El año era 1999. El mes, marzo. Ya se hablaba mucho sobre el bug Y2K, se asignaba presupuesto a actualizaciones de software y computadoras, y se preparaban refugios para el fin del mundo. Mientras tanto, para muchos, todo era como de costumbre: seguían yendo a trabajar, pagando cuentas, haciendo las compras.

Para David L. Smith, sin embargo, las cosas no eran tan rutinarias. El norteamericano, hasta entonces desconocido por muchos, estaba ocupado con la que sería su mayor y más infame creación. Eventualmente, cerca del 26, liberó al virus Melissa, oficialmente conocido como W97M/Melissa.A@mm.

Un apetito voraz

En cuestión de horas, el macro virus se había propagado por todas partes, infectando a decenas de miles de computadoras alrededor del mundo que dependían de Microsoft Outlook para usar correo electrónico, incluyendo a aquellas situadas en agencias gubernamentales.

Aryeh Goretsky, investigador distinguido de ESET, era director de soporte en Tribal Voice en ese entonces, y recuerda haberse "maravillado" por la velocidad del virus, que ocasionó que el servicio de e-mail y la conectividad a Internet de la compañía se ralentizaran notablemente.

"Recuerdo haber entrado al editor de macros en Word para leer el código y pensar que todo eso no podía ser bueno"

Dice: "Recuerdo haber entrado al editor de macros en Word para leer el código y pensar 'oh, esto no puede ser bueno'".

El daño era sustancial, el costo significativo (más de 80 millones de dólares según el FBI). Podría haber sido mucho peor si el señor Smith no hubiese sido aprehendido una semana después de que se lanzara el virus.

"Las capacidades del virus eran más molestas que catastróficas", explica Lysa Myers, investigadora de seguridad de ESET. "De todas formas, para muchas de las compañías que sufrieron fuertes pérdidas de productividad, estoy segura de que causó daño en un nivel más que suficiente".

No es como de costumbre

Lysa Myers llevaba unas pocas semanas en su nuevo rol en el laboratorio de análisis de virus cuando Melissa "mostró su lado oscuro". No hace falta decir que la semana siguiente fue extensa y difícil.

"Algunos habían contactado a los laboratorios pidiendo ayuda con pánico por los problemas que había causado un documento que recibieron"

"Algunos habían contactado a los laboratorios pidiendo ayuda con pánico por los problemas que había causado un documento que recibieron (y abrieron) que se propagaba rápidamente a través de sus sistemas de e-mail", explica.

"Recuerdo a los investigadores y equipos de soporte pidiendo una muestra de estos documentos, y luego viéndose inundados de respuestas de esas pocas personas que los habían contactado y más tarde de otros miles de personas. Fue todo manos a la obra durante los tres días siguientes, en los que todos trabajamos todo el día para asegurarnos de que quienes necesitaban ayuda fueran atendidos".

Lo polémico fue que Smith dijo al momento de ser sentenciado, cuando se declaró culpable, que no tenía idea de que el virus tendría este tipo de impacto y causaría tanto daño. Incluso dijo que estaba destinado a ser nada más que una broma inofensiva.

Declaró: "Cuando publiqué el virus, esperaba que cualquier daño financiero fuera menor e incidental. De hecho, incluí funcionalidades destinadas a prevenir daño sustancial. No tenía idea de que habría consecuencias tan profundas para otros".

Smith fue sentenciado a 20 meses tras las rejas, recibió una multa de 5 mil dólares y la orden de, tras ser liberado, "no involucrarse en redes de computadoras, Internet o anuncios de Internet a menos que la Corte lo autorizara". Poco se sabe de su paradero o actividades hoy en día.

Cómo Melissa llegó tan lejos

Melissa virus

El virus de envío masivo, que fue nombrado como una bailarina exótica que su creador conoció, se propagaba por correo electrónico con un documento de Word adjunto. Para infectar computadoras, necesitaba ser activamente descargado por un individuo. En otras palabras, quienes recibían el e-mail tenían que, de alguna forma, ser persuadidos para hacer clic en el adjunto. No hace falta decir que muchos lo hicieron.

