Un 2 de noviembre, pero de 1988, los Estados Unidos aprendieron por vez primera que las computadoras podían ser infectadas por virus. Ese días apareció el que a la postre se llamaría como gusano de Morris, en referencia a su autor, estudiante de la Universidad de Cornell, Robert Tappan Morris, quien por unos días les hizo la vida miserable a un 10% de todas las computadoras conectadas a la red Internet.
La televisión cubrió la noticia. He aquí un video en donde es claro que había cierta confusión sobre lo que podían hacer los virus en las máquinas. Por primera vez, de hecho, se hablaba de “infecciones” cibernéticas, de programas que infectaban las computadoras haciendo que estas se ralentizaran o bien, se volviesen imposibles de usar.
La noticia se inició en un noticiero en televisión con esto: “La vida en el mundo moderno tiene una nueva preocupación. Ahora que nos hemos vuelto totalmente dependientes a la computadora, ahora somos acosados por saboteadores, que crean virus de computadoras. El Departamento de la Defensa, las universidades y los centros de investigación se están aún recobrando de este virus que puso a la red del país en el caos. Una de las instituciones que más padeció el problema fue el MIT”. El término “saboteador”, curiosamente, nunca más se usó en el contexto de los virus de las máquinas
A este programa se le llamó el gusando Morris y fue el primer ejemplo de un programa que se podía autoreplicar. Afectó a ARPANET (lo que a la postre, en 1995, se denominara Internet por la Federal Networking Council). Durante unas horas, el 10% de todas las máquinas conectadas a Internet se vieron afectadas por este gusano.
Se dice que el tamaño de la red de redes era de unas 60 mil computadoras y unas 6 mil máquinas fueron afectadas en los Estados Unidos, incluso las máquinas de la NASA. Se dice que el programa buscaba hallar las contraseñas de otras computadoras usando una rutina de búsqueda que permutaba los nombres de los usuarios conocidos, una lista de contraseñas más comunes y además de hacer búsquedas al azar. Se descubrió que no todas las máquinas fueron afectadas. La propagación ocurrió en computadoras Vax de DEC (Digital Equipment Corp) y las fabricadas por Sun Microsystems, las cuales ambas, usaban una versión de Unix.
El gusano de Morris, sin embargo, no fue programado para causar daños. Sin embargo, produjo fallos en cientos de computadoras en todo el mundo antes de que fuese rastreado y eliminado. Se dice que erradicar el problema costó un millón de dólares, que aunado al hecho de haber detenido la operación de miles de computadoras, el daño podíahaber ascendido a unos 96 millones de dólares. Pero no obstante lo que digan, siempre he pensado que estas son cifras alegres que en la vida real no tienen sustentación.
Robert Morris, el autor del gusano, era un estudiante de 23 años, quien afirmó en su momento que cometió un error al propagar el virus. Dijo estar arrepentido de sus acciones. El programa tenía una amplia capacidad para reproducirse, pero el propio Morris aseguró que jamás pensó que se propagaría con esa velocidad y tan extensamente.
Curiosamente, cuando se pudo aislar el código y estudiarlo, se descubrió que el gusano estaba realmente programado por dos desarrolladores. Todo parece indicar que Robert Morris utilizó parte de los programas creados por su padre en los años sesenta: El juego consistía en crear un programa que al reproducirse fuera ocupando toda la memoria, al tiempo que borraba de ella al programa del contrincante. Lo que hizo fue pedirle a su padre, un experto en seguridad de la National Security Agency -hoy tan en boga.
Cuando el gusano accedía a alguna cuenta de correo, y gracias a un bug en el programa sendmail, éste penetraba en otras máquinas donde el poseedor de la contraseña tuviera cuentas. Cuando se percató que su programa estaba propagándose por la red, pidió a un amigo que enviara un correo electrónico pidiendo disculpas y las instrucciones para acabar con el programa. Pero en el caos que se originó, su mail, pasó desapercibido.
Morris hijo fue enjuiciado en enero de 1990. La fiscalía lo acusó de atacar al gobierno de los Estados Unidos. Fue declarado culpable por un jurado federal, lo que convirtió a Morris en la primera persona condenada por la ley de fraudes informáticos de 1986. No obstante, el juez que llevaba el caso expresó que no creía que las circunstancias presentaran “fraude y engaño”, por lo que sentenció al programador a tres años de libertad condicional, 400 horas de trabajo social y una multa de 10.050 dólares.
Han pasado 25 años. Morris hizo historia y probablemente su gusano se convirtió en ejemplo para otros programadores con más malicia. Sea como haya sido, Robert Morris nos dio una lección y pienso que fue útil, pues en todos estos años los sistemas de seguridad han mejorado considerablemente.
Referencias: