ILoveYou

ILoveYou (o VBS/LoveLetter) es un gusano escrito en VBScript. En mayo de 2000, infectó aproximadamente a 50 millones de computadores, provocando pérdidas de más de 10.000 millones de dólares.

ILoveYou
Información general
Tipo de programa	Gusano informático
Nombre técnico	varios Application.Joke.Iloveyou.A (Lavasoft) Application.Joke.Iloveyou.A (Bitdefender) Win32/Joke.Love.A (ESET) Application.Joke.Iloveyou (F-Secure) Joke.ILoveYou (Malwarebytes) Joke-ILoveYou (McAfee) Joke:Win32/ILoveYou (Microsoft) JOKEPROGRAMS_ILOVEYOU (Trend Micro)
Desarrollador	Onel de Guzman
Lanzamiento inicial	2000
Fecha de descubrimiento	4 de mayo de 2000
Información técnica
Programado en	VBScript
Plataformas admitidas	Microsoft Windows
[editar datos en Wikidata]

Arquitectura del gusano

 

ILoveYou aprovechaba la libreta de contactos del computador afectado para propagarse, logrando una enorme capacidad de difusión.

El gusano sobrescribe con su código los archivos con extensiones .VBS y .VBE. Elimina los archivos con extensiones .JS, .JSE, .CSS, .WSH, .SCT y .HTA, y crea otros con el mismo nombre y extensión.VBS en el que introduce su código. También localiza los archivos con extensión .JPG, .JPEG, .MP3 y .MP2, los elimina, y crea otros donde el nuevo nombre está formado por el nombre y la extensión anterior más VBS como nueva extensión real.^[1]​

VBS/LoveLetter llega al usuario en un mensaje de correo electrónico que tiene por Asunto: 'ILOVEYOU' e incluye un fichero llamado 'LOVE-LETTER-FOR-YOU. TXT.vbs'. Cuando este virus se ejecuta, crea varias copias de sí mismo en el disco duro con los siguientes nombres:

MSKernel32.vbs (en el directorio SYSTEM de Windows)

Win32DLL.vbs (en el directorio de instalación de Windows)

LOVE-LETTER-FOR-YOU.TXT.vbs (en el directorio SYSTEM de Windows)

Tras esto, el virus crea varias entradas en el registro de configuración de Windows.

VBS/LovelLetter comprueba, en el directorio SYSTEM de Windows, la existencia del fichero WinFAT32.exe. Si lo encuentra genera un número aleatorio entre 1 y 5, y dependiendo del número que resulte, crea la entrada de registro 'HKCU\Software\Microsoft\InternetExplorer\Main\Start, a la que le asigna un valor para bajarse el fichero WIN-BUGSFIX. EXE.^[1]​

Tras realizar esta operación, el virus genera, en el directorio SYSTEM de Windows, el fichero LOVE-LETTER-FOR-YOU.HTM, que será el que posteriormente envíe por IRC. Después, el gusano se envía a todas las direcciones que encuentra en el libro de direcciones de Microsoft Outlook.

Cuando ya se ha enviado por correo, VBS/LoveLetter realiza su efecto destructivo. En concreto, busca en el path del disco duro y en el de todas las unidades de red archivos con extensión vbs, vbe, js, jse, css, wsh, sct y hta. Cuando los encuentra, los sobreescribe con su código, modifica su tamaño y les cambia la extensión a VBS, lo que conlleva la pérdida de toda la información contenida en los archivos. Si los archivos que encuentra poseen extensión jpg o jpeg también los sobreescribe, cambia su tamaño y les añade al final la extensión VBS (quedando como jpg.vbs o jpeg.vbs).^[1]​

Si VBS/LoveLetter encuentra un fichero con extensión .mp3 o .mp2, genera una copia de sí mismo con el nombre del archivo encontrado y añade la extensión VBS ocultando los ficheros originales. El virus también comprueba si en el directorio en el que se está realizando la búsqueda se encuentra alguno de los siguientes ficheros: mirc32.exe, mlinnk32.exe, mirc.ini, scrip.ini o mirc.hlp. Si los encuentra crea el fichero 'script.ini', que será el encargado de mandar por IRC el fichero LOVE-LETTER-FOR-YOU.HTM a todo aquel que se conecte al mismo canal que él.

Persecución de los autores

 

El Parlamento Británico fue una de las tantas instituciones afectadas por ILoveYou.

ILoveYou apareció en internet el 4 de mayo de 2000. El virus se presentó en un principio en forma de mensaje de correo con el asunto "ILOVEYOU" y un archivo adjunto con el nombre "LOVE-LETTER-FOR-YOU.TXT.vbs", que al ser abierto, infectaba el ordenador y se autoenviaba a las direcciones de correo que el usuario tuviera en su agenda de direcciones. Comenzó en Filipinas y le bastó un solo día para propagarse por todo el mundo, infectando en Hong Kong, Europa y luego en los Estados Unidos.^[2]​

Cinco días más tarde, se reconocían 18 mutaciones del virus.^[3]​ Al multiplicarse explosivamente, este gusano condujo a Internet al colapso.

El día 8 de mayo, Reonel Ramones, un empleado bancario de 27 años, fue detenido en Manila por la Oficina Nacional de Investigaciones (NBI) de la policía de Filipinas y acusado preliminarmente de vulnerar la Ley Normativa sobre Instrumentos de Acceso, cuyo principal objetivo es proteger las contraseñas para las tarjetas de crédito. Sin embargo, fue liberado al día siguiente por orden de la justicia filipina, al carecer de pruebas suficientes para mantenerlo bajo custodia.^[4]​ La acusación se había fundamentado en una queja de un proveedor de servicios de Internet de que el virus se había originado en el departamento en que Ramones vivía con su compañera, Irene de Guzmán, y el hermano de esta, Onel de Guzmán.^[5]​ Todos ellos habían estudiado en el Colegio de Computación AMA de Manila (AMACC).

