Una breve historia del malware informático: de la diversión al hambre de dinero
5 de Febrero de 2021¿Cuando el ciberdelito pasó de ser divertido a ser impulsado por las finanzas? Escribe Luis Corrons, Investigador Senior Adjunto de Avast
Todo es juego y diversión...
Los virus informáticos y el malware existen desde hace muchos años. Los creadores de malware de finales de los 80 y 90 eran personas conocedoras de la tecnología que intentaban demostrar sus habilidades, divertirse un poco y poner a prueba sus límites. Algunos de los primeros programas maliciosos eran inofensivos, mientras que otros eran realmente dañinos.
El virus Cascade, por ejemplo, no causaba ningún daño real en el sentido de que no alteró ningún archivo, no espiaba el dispositivo infectado ni robaba archivos, simplemente hacía que letras cayeran en cascada en la pantalla del dispositivo infectado y se acumularan en la parte inferior, como hojas que caen de un árbol. De manera similar, el virus Ping Pong mostraba una pelota rebotando hacia adelante y hacia atrás, y lo peor que lograba hacer el virus era tildar la computadora, pero esto solo sucedía en ciertos tipos de máquinas.
En aquel entonces, los virus y el malware se propagan lentamente, ya que se desplazaban principalmente a través de disquetes, lo que significa que un virus podría tardar meses en llegar a diferentes países. Por eso, algunos de los primeros virus llevan el nombre de ciudades, como el virus de Viena o Sevilla.
Alrededor de 1996, los virus de macro comenzaron a hacerse populares. Los virus de macro son virus diseñados para vivir en documentos de Microsoft Word. Internet estaba comenzando a ganar algo de popularidad en ese momento, y los usuarios comenzaron a compartir documentos, creando una oportunidad para que los creadores de virus propaguen sus virus a un ritmo más rápido y más amplio que antes.
En 1999, los gusanos de correo electrónico comenzaron a circular, dando inicio a una nueva era en el mundo de los virus informáticos que duraría años. El virus Melissa fue el primer virus de macro que se autopropagó al enviarse a las primeras 50 direcciones de correo electrónico almacenadas en las libretas de direcciones de Microsoft Outlook. El virus no era peligroso en sí mismo, pero provocó el colapso de los servidores de correo electrónico debido a la gran cantidad de correos electrónicos enviados a la vez. En mayo de 2000, se lanzó el virus ILOVEYOU, que infectó a más de 10 millones de computadoras con Windows en todo el mundo. El virus sobrescribiría archivos y también se enviaba a todas las direcciones que se encontraban en las libretas de direcciones de Windows de los usuarios infectados.
Durante este tiempo, los "script kiddies", jóvenes con pocas habilidades de programación, comenzaron a crear su propio malware modificando virus de script, como el virus ILOVEYOU.
En 2001, los virus comenzaron a explotar las vulnerabilidades a mayor escala. Nimda, Code Red y Klez son algunos de los más populares. Dos años después, en 2003, los virus saltaron a un nivel completamente nuevo con el gusano Blaster, que aprovechó una vulnerabilidad en Windows y pudo infectar cualquier computadora con Windows sin parchear sin la interacción del usuario, solo tener la computadora conectada a Internet era suficiente para que se activara. Blaster llevó a cabo ataques DDoS (Distributed Denial of Service) generalizados.
Pero luego, el dinero se involucró ...
A medida que diferentes aspectos de la vida migraron al mundo en línea (fitness, compras, entretenimiento y banca), surgieron nuevas vías de lucro para los piratas informáticos. Poco después de que las entidades financieras comenzaran a ofrecer servicios de banca por Internet, aparecieron los primeros troyanos bancarios, malware diseñado para robar credenciales bancarias, así como los primeros ataques de phishing. Esto inició la era del ciberdelito.
En 2004, vimos los primeros troyanos bancarios en circulación utilizando técnicas básicas pero efectivas. Estos ataques evolucionaron, hasta un punto en el que se podía ver la profesionalidad de las personas detrás de los desarrolladores del malware. Un buen ejemplo de esto fue Zeus, también conocido como ZBOT. Visto por primera vez en 2007 obteniendo credenciales de usuario, alterando formularios de páginas web y redirigiendo a los usuarios a sitios falsos (entre otras cosas), pero evolucionando constantemente con el tiempo. Zeus fue omnipresente en Internet hasta 2010 y su descendencia todavía está muy extendida. Muchos otros siguieron su ejemplo (como Gozi, Emotet y SpyEye) e incluso hoy los atacantes desarrollan continuamente nuevas variaciones que se están introduciendo constantemente en circulación para frustrar la detección de las soluciones de seguridad en los dispositivos de los usuarios.