Smith estaba bien al tanto de esto, y había aplicado técnicas de Ingeniería Social para seducir a sus víctimas y que hicieran clic en el archivo. Parte de este éxito derivó del hecho de que los mensajes provenían de la cuenta de un familiar, amigo o colega.

En otras palabras, parecía haber sido enviado por alguien en quien normalmente confiarías, y recuerda: esta era la edad temprana de Internet y los virus no eran conocidos fuera de círculos de especialistas. En general, el correo decía algo como:

  • Asunto: Mensaje importante de [nombre de contacto]
  • Cuerpo del mensaje: Aquí está ese documento que pediste... no se lo muestres a nadie ;-)

Melissa, como la mayoria de los macro virus VBA, se copiaba a sí mismo en la plantilla por defecto del usuario para infectar los documentos aunque se cerraran. Como era habitual, deshabilitaba los ajustes de seguridad para macros del programa. Sin embargo, su novedad radicaba en su payload principal, que intentaba usar Outlook para enviar el documento infectado a hasta 50 contactos en cada lista que encontrara en el sistema víctima.

"Intentaba usar Outlook para enviar el documento infectado a hasta 50 contactos de cada lista"
El último punto es importante, ya que jugaba un papel decisivo en la rápida propagación del virus; significaba que el impacto de cada descarga podía ser significativo. Piénsalo: una computadora infectada tenía el potencial de infectar otras 50 computadoras por cada lista de contactos de cada libreta de direcciones que encontraba. En una organización que usa Microsoft Exchange, hay generalmente dos: la libreta personal del usuario y la lista global de Exchange.

Súmale una persona más al número de infectados y ya tienes una buena reacción en cadena. Para más información técnica, lee el análisis de Ian Whalley para la edición de mayo de 1999 de Virus Bulletin May: Melissa: The Little Virus That Could… 

Un nuevo milenio, una nueva amenaza

Si algo no está en tu radar, es probable que no pienses en ello. Si algo es de nicho y está fuera de tu actividad diaria, personal y profesionalmente, probablemente no pasó por tu cabeza.

El virus Melissa fue como un llamado de atención. Las organizaciones reconocieron sus limitaciones y supieron que las cosas tenían que cambiar.

Esa fue la tarea entonces, pero cuán profundo fue ese aprendizaje es cuestionable. Como señala Lysa Myers, "¿cuántas compañías filtran hoy los tipos de adjuntos potencialmente maliciosos? ¿Cuántas tienen un backup en caso de emergencia? ¿Cuántas tienen formas de actualizar su software antimalware en caso de que se caiga la red?".

Además de crear consciencia sobre las fallas individuales y organizacionales, el virus Melissa  marcó la rapidez con que los virus y el software malicioso pueden propagarse en línea, las técnicas que los cibercriminales tienen a su disposición y cuán vulnerables son las personas a la Ingeniería Social. También alertó sobre lo que estaba por venir.

"El título de un artículo de Esther Dyson, Melissa is a marketing tool, resume mucho de la discusión que vi por esos días", dice David Harley, investigador senior de ESET.

"Probablemente no sea demasiado extravagante sugerir que la idea de Melissa como 'marketing viral' influenció no solo el desarrollo cultural 'legítimo' de Internet, sino también el cambio subsecuente del malware, alejándose de la gratificación propia y la búsqueda de aprobación de pares hacia una actividad criminal monetizada", explica.

Melissa puede haber aparecido a finales del siglo anterior, pero sin dudas fue un presagio de mucho de lo que sucedió en el siglo XXI. El cibercrimen es una de las mayores amenazas de hoy y una de las más complejas, por lo que su impacto no será fácilmente olvidado.

Sigue leyendo: Top 10 de condenados por delitos informáticos