ILOVEYOU , a veces denominado Love Bug o Loveletter , fue un gusano informático que infectó más de diez millones de computadoras personales con Windows a partir del 5 de mayo de 2000. Comenzó a propagarse como un mensaje de correo electrónico con el asunto "ILOVEYOU" y el archivo adjunto " CARTA-de-AMOR-PARA-TI.TXT.vbs." [1] En ese momento, las computadoras con Windows a menudo ocultaban la última extensión de archivo (" VBS ", un tipo de archivo interpretado ) de forma predeterminada porque es una extensión para un tipo de archivo que Windows conoce, lo que lleva a los usuarios involuntarios a pensar que era una extensión normal. Archivo de texto. Al abrir el archivo adjunto se activa el script de Visual Basic . Primero, el gusano daña la máquina local, sobrescribiendo archivos aleatorios (incluidos archivos de Office y archivos de imagen; sin embargo, oculta archivos MP3 en lugar de eliminarlos), luego se copia en todas las direcciones de la libreta de direcciones de Windows utilizada por Microsoft. Outlook , lo que le permite propagarse mucho más rápido que cualquier otro gusano de correo electrónico anterior. [2] [3]
Onel de Guzmán, [4] un residente de Manila , Filipinas , que entonces tenía 24 años , creó el malware . Debido a que en Filipinas no había leyes contra la creación de malware en el momento de su creación, el Congreso filipino promulgó la Ley de la República No. 8792, también conocida como Ley de Comercio Electrónico, en julio de 2000 para desalentar futuras iteraciones de dicha actividad. Sin embargo, la Constitución de Filipinas prohíbe las leyes ex post facto y, como tal, De Guzmán no pudo ser procesado. [5]
De Guzmán, que en ese momento era pobre y luchaba por pagar el acceso a Internet, creó el gusano informático con la intención de robar las contraseñas de otros usuarios, que podía usar para iniciar sesión en sus cuentas de Internet sin necesidad de pagar por el servicio. Justificó sus acciones basándose en su creencia de que el acceso a Internet es un derecho humano y que en realidad no estaba robando. [6]
El gusano utilizó los mismos principios que De Guzmán había descrito en su tesis universitaria en AMA Computer College . Dijo que el gusano era muy fácil de crear, gracias a un error en Windows 95 que ejecutaba código en los archivos adjuntos del correo electrónico cuando el usuario hacía clic en ellos. Originalmente diseñó el gusano para que funcionara solo en Manila, pero eliminó esta restricción geográfica por curiosidad , lo que permitió que el gusano se extendiera por todo el mundo. De Guzmán no esperaba esta difusión mundial. [6]
En el nivel del sistema de la máquina, ILOVEYOU confió en que la configuración del sistema del motor de secuencias de comandos (que ejecuta archivos de lenguaje de secuencias de comandos como archivos .vbs) estaba habilitada y aprovechó una función en Windows que ocultaba las extensiones de archivos de forma predeterminada, que los autores de malware usarían como explotar . Windows analizaría los nombres de los archivos de derecha a izquierda, deteniéndose en el primer carácter de punto, mostrando solo los elementos a la izquierda de este. El archivo adjunto, que tenía dos puntos, podría mostrar así la extensión de archivo "TXT" falsa interna. Los archivos de texto verdadero se consideran inofensivos ya que no pueden ejecutar código arbitrario. El gusano utilizó ingeniería social para atraer a los usuarios a abrir el archivo adjunto (por deseo real de conectarse o simplemente por curiosidad) para garantizar la propagación continua. [7] Las debilidades sistémicas en el diseño de Microsoft Outlook y Microsoft Windows fueron explotadas para permitir código malicioso capaz de obtener acceso completo al sistema operativo, al almacenamiento secundario y a los datos del sistema y del usuario, simplemente a través de usuarios involuntarios haciendo clic en un icono. [8]
