ILOVEYOU , a veces denominado Love Bug o Loveletter , era un gusano informático que infectó más de diez millones de computadoras personales con Windows a partir del 5 de mayo de 2000. Comenzó a propagarse como un mensaje de correo electrónico con el asunto "ILOVEYOU" y el archivo adjunto "LOVE -CARTA-PARA-TI.TXT.vbs". [1] En ese momento, las computadoras con Windows a menudo ocultaban esta última extensión de archivo (" VBS ", un tipo de archivo interpretado ) de forma predeterminada porque es una extensión para un tipo de archivo que Windows conoce, lo que lleva a los usuarios involuntarios a pensar que era una extensión normal. Archivo de texto. Al abrir el archivo adjunto se activa el script de Visual Basic . Primero, el gusano daña la máquina local, sobrescribiendo archivos aleatorios (incluidos archivos de Office y archivos de imagen; sin embargo, oculta archivos MP3 en lugar de eliminarlos), luego se copia en todas las direcciones de la libreta de direcciones de Windows utilizada por Microsoft. Outlook , lo que le permite propagarse mucho más rápido que cualquier otro gusano de correo electrónico anterior. [2] [3]
Onel de Guzmán, [4] un estudiante de informática de 24 años en AMA Computer College [5] y residente de Manila , Filipinas , creó el malware . Debido a que en Filipinas no había leyes contra la creación de malware en el momento de su creación, el Congreso filipino promulgó la Ley de la República No. 8792, también conocida como Ley de Comercio Electrónico, en julio de 2000 para desalentar futuras iteraciones de dicha actividad. Sin embargo, la Constitución de Filipinas prohíbe las leyes ex post facto y, como tal, De Guzmán no pudo ser procesado. [6]
El gusano ILOVEYOU fue codificado por Onel de Guzmán, entonces estudiante de la AMA Computer College de Filipinas. En el momento de su creación, de Guzmán era pobre y luchaba por pagar el acceso telefónico a Internet del país . [5] De Guzmán creía que el acceso a Internet era un derecho humano , [5] y presentó una tesis universitaria a la universidad que proponía el desarrollo de un troyano para robar datos de inicio de sesión de Internet. [7] Afirmó que esto permitiría a los usuarios poder permitirse una conexión a Internet, argumentando que los afectados por ella no experimentarían ninguna pérdida. [5] La propuesta fue rechazada por el colegio, que señaló que su propuesta era "ilegal" y que "no produjeron ladrones". [7] Esto llevó a De Guzmán a afirmar que sus profesores eran de mente cerrada, [4] y finalmente abandonó la universidad y comenzó a desarrollar el gusano. [8]
De Guzman escribió ILOVEYOU en VBScript y se utiliza Windows Script Host para ejecutar el código. ILOVEYOU se distribuyó a través de archivos adjuntos de correo electrónico maliciosos . El gusano se encontró en correos electrónicos con el asunto "ILOVEYOU" y un mensaje que decía "¡Por favor revise la carta de amor adjunta!" El archivo adjunto LOVE-LETTER-FOR-YOU.TXT.vbs
contenía el gusano. [9]
Al abrir el archivo, el gusano se copia a sí mismo en los directorios relevantes para que se ejecute al reiniciar la computadora. Dos de las tres copias se hacen pasar por archivos legítimos de la biblioteca de Microsoft Windows , denominados MSKernel32.vbs
y Win32DLL.vbs
. La otra copia conserva el LOVE-LETTER-FOR-YOU.TXT.vbs
nombre original. [10]
El gusano intenta descargar un troyano llamado "WIN-BUGSFIX.exe". Para lograr esto, la página de inicio de Internet Explorer de la víctima se configura con una URL que descarga el troyano al abrir el navegador. Si la descarga se realiza correctamente, el troyano se ejecutará al reiniciar y la página de inicio de Internet Explorer se configurará en una página en blanco . El troyano cumple el objetivo principal de Guzmán: robar contraseñas. [10]
El gusano envía su correo electrónico característico a todos los contactos de la libreta de direcciones de la víctima. Para evitar que se envíen varios correos electrónicos a una persona en cada ejecución sucesiva del gusano, se genera una clave de registro para cada entrada de la libreta de direcciones una vez que se ha enviado un correo electrónico. El gusano sólo enviará un correo electrónico si la clave de registro no está presente. Esto también permite enviar correos electrónicos a nuevos contactos ubicados en la libreta de direcciones. ILOVEYOU también tiene la capacidad de difundirse a través de canales de Internet Relay Chat . [10]
