795\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/history-lessons-code-red\/10909\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/history-lessons-code-red\/45082\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/history-lessons-code-red\/19258\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/history-lessons-code-red\/19826\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/history-lessons-code-red\/29122\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/history-lessons-code-red\/25320\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/cronica\/","name":"Cr\u00f3nica"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/27478","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/665"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=27478"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/27478\/revisions"}],"predecessor-version":[{"id":27484,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/27478\/revisions\/27484"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/27481"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=27478"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=27478"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=27478"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}