15 años de ILoveYou, el virus que 'enamoró' a 50 millones de PCs

Para frenar la propagación de ILoveYou era necesario cortar la conexión a Internet
Hace 15 años un virus nos enseñó que debíamos desconfiar de los correos electrónicos extraños, como de los caramelos que te pueda ofrecer un desconocido. Hablamos de ILoveYou, el 'virus del amor' que causó la primera infección masiva a nivel mundial

Hoy 4 de mayo de 2015 se cumplen 15 años del virus ILoveYou que fue el causante del primer caos informático a nivel mundial debido a un virus. Se estima que fueron afectados más de 50 millones de ordenadores conectados a Internet de al menos 20 países y las pérdidas superaron los 5.000 millones de dólares. Instituciones como el Pentágono, la CIA o el Parlamento Británico padecieron las consecuencias. En España, el 80% de las empresas sufrieron los ataques de este virus. Así se hablaba de él en el programa de la mañana "Buenos días, Madrid" de la cadena local Telemadrid, lo podéis ver a partir del minuto 14:

Origen de ILoveYou: ¿quién fue su creador?

En el año 2000, un estudiante del AMA Computer College de Manila (Filipinas) se haría mundialmente famoso por ser el creador del virus que desencadenaría la primera infección masiva a nivel mundial. Onel de Guzmán, unos meses antes del suceso se encontraba preparando una propuesta de tesis que desagradaría profundamente a sus profesores.

Esto es ilegal. No producimos ladrones.

Este brillante estudiante de 24 años era un apasionado de la informática. Al idear su tesis pensó que a muchos usuarios les sería de utilidad obtener las contraseñas de inicio de sesión en Internet para poder navegar más tiempo gratis, ya que en esos momentos resultaba demasiado caro. Su propuesta fue rechazada rotundamente por el Consejo Académico y nunca llegaría a graduarse. Onel de Guzmán, dolido con la decisión, idearía un plan que haría cambiar su vida 180 grados convirtiéndose de estudiante modelo a pirata informático.

Lee también: Atacamos un PC con el virus ILoveYou en 2015 y esto es lo que sucedió

Supuesta cuenta de Twitter de Onel de Guzmán, en la que aparece su fotoSupuesta cuenta de Twitter de Onel de Guzmán, en la que aparece su foto

¿Cómo ocurrió la primera infección masiva por un virus a nivel mundial?

El lado humano de ILoveYOU

El 4 de mayo, justo el día de antes de la fecha en la que Onel de Guzmán hubiese celebrado su graduación, hizo su aparición ILoveYou también conocido como The Love Bug, LoveLetter y más tarde como "el asesino de Manila" (por sus orígenes filipinos).

Se trataba de un virus, con un código parecido al del proyecto de tesis de Onel, de tipo gusano y escrito en VBScript. Se extendió rápidamente a través del correo electrónico enviándose como un archivo adjunto nombrado como "LOVE-LETTER-FOR-YOU.TXT.vbs". El fichero empleó una doble extensión .TXT.vbs, de forma que en los sistemas operativos que tenían activada la opción de "Ocultar las extensiones de archivo para tipos de archivo conocidos" apareciera como un simple fichero de texto. Por otra parte, la forma de papiro del icono, hizo pensar a los usuarios que no tenían conocimientos de programación que efectivamente era un documento de texto.

Apariencia del icono y código del virus ILoveYouApariencia del icono y código del virus ILoveYou

El código fuente de ILoveYou no era nada del otro mundo. Sin embargo, su propagación se realizó a un ritmo acelerado. La causa fue probablemente que explotó una "vulnerabilidad" del ser humano: la necesidad de ser amado. ¿Quién podía resistirse a abrir esa carta de amor inesperada? La curiosidad de los usuarios facilitó que la infección corriera como la pólvora y situó a ILoveYou como el gusano de expansión más rápida hasta 2004, año en el que se daría a conocer MyDoom.