Los mensajes generados en Filipinas comenzaron a difundirse hacia Occidente a través de los sistemas de correo electrónico corporativo. Debido a que el gusano utilizaba listas de correo como fuente de objetivos, los mensajes a menudo parecían provenir de conocidos y, por lo tanto, sus víctimas los consideraban "seguros", lo que proporcionaba un incentivo adicional para abrirlos. Sólo unos pocos usuarios en cada sitio tuvieron que acceder al archivo adjunto para generar millones de mensajes más que paralizaron los sistemas de correo y sobrescribieron millones de archivos en las computadoras de cada red sucesiva . [9]
El gusano se originó en el barrio Pandacan de Manila, Filipinas, el 4 de mayo de 2000, [10] después del amanecer y se dirigió hacia el oeste en todo el mundo cuando los empleados comenzaron su jornada laboral ese viernes por la mañana, trasladándose primero a Hong Kong, luego a Europa y finalmente a Estados Unidos. Estados. [11] [12] Posteriormente se estimó que el brote había causado entre 5.500 y 8.700 millones de dólares en daños en todo el mundo, [13] [14] [ se necesita una mejor fuente ] y se estimó que costaría entre 10.000 y 15.000 millones de dólares eliminar el gusano. [15] [16] En diez días, se habían reportado más de cincuenta millones de infecciones, [17] y se estima que el 10% de las computadoras conectadas a Internet en el mundo se habían visto afectadas. [15] Los daños citados fueron principalmente el tiempo y el esfuerzo dedicados a deshacerse de la infección y recuperar archivos de las copias de seguridad. Para protegerse, el Pentágono , la CIA , el Parlamento británico y la mayoría de las grandes corporaciones decidieron cerrar completamente sus sistemas de correo. [18] En ese momento, fue uno de los desastres informáticos más destructivos jamás ocurridos en el mundo. [19] [20] [21]
Los acontecimientos inspiraron la canción "E-mail" del álbum Top-Ten de 2002 de Pet Shop Boys en el Reino Unido, Release , cuya letra juega temáticamente con los deseos humanos que permitieron la destrucción masiva de esta infección informática. [ cita necesaria ]
De Guzmán escribió el script ILOVEYOU (el archivo adjunto) en Microsoft Visual Basic Scripting (VBS), que se ejecutaba en Microsoft Outlook y estaba habilitado de forma predeterminada. El script agrega datos del Registro de Windows para el inicio automático al iniciar el sistema.
El gusano busca unidades conectadas y reemplaza archivos con extensiones JPG , JPEG , VBS , VBE, JS , JSE, CSS , WSH , SCT, DOC , HTA , MP2 y MP3 con copias de sí mismo, mientras agrega la extensión de archivo adicional VBS. Sin embargo, los MP3 y otros archivos relacionados con el sonido se ocultarán en lugar de sobrescribirse. [22]
El gusano se propaga enviando una copia de la carga útil a cada entrada de la libreta de direcciones de Microsoft Outlook (Libreta de direcciones de Windows). También descarga el troyano Barok rebautizado para la ocasión como "WIN-BUGSFIX.EXE". [23]
El hecho de que el gusano estuviera escrito en VBS permitía a los usuarios modificarlo. Un usuario podría fácilmente cambiar el gusano para reemplazar archivos esenciales y destruir el sistema, permitiendo que más de 25 variaciones de ILOVEYOU se propaguen por Internet, cada una causando diferentes tipos de daño. [24] La mayoría de las variaciones tenían que ver con las extensiones de archivo afectadas por el gusano. Otros modificaron el asunto del correo electrónico para dirigirse a un público específico, como la variante "Cartolina" en italiano o "BabyPic" para adultos. Otros solo cambiaron los créditos del autor, que inicialmente estaban incluidos en la versión estándar del virus, eliminándolos por completo o haciendo referencia a autores falsos. [24] Aún así, otros sobrescribieron los archivos " EXE " y " COM ". [ cita necesaria ] La computadora del usuario no podrá iniciarse al reiniciarse.
