Los fallos de Windows y la desidia del internauta favorecen la propagaci¨®n de virus

12 de agosto de 2003. Aproximadamente dos millones de personas de todo el mundo detectan en su ordenador un problema que les impide mantener el sistema encendido m¨¢s de cinco minutos. Est¨¢n infectados por Blaster, un gusano afortunadamente inocuo que, por mor de un error de programaci¨®n, delata su presencia a las pocas horas de activarse.

El esp¨¦cimen se ha filtrado a trav¨¦s de un agujero de seguridad de Windows conocido como DCOM RPC, descubierto, descrito y documentado el 16 de julio por Microsoft. El parche ha estado a disposici¨®n de todos los internautas durante casi un mes, y podr¨ªa haber evitado la propagaci¨®n de Blaster y la de sus sucesores, Autorooter y Nachi; este ¨²ltimo no s¨®lo se propagaba a trav¨¦s del DCOM RPC, sino que tambi¨¦n explotaba la vulnerabilidad WebDAV, identificada desde el 17 de marzo.

Parad¨®jicamente, Nachi no se infiltraba en los ordenadores para infectarlos, sino para protegerlos e instalar en ellos los parches que habr¨ªan evitado la epidemia mundial provocada por Blaster, una de las mayores de la historia de Internet.

No son los primeros casos de virus que se reproducen a trav¨¦s de agujeros de seguridad previamente documentados; son los m¨¢s recientes. A principios de 1999 todav¨ªa circulaba de buz¨®n en buz¨®n uno de los bulos pioneros de la mitolog¨ªa intern¨¢utica, el del virus Good Times. No hab¨ªa usuario m¨¢s o menos avezado que no se riese al leer que Good Times podr¨ªa formatear su disco duro con s¨®lo leer un mensaje portador. ?C¨®mo iba un programa a ejecutarse en su ordenador por abrir un correo? Con los a?os la leyenda perd¨ªa gas, ya muy pocos eran tan cr¨¦dulos como para temer un ataque semejante. El 10 de noviembre de ese a?o, sin embargo, todo cambi¨®. Bubbleboy, un gusano de origen argentino, obr¨® la taumaturgia y el bulo de Good Times se hizo profec¨ªa.

Posible lo imposible

Bubbleboy irrumpi¨® con dos giros conceptuales en el panorama de la virolog¨ªa inform¨¢tica: el primero, ser capaz de hacer posible lo aparentemente imposible: convertir cada e-mail en una amenaza potencial de infecci¨®n; el segundo, aplicar el corpus te¨®rico de los expertos en detectar vulnerabilidades inform¨¢ticas (como el espa?ol Juan Carlos Cuartango o Georgi Guninski) en la praxis v¨ªrica, aprovechar los puntos d¨¦biles de Windows para encontrar v¨ªas de propagaci¨®n.

Se trataba de dejar de depender de la interacci¨®n del usuario para conseguir que un virus pudiese autoejecutarse en una m¨¢quina remota, y el de Bubbleboy fue un primer paso decisivo en tierra firme.

Todo fue posible gracias a la vulnerabilidad Scriptlet.Typelib, descubierta el 31 de agosto y corregida desde el 2 de septiembre en los ordenadores de todos los usuarios que se hubiesen interesado en proteger su sistema: pocos.

Cabr¨ªa haber esperado una r¨¢pida reacci¨®n por parte de millones de internautas asustados por el impacto del virus, pero la realidad es que la desidia a la hora de instalar el parche de Microsoft trajo la aparici¨®n de epidemias similares, como el gusano chino Unicle.

Otro v¨¢stago de la misma subespecie, el ruso Kak, delat¨® en julio de 2000 que, ocho meses despu¨¦s, todav¨ªa cientos de miles de ordenadores segu¨ªan siendo vulnerables. La sangre, sin embargo, no lleg¨® al r¨ªo. Bubbleboy era un especimen de laboratorio; Unicle hab¨ªa sido programado para funcionar s¨®lo en China, y Kak era un pat¨®geno inocuo, a pesar de su longeva prevalencia en Internet.

Tambi¨¦n lo era el virus Sadmind, descubierto el 22 de mayo de 2001, a pesar de que atacaba una vulnerabilidad del IIS (Internet Information Server, el servidor de p¨¢ginas de Microsoft) documentada apenas tres semanas antes. Pero el camino hab¨ªa quedado abierto y debidamente sembrado.

Hubo que esperar hasta el 10 de agosto para topar con las primeras consecuencias econ¨®micas de consideraci¨®n derivadas de una negligencia a la hora de parchear el sistema.

El gran colapso

El agujero, similar al explotado por Sadmind y recogido en la web de Windows desde el 18 de julio, propici¨® la aparici¨®n en escena de CodeRed y CodeGreen; el primero cobr¨® especial prevalencia en empresas y provoc¨® uno de los mayores colapsos recordados en Internet, equiparable a los de Melissa o I love you. No en vano, CodeRed, al igual que ha sucedido en el caso reciente de Blaster, tambi¨¦n tuvo su Nachi: un pat¨®geno de las mismas caracter¨ªsticas y calificable como "benigno", CodeBlue, surgi¨® con el cometido de vacunar los ordenadores y desinfectar o prevenir el ataque de CodeRed.

La oleada de los Code, no obstante, tuvo una repercusi¨®n m¨ªnima entre los usuarios, dado que la aplicaci¨®n IIS est¨¢ dedicada de manera casi exclusiva al uso empresarial.

Poco despu¨¦s aparici¨®n la vulnerabilidad IFRAME. Microsoft la descubri¨® el 29 de marzo de 2001, pero por motivos que nunca han sido explicados con claridad, transcurrieron dos meses hasta la distribuci¨®n del parche de protecci¨®n.

Demasiado tarde. Y suficiente para que se aprovechara Vecna, un veterano brasile?o del panorama v¨ªrico, reconocido como uno de los mejores autores a nivel internacional.

Miles de copias de su gusano Puron fueron localizadas en Internet el 9 de mayo, pero Microsoft no movi¨® pieza hasta el d¨ªa 25. Por suerte, la distribuci¨®n del pat¨®geno brasile?o, al encarnar un ensayo conceptual m¨¢s que un intento de epidemia, no lleg¨® a traducirse en t¨¦rminos cr¨ªticos; pero el precedente quedaba sentado para que otros lo emulasen y superasen.

La vulnerabilidad IFRAME, heredera directa de Scriptlet.Typelib (la que Bubbleboy explotaba), permite la autoejecuci¨®n de c¨®digo arbitrario sin aquiescencia o conocimiento por parte del usuario, bastando la simple lectura de un correo portador para desencadenar una infecci¨®n local.

Es la m¨¢s peligrosa, junto con DCOM RPC (empleada por Blaster), y tambi¨¦n la m¨¢s prol¨ªfica. De ella se han aprovechado ya m¨¢s de diez virus, encabezados por Klez y Nimda, que aun hoy, transcurrido m¨¢s de un a?o desde su aparici¨®n, se encuentran entre los cinco pat¨®genos m¨¢s activos.