El lado técnico de ILoveYou

El mecanismo que empleaba ILoveYou para infectar el equipo y propagarse era el siguiente:

  1. Cuando un usuario abría el archivo del gusano (normalmente haciendo doble clic), el código malicioso accedía a la libreta de direcciones y enviaba una copia de sí mismo.
  2. Luego, el virus se copiaba en distintos tipos de archivos, eliminando su contenido anterior.  Por ejemplo, reemplazaba todos los archivos *.jpg, *.JPEG, *.VBS, *.VBE, *.JS, *.JSE, *.CSS, *.WSH, *.SCT, *.HTA con copias de los mismos en las que escribía su código y a las que añadía la extensión .VBS. Lo mismo hacía con ficheros *.MP3 y *.MP2. Además, robaba información de la víctima que enviaba a varias direcciones de correo electrónico. También infectaba archivos en unidades de red mapeadas y era capaz de enviarse a los usuarios que se unían a una sala de chat en las que había un miembro infectado.Así se veían los archivos infectados por ILoveYouAsí se veían los archivos infectados por ILoveYou
  3. Por último, el virus intentaba comunicarse con alguno de los cuatro sitios Web en Filipinas que tenían preparado para su descarga el archivo llamado WIN-BUGSFIX.exe. Estos sitios dejaron de estar online al día siguiente de la infección masiva.

La clave de la infección

En las décadas de los 80 y los 90, el concepto que se tenía acerca de la seguridad informática estaba más orientado a la protección del equipo del usuario para evitar que dejara de funcionar correctamente por la acción de un virus.

A finales de los 90, la facilidad de uso y el entorno amigable de los sistemas operativos como Windows 3.11 y Windows 98/Me acercaron el mundo del PC a muchas personas con un grado de conocimiento informático muy variado. De la misma manera, a finales de la década surgió con fuerza el fenómeno de Internet que dio lugar a su popularización, tanto entre los usuarios domésticos como a nivel empresarial. Surgieron entonces nuevas vulnerabilidades derivadas de esta posibilidad tecnológica de "estar conectados". ¿Estábamos preparados para resistir estos nuevos peligros?

Para ponernos en situación, en el año 2000 muchos usuarios no empleaban antivirus o actualizaban las firmas como mucho una vez al mes. Prácticamente cada usuario que abría el archivo se infectaba. Las copias de seguridad tampoco eran populares, por lo que resultaba complicado restablecer la integridad del sistema sin perder datos. Por otra parte, los spammers no eran tan comunes como hoy día, lo que pilló desprevenidos a los usuarios cuando recibieron este peligroso correo con piel de cordero.

Una vez superada la barrera humana, la clave de la infección provocada por el virus ILoveYou se encontraba en el lenguaje de scripts (o de macros) Visual Basic Script, abreviado como VBScript, con el que había sido desarrollado. Éste es un lenguaje interpretado que no necesita ser compilado para su ejecución que se realiza mediante el motor Windows Script Host.

El lenguaje de scripts es interpretado, no necesita ser compilado para su ejecuciónEl lenguaje de scripts es interpretado, no necesita ser compilado para su ejecución

En el momento de la infección, uno de los sistemas operativos más usados era Windows 98, cuya configuración por defecto tenía Windows Script Host activado. Así, en cualquier equipo con el lenguaje de scripting habilitado, VBScript permitía el acceso a casi cualquier función del sistema como copiar, borrar y modificar archivos.

¿Cuáles fueron las reacciones de los expertos ante ILoveYou?

Rob Rosenberger, editor de la web Computer Virus Myths, advertía en esos momentos que Microsoft debería haber tenido la capacidad de ejecutar este tipo de scripts fuera de Outlook hacía mucho tiempo:

¿Para qué necesita la gente ejecutar scripts en el correo electrónico? Esto debería haber sido tratado hace mucho tiempo.

Como Rosenberger, otros muchos expertos estuvieron de acuerdo en que la mayoría de la gente no necesitaba ejecutar scripts de VB. Un cazador de virus de la época llamado Richard Smith, achacaba este problema de seguridad a una especie de cultura corporativa existente entre los programadores que les empuja a pensar que cualquier cosa en el mundo de la informática tiene que ser programable. Con un símil, explicaba:

Cuando te dedicas a fabricar martillos, todo te parece un clavo.

Por otra parte, la industria del software reaccionaba con lentitud ante los cambios. Los virus de macro no eran ninguna novedad. Se conocían desde 1995 y, de hecho, el virus de macro Melissa había causado estragos justo el año anterior. Sin embargo, Microsoft no aplicó una solución para atajar la problemática hasta la edición de Word 2000. ¡Le llevó cuatro años! Smith opinaba al respecto:

Creo que eso es demasiado tiempo, en un momento en el que todos estamos conectados en Internet.

