¿Cuál fue el primer ciberataque del mundo?

En noviembre de 1988, Robert Tappan Morris, hijo del famoso criptógrafo Robert Morris Sr., era un estudiante graduado de 20 años en Cornell que quería saber qué tan grande era Internet, es decir, cuántos dispositivos estaban conectados a ella. Así que escribió un programa que viajaría de computadora en computadora y pediría a cada máquina que enviara una señal de vuelta a un servidor de control, el cual mantendría la cuenta.

El programa funcionó bien, demasiado bien, de hecho. Morris sabía que si viajaba demasiado rápido podría haber problemas, pero los límites que estableció no eran suficientes para evitar que el programa atascara grandes secciones de Internet, tanto copiándose a sí mismo a nuevas máquinas como enviando esos pings de vuelta. Cuando se dio cuenta de lo que estaba sucediendo, ni siquiera sus mensajes advirtiendo a los administradores del sistema sobre el problema pudieron pasar.

Su programa se convirtió en el primero de un tipo particular de ataque cibernético llamado «denegación de servicio distribuida», en el que un gran número de dispositivos conectados a Internet, incluyendo ordenadores, cámaras web y otros dispositivos inteligentes, se les dice que envíen mucho tráfico a una dirección en particular, sobrecargándolo con tanta actividad que el sistema se apaga o sus conexiones de red se bloquean completamente.

Como presidente del Programa de Ciberseguridad de la Universidad de Indiana, puedo informar que este tipo de ataques son cada vez más frecuentes en la actualidad. En muchos sentidos, el programa de Morris, conocido en la historia como el «gusano Morris», preparó el escenario para las vulnerabilidades cruciales, y potencialmente devastadoras, de lo que otros y yo hemos llamado la «Internet del Todo».

Los gusanos y los virus son similares, pero diferentes en un aspecto clave: Un virus necesita un comando externo, de un usuario o de un hacker, para ejecutar su programa. Un gusano, por el contrario, se las arregla solo. Por ejemplo, incluso si nunca abre el programa de correo electrónico, un gusano que llega al equipo puede enviar por correo electrónico una copia de sí mismo a todos los miembros de la libreta de direcciones.

En una época en la que pocas personas estaban preocupadas por el software malicioso y nadie tenía instalado un software de protección, el gusano Morris se propagó rápidamente. Los investigadores de Purdue y Berkeley tardaron 72 horas en detener el gusano. En ese tiempo, infectó decenas de miles de sistemas, alrededor del 10 por ciento de los ordenadores que había en Internet. Limpiar la infección cuesta cientos o miles de dólares por cada máquina afectada.

En el clamor de la atención de los medios de comunicación sobre este primer evento de este tipo, la confusión fue desenfrenada. Algunos reporteros incluso preguntaron si la gente podía contraer la infección de la computadora. Lamentablemente, muchos periodistas en su conjunto no han adquirido muchos más conocimientos sobre el tema en las décadas intermedias.

Morris no estaba tratando de destruir el Internet, pero los efectos generalizados del gusano resultaron en que fuera procesado bajo la entonces nueva Ley de Abuso y Fraude Informático (Computer Fraud and Abuse Act). Fue condenado a tres años de libertad condicional y a una multa de aproximadamente 10.000 dólares. A finales de la década de 1990, sin embargo, se convirtió en millonario de las punto com – y ahora es profesor en el MIT.

Amenazas crecientes

Internet sigue siendo objeto de ataques DDoS mucho más frecuentes y paralizantes. Con más de 20.000 millones de dispositivos de todo tipo, desde refrigeradores y coches hasta rastreadores de fitness, conectados a Internet, y millones más que se conectan semanalmente, el número de fallos de seguridad y vulnerabilidades está creciendo a pasos agigantados.

En octubre de 2016, un ataque DDoS que utilizó miles de cámaras web secuestradas -a menudo utilizadas como cámaras de seguridad o monitores de bebés- cerró el acceso a una serie de importantes servicios de Internet a lo largo de la costa este de Estados Unidos. Ese evento fue la culminación de una serie de ataques cada vez más dañinos utilizando una red de bots, o una red de dispositivos comprometidos, que estaba controlada por un software llamado Mirai. La Internet actual es mucho más grande, pero no mucho más segura, que la Internet de 1988.

Algunas cosas han empeorado. Averiguar quién está detrás de ataques particulares no es tan fácil como esperar a que esa persona se preocupe y envíe notas de disculpa y advertencias, como hizo Morris en 1988. En algunos casos – los suficientemente grandes como para merecer una investigación completa – es posible identificar a los culpables. Se descubrió que un trío de estudiantes universitarios había creado Mirai para obtener ventajas cuando jugaban al juego de ordenador «Minecraft».

Lucha contra los ataques DDoS

Pero las herramientas tecnológicas no son suficientes, y tampoco lo son las leyes y reglamentos sobre la actividad en línea, incluida la ley por la que se acusó a Morris. Las docenas de leyes estatales y federales sobre ciberdelincuencia aún no parecen haber reducido el número total o la gravedad de los ataques, en parte debido a la naturaleza global del problema.

Hay algunos esfuerzos en curso en el Congreso para permitir que las víctimas de ataques en algunos casos se involucren en medidas de defensa activa – una noción que viene con una serie de desventajas, incluyendo el riesgo de escalada – y para exigir una mejor seguridad para los dispositivos conectados a Internet. Pero el paso está lejos de estar asegurado.

Sin embargo, hay motivos para la esperanza. A raíz del gusano Morris, la Universidad Carnegie Mellon estableció el primer Equipo de Respuesta a Emergencias Cibernéticas del mundo, que ha sido replicado en el gobierno federal y en todo el mundo. Algunos responsables de la formulación de políticas hablan de establecer una junta nacional de seguridad cibernética, para investigar las debilidades digitales y emitir recomendaciones, al igual que lo hace la Junta Nacional de Seguridad en el Transporte con los desastres de los aviones.

Cada vez son más las organizaciones que adoptan medidas preventivas, adoptando las mejores prácticas en materia de ciberseguridad a medida que construyen sus sistemas, en lugar de esperar a que se produzca un problema y tratar de resolverlo después. Si más organizaciones consideraran la ciberseguridad como un elemento importante de la responsabilidad social de las empresas, estarían más seguras, al igual que su personal, sus clientes y sus socios comerciales.

En «3001: La Odisea Final», el autor de ciencia ficción Arthur C. Clarke vislumbró un futuro en el que la humanidad sellaría lo peor de sus armas en una bóveda en la luna, que incluía espacio para los virus informáticos más malignos jamás creados. Antes de que la próxima iteración del gusano Morris o Mirai cause un daño incalculable a la sociedad de la información moderna, corresponde a todos – gobiernos, empresas e individuos por igual – establecer reglas y programas que apoyen la ciberseguridad generalizada, sin esperar otros 30 años.

Scott Shackelford, Profesor Asociado de Derecho y Ética Empresarial; Director, Ostrom Workshop Program on Cybersecurity and Internet Governance; Cybersecurity Program Chair, IU-Bloomington, Indiana University

Este artículo ha sido reeditado de La conversación bajo una licencia Creative Commons. Lea el artículo original.

También te puede interesar