El 02 de noviembre
de 1988, Robert Tappan Morris, hijo del famoso criptógrafo Robert Morris,
era un estudiante graduado de 20 años en Cornell que quería saber qué tan
grande era el Internet – es decir, el número de dispositivos que
estaban conectados al mismo. Así que escribió un programa que viajaba
de una computadora a otra y le pedía a cada máquina que enviara una señal
a un servidor de control, que llevaba el conteo.
El
programa funcionó bien, demasiado bien, de hecho. Morris sabía que, si
viajaba demasiado rápido, podría haber problemas, pero los límites que
incorporó no eran suficientes para evitar que el programa obstruyera
grandes secciones de Internet, tanto copiándose a nuevas máquinas como enviando
esos avisos. Cuando se dio cuenta de lo que estaba sucediendo, ni siquiera
sus mensajes advirtieron a los administradores del sistema sobre el
problema.
Su
programa se convirtió en el primero de un tipo particular de ataque
cibernético llamado “denegación
de servicio distribuido”, en el que se le
dice a una gran cantidad de dispositivos conectados a internet, incluyendo
computadoras, cámaras web y otros dispositivos inteligentes, que
envíen mucho tráfico a una dirección en particular, sobrecargando con tanta
actividad que el sistema se apaga o sus conexiones de red están completamente
bloqueadas. Este tipo de ataques son cada vez más frecuentes en la actualidad.
En
muchos sentidos, el programa de Morris, conocido en la historia como el “gusano Morris”, establece
el escenario para las vulnerabilidades cruciales y potencialmente devastadoras de
lo que se ha denominado la próxima “Internet de todo.”
Desempaquetando el gusano Morris
Los
gusanos y los virus son similares pero diferentes en una forma clave: un virus necesita un comando
externo, de un usuario o un hacker, para ejecutar su programa. Un gusano,
por el contrario, golpea el suelo
corriendo solo. Por ejemplo, incluso si nunca abres tu
programa de correo electrónico, un
gusano que se introduce en tu computadora podría enviar una copia de sí mismo a
todos los miembros de tu libreta de direcciones.
En
una era en que pocas personas estaban preocupadas por el software malicioso y
nadie tenía instalado un
software de protección, el gusano Morris se
propagó rápidamente. Los investigadores de Purdue y Berkeley tardaron 72
horas en detener el gusano. En ese momento, infectó a decenas de
miles de sistemas, alrededor del 10 por ciento de las computadoras que se
encontraban en Internet. Limpiar la infección costó cientos o miles
de dólares por cada máquina afectada.
En
el clamor de la atención de los medios acerca de este primer evento de este
tipo, la confusión fue desenfrenada. Algunos reporteros incluso
preguntaron si las personas podían contraer la infección de la computadora. Lamentablemente,
muchos periodistas en general no han
tenido mucho más conocimiento sobre el tema en las décadas intermedias.
Morris
no estaba tratando de destruir Internet, pero los efectos generalizados del
gusano hicieron que lo procesaran bajo la nueva Ley de Abuso y
Fraude Informático. Fue sentenciado a tres años de libertad condicional y
una multa de aproximadamente $10,000. Sin embargo, a fines de la década de
1990, se convirtió en un millonario – y ahora es profesor en el MIT.
Amenazas crecientes
Internet
sigue sujeto a ataques DDoS mucho más frecuentes y más paralizantes. Con
más de 20
mil millones de dispositivos de todo tipo, desde refrigeradores y automóviles hasta rastreadores de
actividad física, conectados a Internet y millones más conectados semanalmente,
el número de fallas y vulnerabilidades de seguridad está explotando.
En
octubre de 2016, un ataque DDoS con miles de cámaras web secuestradas, a
menudo utilizadas para seguridad o monitores para bebés, cerró el acceso a
varios servicios de Internet importantes a lo largo de la costa este de
los EE. UU. Ese evento fue la culminación de una serie de ataques cada vez
más dañinos utilizando una red
de bots, o una red de dispositivos
comprometidos, que fue controlada por un software
llamado Mirai.
Algunas
cosas han empeorado. Descubrir quién está detrás de ataques
particulares no es tan fácil como esperar a que esa persona se preocupe
y enviar notas de disculpa y advertencias, como lo hizo Morris en 1988. En
algunos casos, los que son lo suficientemente grandes como para merecer una
investigación completa, es posible identificarlos. Los culpables finalmente,
se descubrió que un trío de estudiantes universitarios creó a Mirai para
obtener ventajas al jugar el juego de computadora de Minecraft.
Combatiendo ataques DDoS
Pero
las herramientas tecnológicas no son suficientes, y tampoco lo son las leyes y
regulaciones sobre la actividad en línea, incluida la ley bajo la cual se
acusó a Morris. Las docenas de estatutos estatales y federales sobre
delitos cibernéticos en los libros aún no parecen reducir el número total
o la gravedad de los ataques, en parte debido a la naturaleza global del
problema.
Sin
embargo, hay motivos para la esperanza. A raíz del gusano Morris, la
Universidad Carnegie Mellon estableció el primer Equipo de Respuesta de
Emergencia Cibernética del mundo, que se ha replicado en el gobierno
federal y en todo el mundo. Algunos responsables de la
formulación de políticas hablan de establecer una junta nacional de
seguridad de la ciberseguridad para investigar las debilidades
digitales y emitir recomendaciones, como lo hace la Junta Nacional de Seguridad
del Transporte ante desastres en aviones.
Más
organizaciones también están tomando medidas preventivas, adoptando las mejores
prácticas en seguridad cibernética a
medida que construyen sus sistemas, en lugar de esperar a que ocurra un
problema y tratar de limpiar después. Si más organizaciones consideraran
la ciberseguridad como un elemento importante de la responsabilidad social
corporativa, ellas, y su personal, clientes y socios comerciales, estarían más
seguros.
En 3001:
The Final Odyssey, el autor de ciencia ficción Arthur C. Clarke imaginó un
futuro en el que la humanidad selló lo peor de sus armas en una bóveda en la
luna, que incluía espacio para los
virus informáticos más malignos jamás creados. Antes
de que la próxima iteración del gusano Morris o Mirai haga un daño incalculable
a la sociedad de la información moderna, corresponde a todos, gobiernos,
empresas y personas individuales, establecer reglas y programas que respalden la
ciberseguridad generalizada, sin
esperar otros 30 años.