Consecuencias: el cierre de los sistemas de correo electrónico sembró el caos

El origen de la infección se situó en Filipinas y en menos de un día se propagó a través de Asia, Europa y finalmente Estados Unidos. Cada equipo que era infectado con el virus al abrir el archivo adjunto en el correo electrónico, se reenviaba a toda la libreta de direcciones contribuyendo a su rápida propagación.

El director de desarrollo de negocio de Internet para Talk2.com de Salt Lake City, Steven McGhie, contaba a ZDNet su experiencia al día siguiente de la infección. McGhie se encontraba el jueves por la mañana en una habitación de hotel en San Francisco, leyendo su correo electrónico en Microsoft Outlook. Entre el montón de mensajes que había recibido le llamó la atención uno de su hermano con el asunto "ILOVEYOU":

Mi hermano me envía una gran cantidad de correos de humor, así que lo abrí y de inmediato mi sistema comenzó a hacer ruidos.

Este empresario empezó a preguntarse qué estaba pasando. En breves instantes, comenzó a recibir varios mensajes duplicados de su hermano. Había también un correo del Administrador de Sistemas de Talk2.com sobre el virus. Para ese entonces, su equipo ya estaba generando mensajes para enviar a toda su lista de contactos.

McGhie decidió llamar al Administrador de Sistemas, que le dijo que desenchufara inmediatamente su línea telefónica. Sólo habían pasado tres minutos desde que había iniciado la sesión, pero el virus ya había generado cerca de 600 correos electrónicos. Por suerte, la mayoría de ellos estaban en espera en la bandeja de salida cuando McGhie cortó la conexión a Internet, pero alrededor de 50 ya habían sido enviados.

ILoveYou paralizó la Red el 4 de mayo y miles de empresas se vieron obligadas a cerrar sus sistemas de correo electrónico ese día, bloqueando tanto los correos entrantes como salientes. Las más afectadas fueron las compañías que empleaban el email para realizar transacciones comerciales. Este virus significó la vuelta al teléfono y al fax para realizar las comunicaciones, aunque fuera temporalmente, ante la imposibilidad de emplear el correo electrónico.

5 días después ya se habían reconocido al menos 18 mutaciones del virus. Algunos de los asuntos empleados en los mensajes infectados fueron:

  • ILOVEYOU
  • Susitikim shi vakara kavos puodukui...
  • fwd: Joke
  • Mothers Day Order Confirmation
  • Dangerous Virus Warning
  • Virus ALERT!!!
  • Important! Read carefully!!
  • How to protect yourself from the IL0VEY0U bug!
  • I Cant Believe This!!!
  • Thank You For Flying With Arab Airlines
  • Variant Test
  • Yeah, Yeah another time to DEATH...
  • LOOK!
  • Bewerbung KreolinaP

En menos de 10 días, se infectaron más de 50 millones de equipos y las pérdidas se valoraron en cifras de entre 5.000 y 8.000 millones de dólares. Se convirtió en la primera infección masiva a nivel mundial y marcó un antes y un después en la seguridad informática.

A la caza y captura del autor de ILoveYou

Al tratarse de un virus programado en VBScript, resultaba fácil de analizar hasta para programadores con poca experiencia. Eso explica la gran cantidad de variaciones que surgieron los días siguientes. Al examinar el código, unas líneas al comienzo daban la pista a los investigadores acerca de su autoría:

rem  barok -loveletter(vbe) 
rem  by: spyder  /  ispyder@mail.com  /  @GRAMMERSoft Group  /  Manila,Philippines

Tras la autoría del virus se escondía alguien con el pseudónimo de spyder. También se mencionaba un grupo denominado como GRAMMERSoft. Pero ¿de quién se trataba? ¿estaba el estudiante modélico Onel de Guzmán detrás de la infección masiva?

El lunes 8 de mayo, 4 días después de la infección, los agentes de la Oficina Nacional de Investigación (NBI) de Filipinas arrestaban en su apartamento a Reonel Ramones, un empleado de banca de 27 años. A pesar de que la única prueba que se encontró en su piso fue una copia de un código similar al de ILoveYou, Reonel se declaraba culpable por motivos aún desconocidos.

Sin embargo, cuando los agentes hablaron con la novia de Ramones comenzaron a pensar en otro sospechoso. Irene de Guzmán, de 23 años vivía con Reonel y era hermana de Onel de Guzmán, el estudiante agraviado por el AMA. El mismo centro de estudios alertó a la policía del parecido de la tesis de Onel con el virus.