El gusano busca en las unidades conectadas archivos para modificar. Todos los archivos VBScript que encuentra (.vbs, .vbe) se sobrescriben con el código del gusano. Los archivos con extensiones .jpg , .jpeg , .js , .jse, .css , .wsh , .sct, .doc y .hta se reemplazan con copias del gusano que tienen el mismo nombre de archivo base pero con la extensión .vbs . Las copias de archivos .mp2 y .mp3 se producen de manera similar, pero los archivos originales se ocultan en lugar de eliminarse. [10]
El formato de correo electrónico se considera uno de los primeros ejemplos de malware que utiliza ingeniería social , [11] al alentar a las víctimas a abrir el archivo adjunto con el pretexto de que tenían un amante que intentaba contactarlas. [12] Esto se vio exacerbado por el hecho de que los correos electrónicos parecían provenir de contactos cercanos como resultado del uso por parte del gusano de las listas de contactos de su víctima anterior. [13] El éxito posterior del gusano ha resultado en el uso de ingeniería social en muchos ataques de malware modernos. [11] El archivo adjunto explotaba una característica de Microsoft Outlook donde solo se mostraba una extensión de archivo . Como el nombre del archivo se analizaba de izquierda a derecha, lo que se detenía después del primer período, para las víctimas el archivo adjunto parecía ser un archivo .txt discreto incapaz de contener malware. La extensión .vbs real del gusano estaba oculta. [13] De Guzmán también afirmó que un error en Windows 95 , donde el código de los archivos adjuntos de correo electrónico se ejecutaba automáticamente al hacer clic, contribuyó al éxito del gusano. [5]
El hecho de que el gusano estuviera escrito en VBScript permitía a los usuarios modificarlo. Un usuario podría fácilmente cambiar el gusano para reemplazar archivos esenciales y destruir el sistema, permitiendo que más de 25 variaciones de ILOVEYOU se propaguen por Internet, cada una causando diferentes tipos de daño. [14] La mayoría de las variaciones tenían que ver con las extensiones de archivo afectadas por el gusano. Otros modificaron el asunto del correo electrónico para dirigirse a un público específico, como la variante " Cartolina " ("postal") en italiano o "BabyPic" para adultos. Otros solo cambiaron los créditos del autor, que inicialmente estaban incluidos en la versión estándar del virus, eliminándolos por completo o haciendo referencia a autores falsos. [14] Aún así, otros sobrescribieron los archivos " EXE " y " COM ". [ cita necesaria ] La computadora del usuario no podrá iniciarse al reiniciarse.
Algunos mensajes de correo enviados por ILOVEYOU incluyen:
Inicialmente, De Guzmán diseñó el gusano para que funcionara solo en Manila, pero por curiosidad eliminó esta restricción geográfica , lo que permitió que el gusano se extendiera por todo el mundo. De Guzmán no esperaba esta difusión mundial. [5]
El gusano se originó en el barrio Pandacan de Manila, Filipinas, el 4 de mayo de 2000, [16] y posteriormente se desplazó hacia el oeste a través de los sistemas de correo electrónico corporativo cuando los empleados comenzaron su jornada laboral ese viernes por la mañana, desplazándose primero a Hong Kong, luego a Europa y finalmente a Estados Unidos. Estados. [17] [18] Debido a que el gusano utilizaba listas de correo como fuente de objetivos, los mensajes a menudo parecían provenir de conocidos y, por lo tanto, sus víctimas los consideraban "seguros", lo que proporcionaba un incentivo adicional para abrirlos. Sólo unos pocos usuarios en cada sitio tuvieron que acceder al archivo adjunto para generar millones de mensajes más que paralizaron los sistemas de correo y sobrescribieron millones de archivos en las computadoras de cada red sucesiva . [19]
Se estimó que el brote causó daños entre 5.500 y 8.700 millones de dólares en todo el mundo, [20] [21] [ se necesita una mejor fuente ] y se estimó que la eliminación del gusano costó entre 10.000 y 15.000 millones de dólares. [22] [23] En diez días, se habían reportado más de cincuenta millones de infecciones, [24] y se estima que el 10% de las computadoras conectadas a Internet en el mundo se habían visto afectadas. [22] Los daños citados fueron principalmente el tiempo y el esfuerzo dedicados a deshacerse de la infección y recuperar archivos de las copias de seguridad. En ese momento, fue uno de los desastres informáticos más destructivos jamás ocurridos en el mundo. [25] [26] [27]
En el Reino Unido, el gusano llegó a los servidores de correo electrónico de la Cámara de los Comunes el 4 de mayo. [7] Los servidores se cerraron durante dos horas en respuesta. [17] El gusano afectó al sistema bancario de Bélgica. [28]