Otro tipo de troyano que se hizo muy popular a principios de la década de 2000 entre los piratas informáticos para generar ingresos fue el llamado "virus policial". Cuando este tipo de malware infectaba su computadora, aparecía un mensaje diciendo que había contenido ilícito en su dispositivo (pornografía, películas descargadas, etc.) y que, para evitar ser procesado, tenía que pagar una multa. Muchos de estos virus cambiaban la imagen de fondo del escritorio de Windows que mostraba ese mensaje e incluso usaban la dirección IP de la computadora para localizar al usuario y mostrar un mensaje personalizado. Por ejemplo, si estaba en los EE. UU., la advertencia falsa provenía del FBI en inglés y con la bandera de EE. UU., en España estaba en español con la bandera local y haciéndose pasar por Guardia Civil o Policía Nacional, etc.
Después de eso, los piratas informáticos continuaron apuntando a los datos personales de las personas en diferentes formas y ganando dinero usándolos, vendiéndolos en el mercado negro o incluso cifrándolos y manteniéndolos como rehenes a cambio de un rescate (esto es lo que llamamos ransomware). Pero no solo se atacaban las cuentas bancarias y los datos personales de las personas.
Atacando víctimas de mayor tamaño para recibir más dinero
Los piratas informáticos se volvieron más ambiciosos y pronto se centraron en entidades más grandes y empresas importantes con más activos que proteger y más dinero para gastar en rescates.
Los piratas informáticos obtenían acceso a las redes y datos comerciales, los robaban y los cifraban o hacían una copia y amenazaban con liberarlos al público a menos que se pagara una cierta cantidad de dinero a los ciberdelincuentes. Y resultó ser un negocio muy rentable.
En el transcurso de 2020, hubo un gran aumento en la cantidad de ataques de ransomware, y la pandemia lo acentuó. Las estadísticas de Avast confirman que el ransomware creció un 20% durante marzo y abril en comparación con enero y febrero de 2020. Organizaciones como Travelex, University of California San Francisco, Communications & Power Industries (CPI) y City of Florence Alabama, por nombrar algunas, todos tuvieron que pagar millones de dólares en rescate luego de ser atacados en 2020.
Las formas en que obtienen acceso a estos datos sensibles, incluso hoy día, varían con el tiempo, pero algunos incluso ofrecen "servicios de consultoría" donde brindan a las víctimas consejos para proteger sus redes corporativas y evitar futuros ataques.
Cuanto más dinero obtienen, más ataques avanzados preparan en el futuro y mayores son los objetivos y víctimas que pueden atacar, incluyendo organizaciones nacionales e internacionales, e incluso países enteros.
Conclusión
La proporción de hogares con una computadora en casa alcanzó el 27% y creció a casi el 50% en 2019 en todo el mundo, y el número de usuarios de Internet se cuadruplicó de 1,1 millones a 4,1 millones entre 2005 y 2019. El aumento en la cantidad de usuarios de Internet y PC, junto con la innovación de software y aplicaciones que la gente usa, pero lo que es más importante, para qué los usan, causó un cambio en la piratería. Los ciberdelincuentes se convirtieron en verdaderos empresarios que comenzaron a trabajar de forma independiente, así como en pandillas, y sus motivos cambiaron de presumir, poner a prueba sus habilidades y jugar, a motivos económicos.
En lugar de demostrar sus habilidades, romper las reglas y generar caos, la mayoría de los ciberdelincuentes de hoy solo quieren ganar más dinero. Un estudio global reciente confirmó que el 86% de las filtraciones de datos en 2020 fueron motivadas financieramente. Es nuestro trabajo protegernos lo mejor que podamos y asegurarnos de que ganarse la vida propagando malware y aprovechándose de otras personas sea lo más difícil posible para ellos.
(*) Luis Corrons: Especialista de Seguridad de Avast