Los agentes al investigar descubrieron que Guzmán y otros alumnos del AMA formaban parte de un grupo llamado GRAMMERSoft (el nombre que aparecía en el código fuente del virus) que se dedicaba a programar virus, así como a la venta ilegal de exámenes y apuntes. El nombre de Onel de Guzmán se confirmaba como sospechoso. Más tarde se confirmaría que las dos direcciones de correo electrónico utilizadas para enviar el virus (spydersuper.net.ph y mailmesuper.net.ph) pertenecían exclusivamente a Onel. Durante un tiempo, se señaló como cómplice a Michael Buen, amigo de Onel y antiguo estudiante del AMA que también se dedicaba a la programación de virus, pero esta acusación no pudo ser corroborada.

Michael Buen fue supuestamente cómplice de Onel de GuzmánMichael Buen fue supuestamente cómplice de Onel de Guzmán

En Filipinas hasta entonces no existía legislación para penar este tipo de delitos cibernéticos, con lo que no se pudo actuar contra Onel de Guzmán. Por otra parte, en las declaraciones que Onel hizo a la prensa nunca reconoció su voluntariedad en lo sucedido, afirmando siempre que el virus pudo haberse enviado accidentalmente.

ILoveYou en la actualidad, la opinión del experto

Teniendo tan cerca a Roberto Navarro, nuestro Director de Tecnología con más de 10 años de experiencia en el sector IT, no podemos resistirnos a realizarle algunas preguntas sobre el virus ILoveYou y la evolución acontecida en el mundo de la seguridad.

Roberto nos señala que la democratización de la tecnología hace posible que personas con conocimientos informáticos muy dispares tengan acceso a Internet y a todo tipo de gadgets. Es cierto que los usuarios somos más conscientes ahora de los riesgos de la Red. Pero también hay muchos usuarios ingenuos, como podrían ser nuestras madres o los más jóvenes, que son un objetivo fácil para los ciberdelincuentes.

La cadena se rompe por el eslabón más débil, y en el caso de la tecnología el punto más frágil es el usuario. El ciberdelincuente busca aprovecharse de la confianza del usuario.

Respecto a los métodos de infección, le preguntamos si han cambiado mucho. Roberto nos comenta que no han variado tanto, en esencia se trata de explotar las vulnerabilidades de un programa antes que el desarrollador sea capaz de solucionarlas. En el caso de ILoveYou se explotaron las deficiencias de Outlook. Pero hoy a diario leemos sobre los bugs de Adobe, un coladero para el malware.

En esencia se sigue empleando el mismo mecanismo de ILoveYou en las infecciones de malware.

También nos interesamos sobre los protagonistas de los ataques de seguridad, ¿cuáles son sus motivaciones? A este respecto, nuestro experto nos comenta que antes se buscaba la notoriedad, la satisfacción del logro personal o acceder a puestos bien pagados dentro del mundo de la seguridad. Sin embargo, la naturaleza de los ataques ha cambiado: destaca el ransomware que se encarga del secuestro de equipos o los ataques a través de páginas web con un único objetivo: ganar dinero, cuanto más mejor.

Antes se buscaba la notoriedad, ahora el dinero.

ILoveYou fue el virus que dio a conocer los peligros de Internet a los usuarios que hasta entonces pensaban que el malware era tan sólo leyenda. El gusano que hace quince años sembró el caos en todo el mundo, hoy para los expertos en seguridad acostumbrados a descubrir miles de amenazas nuevas cada día, es considerado como un juego de niños. Pero como dice el título de la película Wall Street, "el dinero nunca duerme" y los ciberdelincuentes no descansan a la hora de ingeniar nuevas formas de engañar a los usuarios para enriquecerse.

EFF Photos editada con licencia CC 2.0

Relacionados

Opiniones de los usuarios

  • Es uno de los peores LoveBug.exe detectados cuyo asunto se detecta bajo el nombre i love (o VBS/LoveLetter/Carta de amor Lucia/Celeste/Maria)...

  • jajajajajja! Ya tuve problemas con eso ILove you... 15 años??? Es un viejo virus! Instalé el antivirus de Psafe para amparar mi ordenador de más problemas como eso...

Nos encanta escucharte ¿Nos dejas tu opinión?