Análisis

El gusano informático: de que se trata y como enfrentarlo

Comunemente conocido como “I-worm”, es un tipo de malware que se auto-replica y se duplica y tiene la capacidad de propagarse de forma automatizada para infectar la mayor cantidad de computadoras posibles de manera rápida

Actualizado el 25 Jun 2024

Federica Maria Rita Livelli

Business Continuity & Risk Management Consultant

gusano informático

Un gusano informático es un software que se copia a sí mismo de un ordenador a otro. A diferencia de un virus, es un programa independiente y un tipo de malware, que no requiere un host. Generalmente, no afecta a los archivos en un sol ordenador, sino toma el control de redes enteras en el intento de crear grandes botnet.

Qué es un gusano informático

Un gusano informático es un tipo de software malicioso diseñado para reproducirse y propagarse de un equipo a otro en una red informática sin necesidad de intervención humana. A diferencia de otros tipos de malware, como los virus, los gusanos no necesitan infectar archivos para propagarse, lo que los hace especialmente peligrosos y difíciles de contener.

Historia de los gusanos informáticos: ¿cuál fue el primero?

El primer gusano informático de la historia fue conocido como Creeper. El mismo fue creado en 1971 por Bob Thomas, un ingeniero del equipo de investigación de BBN Technologies en Estados Unidos.

Su propósito no era malicioso, sino que se desarrolló como un experimento para probar la movilidad de los programas a través de una red. Este se propagaba a través de la red ARPANET, precursora del internet, y mostraba el siguiente mensaje: “I’m the creeper, catch me if you can!” (Soy el Creeper, atrápame si puedes).

Si bien este tipo de gusano informático no causó ningún tipo de daño, fue el que generó las bases para la comprensión de cómo los programas pueden moverse de un sistema a otro sin necesidad de intervención humana.

En este sentido, para poder contrarrestarlo, Ray Tomlinson, también ingeniero de BBN Technologies, creó a Reaper, el primer programa antivirus. Este se movía por la red buscando instancias de Creeper y las eliminaba.

Dicho evento fue el que marcó el comienzo de una carrera a contrarreloj entre los creadores de software maliciosos y los impulsores de la ciberseguridad que continúan hasta el día de hoy.

La evolución del gusano informático

Luego del Creeper, este tipo de gusanos informáticos ha ido avanzando con el paso del tiempo marcando distintas eras, introduciendo en cada una nuevas técnicas y objetivos. En la década de los 80, los gusanos informáticos comenzaron a utilizarse con fines maliciosos.

Uno de los casos más populares fue el gusano de Morris, el cual se lanzó en 1988 por Robert Tappan Morris, un estudiante de posgrado en la Universidad de Cornell. El mismo se propagó de forma rápida a través de internet y explotó vulnerabilidades en los sistemas Unix.

Si bien su creador afirmó en varias ocasiones que no tenía intenciones maliciosas y que su objetivo era medir el tamaño de internet, el gusano causó graves problemas. Este infectó casi el 10% de las computadoras conectadas a la red en ese entonces, y generó pérdidas millonarias.

Asimismo, dicho incidente creó el primer equipo de respuesta a emergencias informáticas, el CERT (Computer Emergency Response Team), el cual continúa operando en la actualidad, para coordinar la respuesta a incidentes de seguridad informática.

Los gusanos informáticos del 2000

Posteriormente, en la década del 2000, este tipo de software se fue sofisticando y su capacidad de destrucción se potenció. Los más populares en el amanecer del nuevo milenio fueron ILOVEYOU (2000), Code Red (2001), y SQL Slammer (2003).

ILOVEYOU se propagó a través de correos electrónicos con el asunto “ILOVEYOU” y un archivo adjunto que, al ser abierto, ejecutaba el gusano. Este infectó a millones de computadoras en todo el mundo y generó grandes daños económicos.

En el caso de Code Red, explotaba las vulnerabilidades del servidor web IIS de Microsoft, Code Red, se extendió rápidamente y afectó a cientos de miles de servidores. Este fue diseñado para lanzar un ataque de denegación de servicio contra el sitio web de la Casa Blanca.

Otro caso fue el de SQL Slammer el cual explotaba una vulnerabilidad en Microsoft SQL Server. Se propagó sumamente rápido y causó interrupciones significativas en Internet en cuestión de minutos. De hecho, se estima que infectó a 75.000 sistemas en los primeros diez minutos de su aparición.

Los gusanos informáticos más recientes

En los últimos años, este tipo de programas evolucionó considerablemente, incorporando técnicas sumamente complejas. Stuxnet, en el 2010, fue uno de los casos más notable en la actualidad.

De hecho, es considerado uno de los gusanos más sofisticados jamás creados. Se cree que fue desarrollado por Estados Unidos e Israel con el objetivo de sabotear un programa nuclear de Irán.

El software infectó sistemas SCADA (Supervisory Control and Data Acquisition), los cuales son utilizados para controlar y monitorear procesos industriales. A diferencia de otros gusanos, Stuxnet tenía un objetivo muy específico: las centrifugadoras utilizadas en las instalaciones de enriquecimiento de uranio en Irán. Este gusano demostró cómo los ciberataques pueden ser utilizados para fines geopolíticos y militares.