Tres días más tarde, el 11 de mayo, el virus estaba muy expandido por todos los PC y la situación se estaba saliendo de control. Onel de Guzmán se presentó con su abogado en conferencia de prensa para reconocer que pudo haber trasmitido el virus "accidentalmente".^[6]​ Tomando como base los programas encontrados en el departamento de Guzmán y Ramones por la policía, se dijo en un primer momento que el virus había sido elaborado por un grupo de estudiantes del Colegio de Computación AMA denominado "GRAMMERSoft", grupo al cual pertenecía Guzmán.^[7]​ Sin embargo, este luego confesaría que había creado el virus por sí solo, y que correspondía a la aplicación de sus tesis: una guía sobre cómo robar códigos secretos a través de Internet o cómo introducirse en un ordenador ajeno y tomar su control.^[8]​

Pese a que en un principio la Oficina Nacional de Investigaciones (NBI) imputó cargos a Guzmán tomando como base la Ley Normativa sobre Instrumentos de Acceso,^[9]​ el 21 de agosto la justicia de Filipinas los desestimó todos, puesto que esta Ley no se aplicaba a la intrusión en las computadoras.^[10]​ De hecho, en ese momento Filipinas carecía de leyes sobre delitos informáticos, y por lo mismo, a Guzmán se le retiraron todos los cargos.

Efectos y daños causados

El virus se propagó rápidamente por todo el mundo. El 13 de mayo de 2000 se habían reportado 50 millones de infecciones alrededor del globo,^[11]​ cifra que representaba al 10 por ciento del total de computadores con conexión a Internet en esa época. El virus atacó a El Pentágono, la CIA, el Parlamento Británico y las grandes empresas. En España, por ejemplo, el 80% de las empresas sufrieron los ataques del virus.^[12]​ Se estimó que el monto de los daños causados fue entre 5.5 a 8.7 miles de millones de dólares,^[13]​ derivados principalmente del trabajo de eliminación de los gusanos de los sistemas infectados.

Por otra parte, este hecho dejó en manifiesto en Filipinas la necesidad de contar con una legislación reguladora de la actividad en Internet. Por lo mismo, el 14 de junio de 2000, se dictó la Ley N.º 8.792, que actualmente, en su Sección 33 sanciona la inducción de virus computacionales y otros con el objetivo de dañar mensajes de datos y documentos electrónicos. Con todo, no pudo ser aplicada en contra de Onel de Guzmán, puesto que el hecho tipificado (la liberación del virus) había sido ejecutado antes de la entrada en vigencia de esta ley penal.

Véase también

• Virus informático
• Gusano informático
• Polimorfismo
• Seguridad informática

Referencias

1. Alerta-Antivirus.es. «Detalles del virus I Love You». Archivado desde el original el 1 de mayo de 2008. Consultado el 5 de diciembre de 2009. 
2. Lemos, Robert (5 de mayo de 2000). «Inside the 'ILOVEYOU' worm» (en inglés). Archivado desde el original el 28 de abril de 2008. Consultado el 5 de diciembre de 2009. 
3. Universidad de Alicante (10 de mayo de 2000). «Virus ILoveYou». Archivado desde el original el 18 de agosto de 2009. Consultado el 5 de diciembre de 2009. 
4. TERRA.com.ar (9 de mayo de 2000). «Liberaron al sospechoso de crear el ILoveYou». Archivado desde el original el 29 de junio de 2012. Consultado el 5 de diciembre de 2009. 
5. The New York Times (9 de mayo de 2000). «Officials Trace Computer Virus to Philippines Apartment» (en inglés). Consultado el 5 de diciembre de 2009. 
6. TERRA.com.ar (12 de mayo de 2000). «Hay cuatro sospechosos de crear el "virus del amor"». Archivado desde el original el 29 de junio de 2012. Consultado el 5 de diciembre de 2009. 
7. TERRA.com.ar (16 de mayo de 2000). «El virus habría sido creado por 40 estudiantes». Archivado desde el original el 29 de junio de 2012. Consultado el 5 de diciembre de 2009. 
8. ElMundo.es (6 de febrero de 2001). «El genio del virus que paralizó el mundo se quedó sin autor». Consultado el 5 de diciembre de 2009. «La tesis fue reprobada por los profesores de Guzmán. Según éstos, iba en contra de la política de la Facultad, y utilizaba la palabra "robar" en lugar de "acceder".» 
9. The New York Times (15 de junio de 2000). «Virus Suspect to Be Charged» (en inglés). Consultado el 5 de diciembre de 2009. 
10. TERRA.com.ar (21 de agosto de 2000). «El virus "I Love You" se quedó sin autor». Archivado desde el original el 29 de junio de 2012. Consultado el 5 de diciembre de 2009. 
11. Barker, Gary (13 de mayo de 2000). «Microsoft May Have Been Target of Lovebug». The Age. 
12. Diario El Mundo (6 de mayo de 2000). «España: el 80% de las empresas, dañadas por el virus «I love you»». Consultado el 5 de diciembre de 2009. 
13. Garza, George (21 de julio de 2004). «Top 10 Worst Computer Viruses» (en inglés). Consultado el 5 de diciembre de 2009.