Algunos mensajes de correo enviados por ILOVEYOU incluyen:
El 5 de mayo de 2000, De Guzmán y otro joven programador filipino llamado Reonel Ramones se convirtieron en blanco de una investigación criminal por parte de agentes de la Oficina Nacional de Investigaciones (NBI) de Filipinas. [26] El proveedor local de servicios de Internet Sky Internet había informado haber recibido numerosos contactos de usuarios de computadoras europeos alegando que se había enviado malware (en forma del gusano "ILOVEYOU") a través de los servidores del ISP. [27]
De Guzmán intentó ocultar la evidencia sacando su computadora de su departamento, pero accidentalmente dejó algunos discos que contenían el gusano, así como información que implicaba a un posible co-conspirador. [6]
Después de la vigilancia e investigación por parte de Darwin Bawasanta de Sky Internet, el NBI rastreó un número de teléfono que aparecía con frecuencia [ se necesita aclaración ] hasta el departamento de Ramones en Manila. Su residencia fue registrada y Ramones fue arrestado y puesto bajo investigación por el Departamento de Justicia (DOJ) . De Guzmán también fue acusado en rebeldía . [ cita necesaria ]
En ese momento, el NBI no estaba seguro de qué delito grave o delito se aplicaría. [26] Se sugirió que fueran acusados de violar la Ley de la República 8484 (la Ley de Regulación de Dispositivos de Acceso), una ley diseñada principalmente para penalizar el fraude con tarjetas de crédito , ya que ambos usaban tarjetas de Internet prepagas (si no robadas) para comprar acceso a los ISP. . Otra idea era que podrían ser acusados de travesuras maliciosas , un delito grave (según el Código Penal Revisado de Filipinas de 1932) que implica daños a la propiedad. El inconveniente aquí era que uno de sus elementos, además del daño a la propiedad, tenía la intención de dañar, y de Guzmán había afirmado durante las investigaciones de custodia que podría haber liberado el gusano sin saberlo. [28] En una conferencia de prensa organizada por su abogado el 11 de mayo, dijo "Es posible" cuando se le preguntó si podría haberlo hecho. [6]
Para mostrar su intención, el NBI investigó AMA Computer College , donde De Guzmán había abandonado al final de su último año. [26] Descubrieron que, para su tesis de pregrado, había propuesto la implementación de un troyano para robar contraseñas de inicio de sesión de Internet. [29] Esto, afirmó, permitiría a los usuarios finalmente poder permitirse una conexión a Internet. La propuesta fue rechazada por la junta de la Facultad de Estudios de Computación, lo que llevó a De Guzmán a afirmar que sus profesores eran de mente cerrada. [28]
Dado que en ese momento no existían leyes en Filipinas que prohibieran la creación de malware, tanto Ramones como De Guzmán fueron liberados y los fiscales estatales retiraron todos los cargos. [30] Para abordar esta deficiencia legislativa, [26] el Congreso filipino promulgó la Ley de la República No. 8792, [31] también conocida como Ley de Comercio Electrónico, en julio de 2000, meses después del brote de gusanos. [5]
En 2012, el Instituto Smithsonian nombró a ILOVEYOU uno de los diez virus informáticos más virulentos de la historia. [7]
De Guzmán no quería la atención del público. Su última aparición pública conocida fue en la conferencia de prensa de 2000, donde ocultó su rostro y permitió que su abogado respondiera la mayoría de las preguntas; su paradero permaneció desconocido durante 20 años después. En mayo de 2020, el periodista de investigación Geoff White reveló que mientras investigaba su libro sobre delitos cibernéticos Crime Dot Com , había encontrado a Onel de Guzmán trabajando en un puesto de reparación de teléfonos móviles en Manila. De Guzmán admitió haber creado y liberado el virus. [32] Afirmó que inicialmente lo había desarrollado para robar contraseñas de acceso a Internet, ya que no podía permitirse el lujo de pagar por el acceso. También afirmó que lo creó solo, absolviendo a los otros dos que habían sido acusados de coescribir el gusano. [33] [34]
{{cite book}}
: Mantenimiento CS1: varios nombres: lista de autores ( enlace )