Martes de retrospectiva: el gusano Morris

El 2 de noviembre de 1988, la historia de Internet y la seguridad informática cambió radicalmente. El gusano Morris, liberado ese día a las 6 PM, paralizó Internet y causó el mayor daño por malware visto hasta el momento, aprovechando las vulnerabilidades de miles de computadoras y paralizando sus sistemas. La actividad normal de los equipos afectados se vio interrumpida y las conexiones quedaron obstruidas durante varios días, a medida que el primer malware para plataformas múltiples se extendía por Internet.

Un gran impacto

El gusano estaba repleto de fallas; su éxito se debió más a la suerte que a la programación

Ningún otro caso en toda la historia del malware tuvo el mismo alcance que el gusano Morris. Atacó a 6.000 de las 60.000 computadoras conectadas a Internet, de las cuales muchas permanecieron infectadas durante casi 72 horas. Descargó archivos inusuales en los directorios de algunas máquinas y los sistemas comenzaron a funcionar cada vez más lento, a medida que se iban ejecutando más procesos, como señaló en aquel momento el profesor Eugene H. Spafford de la Universidad de Purdue en un paper.

Algunas máquinas incluso se apagaban tras infectarse reiteradamente, dado que el gusano estaba diseñado para replicarse en las redes informáticas y realizar acciones malintencionadas, como consumir los recursos de la máquina.

Una de las cosas más preocupantes fue que las principales universidades e instituciones gubernamentales estadounidenses estaban conectadas a ARPANET en este momento. Por lo tanto, las computadoras pertenecientes a la NSA, al MIT y al Pentágono también se vieron afectadas.

Aprovechamiento de fallas

Aunque el diseño del gusano puede haber parecido sofisticado para el mundo exterior, su rápida propagación tuvo más que ver con el hecho de que fue un ataque inesperado. El gusano en sí estaba repleto de fallas; su éxito se debió más a la suerte que a las habilidades de programación de su creador.

El gusano Morris aprovechó dos fallas importantes en las conexiones TCP y SMTP para infectar los sistemas. Estas hacían que fuera increíblemente fácil para un atacante enviar comandos al sistema infectado. Y por más que muchos ya conocían las fallas de los sistemas UNIX, el alcance del ataque tomó a todos por sorpresa, incluso a su creador, Robert Tappan Morris, Jr.

Morris: ¿un curioso o un criminal?

Morris, un estudiante de 23 años de la Universidad de Cornell, se quedó tan sorprendido por la propagación de su programa como sus compañeros. Según declaró, fue escrito sin intención maliciosa (“para medir el tamaño de Internet”), pero causó estragos debido a errores internos. Las fallas cruciales en el código provocaron que Morris desatara algo que no fue capaz de controlar: un malware que causó un daño económico estimado entre USD 100.000 y USD 10.000.000, de acuerdo con un vocero de Harvard.

Esto marcó el comienzo de la creación de malware con intenciones maliciosas

Sin embargo, algunas fuentes cuestionan la inocencia de Morris. Como el padre de Morris irónicamente trabajaba como científico en una de las áreas de seguridad informática de la NSA, se puede argumentar que Morris simplemente estaba tratando de apartarse de la imagen de su padre para crear una propia. En especial, porque el gusano atacaba archivos de contraseñas, cuando fue su padre quien creó la contraseña para la computadora.

El investigador senior de ESET David Harley también señaló que el gusano tenía características cuestionables, como “un proceso de replicación viral capaz de provocar un serio impacto en el sistema infectado”.

Pero más allá de la intención de Morris, se convirtió en el primer escritor de programas maliciosos en ser condenado (fue declarado culpable de violar la Ley de Fraude y Abuso de Computadoras de 1986, la primera condena de este tipo).

Restauración de los sistemas

Los expertos de la Universidad de California en Berkeley y del Instituto de Tecnología de Massachusetts actuaron rápidamente para capturar el gusano, analizar el programa y encontrar una solución. A la mañana siguiente, cuando aún no habían pasado 12 horas tras el descubrimiento del gusano, el equipo Computer Systems Research Group de Berkeley ya había desarrollado una serie de pasos para detener su propagación. Más tarde esa misma noche, en la Universidad de Purdue, se descubrió otro método para detener la infección, que fue ampliamente difundido.

El 8 de noviembre, una vez restaurado el orden, el Centro de Seguridad Informática estadounidense organizó un taller para discutir el impacto del programa de Morris. Se decidió que los presentes no divulgarían el código que descifraron mediante ingeniería inversa por miedo a las posibles consecuencias. Sin embargo, esto sólo sirvió para retrasar lo inevitable.

El impacto perdurable del gusano Morris

Para el 8 de diciembre, ya había al menos 11 versiones del código descompilado, lo que demuestra que las habilidades y herramientas para crear malware ya se habían extendido. Esto marcó el comienzo de la creación de malware con intenciones maliciosas. Desde esta fecha, ha habido un aumento significativo de infecciones potentes de malware inspiradas en el código descompilado de Morris, desde el gusano Code Red hasta el famoso gusano Conficker, que han infectado a millones de computadoras hasta el día de hoy.

A pesar del aumento en la cantidad de ataques de malware, se pueden extraer algunos aspectos positivos de la creación de Morris. Por un lado, ayudó a que la complacencia quedara en el pasado: impulsó el desarrollo de la seguridad informática y obligó a los proveedores de software a tener más cuidado con los errores en sus productos. Por otro lado, se creó el Equipo de respuesta ante emergencias informáticas (CERT), otra consecuencia positiva de este incidente.

Pero aunque el gusano Morris nos ha enseñado a ser más conscientes de las posibles amenazas online, existe el riesgo de que la historia se repita. Dado que ahora son millones las computadoras conectadas a Internet y muchas empresas dependen de Internet para sus actividades cotidianas y para generar ingresos, el daño no solo sería una sorpresa, sino que podría ocasionar un desastre global.

Autor , ESET

Síguenos