Malware es un concepto que surge de la abreviación de malicious software (en español, software malicioso). Se trata de un tipo de programa o código que es diseñado para realizar acciones maliciosas en un sistema informático, sin el consentimiento del usuario.
Al igual que otras amenazas informáticas, el malware ha evolucionado a través de las décadas, al ritmo de la sofisticación del cibercrimen. Sus objetivos también han cambiado: primero fueron los usuarios, luego las empresas y por último las infraestructuras críticas.
En el marco del Antimalware Day, que se conmemora cada 3 de noviembre y reivindica la importancia de protegerse de esta amenaza, plantearemos una línea temporal enfocada en la evolución del malware a través de ataques que marcaron una época, analizando contexto, características de la amenaza y su impacto.
1 – Primeros virus: Brain y el inicio de todo
Hablar de los inicios del malware es situarse en la década de 1980, cuando el cibercrimen aún estaba en una etapa embrionaria y experimental, sin fines económicos detrás. Brain vio la luz en 1986, y marcó dos hitos: ser el primer virus para IBM PC y el pionero en usar mecanismos para ocultarse en el sistema. ¿Su objetivo? Infectar el sector de arranque de los discos floppy.
Detrás de este software malicioso estuvieron dos hermanos paquistaníes, Basit y Amjad Farooq Alvi, dueños de una tienda informática en Lahore, quienes detectaron que estaba circulando una copia ilegal de un software creado por ellos. ¿La solución? Introducir Brain solo en los disquetes de las copias ilegales.
De hecho, incluyeron un mensaje de advertencia que indicaba al usuario que se estaba ejecutando un programa pirata, y hasta dejaron sus nombres, número de teléfono y la dirección de la tienda en el código, ya que Brain no tenía fines destructivos, sino más bien educacionales y de defensa de los derechos de autor.
La jugada se les fue de las manos: a pesar de que su diseminación era lenta —dependiendo de disquetes— el malware logró alcanzar múltiples países. Los creadores recibieron su primera llamada desde los Estados Unidos, lo que confirmó que Brain se había propagado por todo el mundo
Y ese sería solo el comienzo. Apenas un par de años después, en 1988, irrumpió en la escena el gusano Morris. Este malware aprovechaba vulnerabilidades en sistemas UNIX —específicamente en las conexiones TCP y SMTP— para enviar comandos sin autenticación, afectando a universidades y organismos como la NSA y el MIT, y dejando en evidencia lo expuesta que estaba la incipiente Internet.
2 – Gusanos de red: LoveLetter en la era del correo electrónico
La llegada de los 2000 se caracterizó por la gran masificación de Internet y por el consecuente uso de Outlook. Y si bien por aquel tiempo el cibercrimen estaba más abocado en obtener notoriedad a través de ataques cada vez más masivos y globales, supo aprovechar el boom del correo electrónico para distribuir malware.
Uno de los ejemplos más emblemáticos fue LoveLetter. El 5 de mayo del 2000, los usuarios comenzaron a recibir un correo con un asunto bastante particular y llamativo: “I Love You”. Y en el cuerpo del mail, se leía el siguiente mensaje: “Abre la carta de amor que te envié”.
Lo cierto es que el mail contenía el archivo adjunto Love-Letter-For-You.TXT.VBS y muchas personas se dejaron ganar por la intriga, y terminaron infectados por este gusano desarrollado en Filipinas por dos estudiantes de ciencias de la computación. ¿La consecuencia? El virus sobrescribía archivos en el sistema con copias de sí mismo y también efectuaba cambios en el registro de Windows.
La eficacia del ataque se debió a la Ingeniería Social: el correo que contenía la amenaza parecía ser de un contacto conocido, ya que el gusano podía ingresar a la libreta de direcciones de la víctima para enviar copias de sí mismo a los contactos. Según estimaciones, LoveLetter infectó a casi 55 millones de equipos de todo el mundo, con pérdidas cercanas a los diez mil millones de dólares.