El gusano afectó a la mayoría de las agencias del gobierno federal y causó perturbaciones en varias, incluido el Departamento de Justicia , el Departamento de Trabajo y la Administración del Seguro Social . [28] Las operaciones del Departamento de Defensa se vieron significativamente obstruidas, [28] la Agencia Central de Inteligencia también se vio afectada [17] y el Ejército de los Estados Unidos tuvo 2258 estaciones de trabajo infectadas cuya recuperación costó aproximadamente 79.200 dólares estadounidenses. [29] La Administración de Salud de Veteranos recibió 7.000.000 de correos electrónicos de ILOVEYOU durante el brote, lo que requirió 240 horas de trabajo para resolver los problemas creados. [28] Los archivos de la Administración Nacional de Aeronáutica y del Espacio resultaron dañados y, en algunos casos, irrecuperables a partir de copias de seguridad . [28]
El 5 de mayo de 2000, De Guzmán y otro joven programador filipino llamado Reonel Ramones se convirtieron en blanco de una investigación criminal por parte de agentes de la Oficina Nacional de Investigaciones (NBI) de Filipinas. [30] El proveedor local de servicios de Internet Sky Internet había informado haber recibido numerosos contactos de usuarios de computadoras europeos alegando que se había enviado malware (en forma del gusano "ILOVEYOU") a través de los servidores del ISP. [31]
De Guzmán intentó ocultar la evidencia sacando su computadora de su departamento, pero accidentalmente dejó algunos discos que contenían el gusano, así como información que implicaba a un posible co-conspirador. [5]
Después de la vigilancia e investigación por parte de Darwin Bawasanta de Sky Internet, el NBI rastreó un número de teléfono que aparecía con frecuencia [ se necesita aclaración ] hasta el apartamento de Ramones en Manila. Su residencia fue registrada y Ramones fue arrestado y puesto bajo investigación por el Departamento de Justicia (DOJ). De Guzmán también fue acusado en rebeldía . [ cita necesaria ]
En ese momento, el NBI no estaba seguro de qué delito grave o delito se aplicaría. [30] Se sugirió que fueran acusados de violar la Ley de la República 8484 (la Ley de Regulación de Dispositivos de Acceso), una ley diseñada principalmente para penalizar el fraude con tarjetas de crédito , ya que ambos usaban tarjetas de Internet prepagas (si no robadas) para comprar acceso a los ISP. . Otra idea era que podrían ser acusados de travesuras maliciosas , un delito grave (según el Código Penal Revisado de Filipinas de 1932) que implica daños a la propiedad. El inconveniente aquí era que uno de sus elementos, además del daño a la propiedad, tenía la intención de dañar, y de Guzmán había afirmado durante las investigaciones de detención que podría haber liberado el gusano sin saberlo. [4] En una conferencia de prensa organizada por su abogado el 11 de mayo, dijo "Es posible" cuando se le preguntó si podría haberlo hecho. [5]
Para mostrar su intención, el NBI investigó AMA Computer College , donde De Guzmán había abandonado al final de su último año. [30]
Dado que en ese momento no existían leyes en Filipinas que prohibieran la creación de malware, tanto Ramones como De Guzmán fueron liberados y los fiscales estatales retiraron todos los cargos. [32] Para abordar esta deficiencia legislativa, [30] el Congreso filipino promulgó la Ley de la República No. 8792, [33] también conocida como Ley de Comercio Electrónico, en julio de 2000, meses después del brote de gusanos. [6]
En 2012, el Instituto Smithsonian nombró a ILOVEYOU uno de los diez virus informáticos más virulentos de la historia. [12]
De Guzmán no quería la atención del público. Su última aparición pública conocida fue en la conferencia de prensa de 2000, donde ocultó su rostro y permitió que su abogado respondiera la mayoría de las preguntas; su paradero permaneció desconocido durante 20 años después. En mayo de 2020, el periodista de investigación Geoff White reveló que mientras investigaba su libro sobre delitos cibernéticos Crime Dot Com , había encontrado a De Guzmán trabajando en un puesto de reparación de teléfonos móviles en Manila. De Guzmán admitió haber creado y liberado el virus. [34] Afirmó que inicialmente lo había desarrollado para robar contraseñas de acceso a Internet, ya que no podía permitirse el lujo de pagar por el acceso. También afirmó que lo creó solo, absolviendo a los otros dos que habían sido acusados de coescribir el gusano. [35] [36]
Los acontecimientos inspiraron la canción "E-mail" del álbum Top-Ten de 2002 de Pet Shop Boys en el Reino Unido, Release , cuya letra juega temáticamente con los deseos humanos que permitieron la destrucción masiva de esta infección informática. [ cita necesaria ]