Los virus no son otra cosa que programas de reducido tamaño escritos generalmente en ensamblador o en el lenguaje de macros de una aplicación ofimática concreta. Por desgracia, también son capaces de autopropagarse y de generar efectos más o menos nocivos. A ellos hay que añadir los troyanos, cuyo comportamiento es similar a los virus, aunque no están preparados para reproducirse por sí mismos. Normalmente se ocultan bajo la apariencia de programas de otro tipo (utilidades, por ejemplo), de modo que el usuario los ejecuta sin suponer el peligro que encierran. Suelen servir para establecer una puerta trasera en nuestras máquinas con el fin de favorecer el acceso o uso no autorizado de nuestra información o de nuestro ordenador.
Un caso particular lo constituyen las denominadas bombas lógicas, también conocidas como bombas de tiempo. Se trata de desarrollos que quedan abandonados en el interior de un sistema informático, en estado latente, a la espera de que se produzcan determinadas condiciones (una fecha concreta, por ejemplo) para que tenga lugar su activación.
La clave del éxito de los virus de macro radica en dos características que destacan por encima de cualquier otra su facilidad de programación y de propagación. Así, por propia definición, estos virus son factibles en todas aquellas aplicaciones o plataformas que proporcionen algún tipo de lenguaje de órdenes. Tienen utilidades tan diversas como dar formato o guardar nuestro trabajo cada pocos minutos. Las macros forman parte del propio documento y se transmiten junto con él. El punto fundamental es que algunas cuentan con atributos que permiten que se ejecuten de forma automática si el usuario efectúa tareas concretas con la aplicación correspondiente. Por ejemplo, en MS Word existen cinco macros autoejecutables predefinidas (AutoExec, AutoOpen, AutoNew, AutoClose y AutoExit), que actúan cuando se abre Word o un nuevo documento, se carga la plantilla global, se cierra un documento abierto o se sale de la aplicación. De este modo, una vez que consiguen infectar las plantillas, tienen vía libre para contaminar los nuevos documentos que se modifiquen o creen a partir de entonces.
La Red se ha convertido en el mayor medio de transferencia de información entre ordenadores y, en consecuencia, hoy es la mayor vía de entrada de virus. La vía preferida son los mensajes de correo electrónico, los cuales provocan más del 80 por ciento de las infecciones detectadas. Su peligrosidad deriva de su extrema capacidad de replicación y propagación, así como de su gran sofisticación técnica. Son capaces de reenviarse por sí solos a todos los contactos que el usuario infectado tenga en su libreta de direcciones, provocar infecciones con la simple lectura o apertura del mensaje, aprovecharse de posibles vulnerabilidades o agujeros de seguridad de los diversos programas de correo, etc.
También ha cobrado una importancia creciente como vía de infección la navegación por páginas web, dado que algunas de las tecnologías incluidas en ellas (applets Java y controles ActiveX) son susceptibles de contagio y transmisión. Además, las creaciones más recientes se benefician de posibles fallos de seguridad en los servidores que alojan los sites, mientras que otros redirigen a sus víctimas hacia páginas ya infectadas.
Los grupos de noticias (newsgroups) y los sistemas de conversación en línea (chat de IRC, ICQ, Messenger, etc.) representan otra fuente de riesgo. En estos grupos se funciona de forma parecida a como se hace con los tablones de anuncios cada usuario va dejando sus mensajes, que pueden estar infectados, para que los demás los lean. Finalmente, no podemos dejar de mencionar la transferencia de ficheros por medio de FTP, pues al descargar uno, éste se copia directamente en nuestro ordenador, con el consiguiente riesgo de contagio en caso de que contenga algún virus
Mención aparte merecen los riesgos del ADSL y de las conexiones por cable. Con la entrada de banda ancha se nos asigna una dirección IP estática, es decir, que es la misma sea cual sea el momento en que nos conectemos. Esta realidad ha venido siendo el sueño de los crackers durante años, ya que los propios usuarios no son conscientes del riesgo que corren y, en consecuencia, no adoptan las precauciones pertinentes.
El pasado día 13 de enero, en el marco de la III Campaña de Seguridad en la Red organizada por la Asociación de Internautas (AI) y el Ministerio de Ciencia y Tecnología se presentó el informe Tendencias actuales en código malicioso Pronósticos para el año 2003. Entre sus conclusiones, sostiene que echando un vistazo a los meses con más movimiento en los tres años que van de 2000 a 2002, y en concreto a los meses comprendidos entre mayo y octubre, se observa un gigantesco aumento, del 175 por ciento, de los ataques víricos en todo el mundo en 2001 respecto al 2000, volumen que se mantiene en 2002.
Cuando apenas han transcurrido dos meses del nuevo año, ya se han detectado dos ejemplares de crecimiento explosivo. El primero de ellos ha recibido el nombre de Lirva o Naith, y ya se considera como el más activo desde julio del año pasado, con casi la mitad de las infecciones registradas desde el momento de su aparición. Estamos ante un gusano de envío masivo vía correo electrónico que también puede propagarse mediante programas de chat (IRC, ICQ) y de intercambio de archivos (KaZaA), así como de recursos compartidos en red. En las configuraciones contaminadas provoca la parada de los antivirus y cortafuegos, y, si el sistema operativo es Windows 95, 98 o Millennium, envía por mail a su autor las contraseñas de acceso. Gran parte de su éxito se debe a que en el mensaje que llega presenta características variables, tanto en el asunto como en el cuerpo del texto o en el nombre del fichero adjunto, lo que dificulta sobremanera su filtrado
El segundo es Sobig.A, otro gusano que se difunde rápidamente por correo en un mensaje cuyo remitente es big@boss.com. Una vez producida la inoculación, envía un mensaje a la dirección pagers.icq.com para tratar de conectarse a una página web localizada en www.geocities.com y descargar otro troyano.
Las últimas versiones de virus en circulación se han basado en aprovechar vulnerabilidades presentes tanto en Outlook como en Internet Explorer. En concreto, en lo que respecta al navegador de Microsoft, los ataques se han centrado en las versiones 5.01 y 5.5 (la edición 6.0 ha subsanado este problema), mediante la visualización de los mensajes a través de la vista previa. En esta misma línea, y en un futuro inmediato, es de suponer la aparición de ejemplares capaces de difundirse a partir de la vulnerabilidad detectada en el reproductor Winamp, que posibilita que un fichero de sonido con extensión MP3 ejecute código vírico.
Si la tónica general se mantiene, durante el año que ahora empieza los grandes protagonistas serán los gusanos. Por una parte, aquellos que se envían por correo electrónico, ya que tienen una gran capacidad para propagarse rápidamente y son fáciles de construir. Y, por otra parte, los gusanos que se extienden a través de la red, ya sea local o Internet.
Los que también están experimentando un fuerte auge son los denominados troyanos. Y tampoco hay que descartar la aparición de venenos más sofisticados, concretamente aquellos diseñados para los nuevos teléfonos móviles y smartphones. Igualmente, debería prestarse atención a los virus ideados para propagarse a través de herramientas de mensajería instantánea y de aplicaciones para compartir archivos tales como KaZaA, o a aquellos capaces de afectar específicamente determinados tipos de máquinas, como servidores SQL o Apache.