3 – Troyanos bancarios: Zeus y la profesionalización del cibercrimen
Viajemos mentalmente al 2007, año en el que las transacciones online y el e-banking estaban en pleno auge. El cibercrimen, por su parte, vivía una etapa de profesionalización muy importante, al punto que el delito digital se industrializaba gracias al “malware-as-a-service”. En este contexto surge Zeus, un troyano bancario cuyo objetivo era robar credenciales mediante inyección en navegadores.
Este troyano fue diseñado para robar información bancaria y confidencial de los ordenadores infectados, como nombre de usuario, credenciales y hasta los datos bancarios de la víctima en cuestión. Además, los equipos infectados podían ser controlados por un servidor de comando y control, permitiendo que bots descarguen o ejecuten archivos, o modifiquen la configuración del sistema.
Zeus se distribuía por campañas que suplantaban la identidad de organizaciones de renombre como Facebook. El objetivo de los actores maliciosos era que la víctima visitara un sitio web, para luego infectar el equipo. Pero también a través de correos de phishing, con archivos infectados o links a sitios maliciosos.
La liberación del código malicioso dio lugar a que el impacto de Zeus sea muy grande. Un informe del FBI que data del 2010 habla de pérdidas monetarias por casi 70 millones de dólares.
4 – Ataques dirigidos: Stuxnet y el malware como arma geopolítica
Intervención estatal, espionaje y hasta sabotaje digital. No, no estamos hablando de una película de Hollywood, sino del contexto en el que se encontraba el cibercrimen durante el 2010. Sí, el malware empezó a transformarse en un arma geopolítica, apuntada principalmente a infraestructuras críticas.
Uno de los ejemplos más paradigmático fue Stuxnet, que realmente tuvo tintes cinematográficos: desempeñó un papel clave en lo que se considera uno de los ataques más sofisticado de toda la historia.
El objetivo de la operación era afectar el programa nuclear de Irán, y vaya si lo logró: ralentizó el proceso de enriquecimiento de uranio en Natanz —instalación nuclear iraní—, lo que demoró la creación de armas nucleares por parte del país.
En sí, Stuxnet fue un gusano dirigido con instrucciones para realizar ataques específicos a sistemas de control industrial SCADA (del inglés, Supervisory Control And Data Acquisition), particularmente a los productos SIMATIC WinCC y SIMATIC STEP 7 de la empresa Siemens.
Más allá de este caso real y paradigmático de Irán (país donde se registró el 60% de sus ataques), Stuxnet también evidenció actividad en Indonesia, Estados Unidos, India y Pakistán. Y hasta marcó el camino para amenazas que llegarían en los años siguientes, como Industroyer, que también tuvo en la mira a infraestructuras críticas como suministro de luz, agua y gas.
5 – Ransomware: WannaCry y la globalización del secuestro digital
En 2017, la ciberseguridad fue noticia y ocupó los principales portales del mundo. ¿El motivo? WannaCryptor, más popularmente conocido como WannaCry.
La propagación de este ransomware que además combinaba técnicas de gusano fue masiva. ¿Cómo lo hizo? Gracias a una falla de seguridad grave en el SMB (Server Message Block) de Windows: buscaba equipos desactualizados de esa red para infectarlos sin que intervenga el usuario. Luego, cifraba los archivos de sus víctimas de manera masiva, y exigía el pago de rescate en Bitcoins.
Así, afectó a más de 200.000 computadoras de grandes compañías distribuidas en 150 países: en el Reino Unido se paralizó gran parte del sistema de salud, mientras que en España, la compañía Telefónica sufrió el secuestro del 85% de sus equipos.
Este ataque se dio en un contexto en el que el cibercrimen materializaba ataques automatizados, mediante herramientas de ciberespionaje desarrolladas por agencias de inteligencia que fueron filtradas, como EternalBlue y DoublePulsar. De esta manera, los actores maliciosos propulsaron la extorsión a gran escala, generando un gran impacto tanto en empresas como en servicios públicos.
Pero, además, marcó un hito preocupante: fue la primera vez que una herramienta creada para operaciones de inteligencia terminó en las manos equivocadas, demostrando las graves consecuencias que eso puede ocasionar. Así, el ransomware dejó de ser una amenaza aislada para transformarse en un negocio global, impulsando el surgimiento de grupos organizados.
6 – Malware móvil: Joker y el fraude en la palma de la mano
Desde hace unos años, la vida pasa por la palma de la mano: en cada dispositivo móvil es posible encontrar información sensible y confidencial (de salud, trabajo y financiera), fotos, archivos, credenciales de acceso a cuentas y servicios, y dinero. Esto explica cómo se masificó el uso de smartphones como también la aparición de aplicaciones de terceros, sin auditoría de seguridad y/o no oficiales.
Lo cierto es que entre los permisos excesivos entregados por los usuarios cuando se instala una app y la falta de revisión en tiendas oficiales, el riesgo de infectarse con malware creció sensiblemente. Y Joker es uno de los casos que lo ejemplifica.
Es que este malware para Android, cuya principal actividad se registró entre 2019 y 2023, encaja perfectamente en el contexto que vivía el cibercrimen en esa época, abocado a realizar fraudes automatizados y obtener una monetización directa en el ecosistema móvil. Joker se ocultaba en apps falsas, para luego suscribir al usuario a servicios premium, sin su consentimiento.
Respecto del impacto de Joker, vale compartir dos datos puntuales. Por un lado, en 2020 Google reportó que eliminó de Google Play más de 1.700 aplicaciones que contenían este malware. Y a su vez, una de las apps que lo contenían, se llamaba PDF Reader Scanner, descargada más de 5.000 veces antes de ser eliminada de la tienda oficial.
Y si bien Joker fue desactivado, su legado sigue vigente: inspiró a nuevas variantes que aprovechan las mismas debilidades del ecosistema móvil. Ahora combinan Ingeniería Social, malvertising y hasta aplicaciones clonadas para robar dinero y/o datos personales, con un solo toque de un usuario desprevenido.
7 – La era de la IA: malware potenciado y polimórfico
Vivimos en la era de la Inteligencia Artificial, de eso no cabe duda. Como tampoco, que la IA también está siendo aprovechada por el cibercrimen para potenciar y sofisticar sus ataques. Este escenario, claro, aplica al malware.
De hecho, un descubrimiento del equipo de investigación de ESET lo confirma: PromptLock es considerado “el primer ransomware impulsado por IA”, y entre sus capacidades se destacan las de filtrar, cifrar y hasta incluso destruir datos (esta última funcionalidad no parece haber sido implementada en el malware todavía).
Si bien PromptLock no fue detectado en ataques reales y se trata de una prueba de concepto, igualmente demuestra cómo el uso malicioso de herramientas de IA disponibles públicamente podría potenciar el ransomware y otras ciberamenazas generalizadas.
Es que independientemente de la intención para lo que se lo creo, PromptLock confirma cómo las herramientas de IA pueden utilizarse para automatizar varias fases de los ataques de ransomware. Es decir, desde el reconocimiento hasta la extracción de datos, a una velocidad y escala impensada hace un tiempo atrás.
Así, la perspectiva de un malware impulsado por IA que pueda, por ejemplo, adaptarse al entorno y cambiar sus tácticas sobre la marcha puede marcar un nuevo hito en el mundo de la ciberseguridad.
Pensamientos finales
El recorrido planteado a lo largo de las últimas cuatro décadas demuestra cómo el malware supo transformarse de manera clara y constante; de un simple experimento informático a una compleja herramienta de espionaje, extorsión y sabotaje digital.
Por supuesto que esta evolución se vio siempre acompañada del avance tecnológico y la ampliación de las superficies de ataque.
Este escenario hizo que las soluciones de seguridad también tengan que reinventarse. Así, el antivirus tradicional dio paso a plataformas antimalware capaces de detectar comportamientos anómalos, analizar grandes volúmenes de datos en tiempo real y anticiparse a los ataques antes de que ocurran.
En el marco del Antimalware Day, este recorrido por la historia del malware debe servir como recordatorio de que detrás de cada amenaza neutralizada existe una investigación, desarrollo y trabajo colaborativo de toda una industria dedicada a proteger a los usuarios y las usuarias de todo el mundo.
Conmemorar este día es reconocer la importancia de la tecnología, pero también de la conciencia: porque solo combinando herramientas, conocimiento y buenas prácticas podremos seguir haciendo del mundo digital un espacio más seguro.