A su vez, WannaCry, un gusano ransomware que se propagó en mayo de 2017 y causó una crisis mundial, es uno de los más destacables en la contemporaneidad. Este explotó una vulnerabilidad en el sistema operativo Windows, el cual logró una propagación rápida y cifró los archivos en los sistemas infectados, exigiendo un rescate en Bitcoin para desbloquearlos.

El software afectó a cientos de miles de computadoras en más de 150 países, incluyendo sistemas críticos en hospitales, empresas y gobiernos. El impacto del programa generó como un debate sobre la necesidad de mantener los sistemas operativos constantemente actualizados y parcheados para proteger a los equipos contra vulnerabilidades explotables

Cómo funciona un gusano informático

Los gusanos informáticos suelen aprovechar vulnerabilidades en el software o el sistema operativo para infiltrarse en un dispositivo. Una vez que un dispositivo está infectado, el gusano puede reproducirse y enviar copias de sí mismo a otros dispositivos en la misma red, propagando así la infección. Al hacerlo, consumen ancho de banda y otros recursos valiosos, lo que puede ralentizar o incluso paralizar por completo una red empresarial.

Diferencias en un gusano informático y otros tipos de malware

A diferencia de los virus que requieren la ejecución de un archivo infectado para propagarse, los gusanos pueden reproducirse y propagarse automáticamente, lo que los hace más difíciles de detectar y contener. Además, los gusanos no necesitan infectar archivos para propagarse, lo que los hace especialmente peligrosos en entornos empresariales donde la seguridad de la red es fundamental.

Cuál es la diferencia entre un gusano informático y un virus

Los virus informáticos necesitan un programa host activo o un sistema operativo ya infectado y activo para que se ejecuten, causen daños e infecten otros archivos o documentos ejecutables, mientras que los gusanos informáticos son programas maliciosos autónomos que, sin ayuda humana, pueden autorreplicarse y propagarse a través de redes informáticas.

Los virus generalmente se anexan a un archivo ejecutable o documento de Word y, a menudo, se propagan a través del intercambio de archivos peer-to-peer, sitios web infectados y descargas de archivos adjuntos que se envían por correo electrónico. Una vez que un virus ha sido introducido en un sistema, permanecerá inactivo hasta que se active el archivo host o el programa infectado, lo que a su vez activa el virus, permitiéndole de ejecutarse y replicarse en el sistema.

Esta técnica de ingeniería social no necesita un programa host para ejecutarse, autorreplicarse y propagarse. De hecho, una vez que un gusano informático ha llegado a un sistema – generalmente a través de una conexión de red o como un archivo descargado – puede crear múltiples copias de sí mismo y propagarse a través de la red o conexión a Internet infectando cualquier ordenador y servidor inadecuadamente protegido

Hay que evidenciar que, a pesar de las diferencias descritas, los gusanos informáticos y los virus se comportan de manera similar en otros aspectos: tanto los virus como los gusanos se autorreplican y se propagan rápidamente y ambos son capaces de propagarse exponencialmente, lo que los hace extremadamente dañinos. Aunque los virus y los gusanos informáticos son una fuente de peligro, los segundos resultan generalmente más peligrosos ya que pueden infectar cualquier ordenador sin que el usuario se dé cuenta.

¿Cuál es la diferencia entre un software malicioso y un virus?

El malware consiste en cualquier tipo de software que puede generar daño contra una PC o redes. En este sentido, los virus son un tipo de malware que puede reproducirse y propagarse por sí mismos.

La diferencia entre un malware y un virus es que, aunque todos los virus son un tipo de malware, no todos los tipos de malware son virus. En otras palabras, la diferencia entre malware y virus consiste en que el malware es una categoría de amenaza, mientras que el virus es una amenaza específica.

Para que un malware sea un virus debe presentar las características comunes a estos como la capacidad de reproducirse y propagarse. Asimismo, existen otras formas de malware como el ransomware, el spyware, los mencionados gusanos, entre otros.

Cada uno esta ideado para afectar a un dispositivo de una forma en concreto, aunque un buen antivirus puede generar una capa protectora contra todo tipo de malware.

¿Qué tipos de gusanos informáticos hay? 

Gusano informático de Internet

Estos se propagan a través de internet. Aprovechan las vulnerabilidades en sistemas operativos, aplicaciones o servicios de red. Los mismos no requieren de la intervención del usuario para replicarse y pueden infectar de forma rápida un gran número de computadoras. 

Gusano informático de correo electrónico

Los gusanos de correo electrónico son aquellos que se propagan con rapidez mediante mensajes de correo con archivos adjuntos maliciosos o enlaces a sitios web malintencionados.

En este sentido, cuando un usuario abre un archivo adjunto en el email o hace clic en el enlace, el gusano se ejecuta y se envía a los contactos de la persona afectada.

Gusano informático para compartir archivos

Estos gusanos se propagan a través de redes de intercambio de archivos (P2P) al tomar la apariencia de archivos legítimos. Cuando los usuarios descargan y ejecutan estos archivos, el gusano se replica y se distribuye a otros usuarios en la red P2P. Estos gusanos suelen afectar redes como BitTorrent o eMule.

Gusano informático de mensajería instantánea (chat)

Los gusanos de mensajería instantánea son aquellos que difunden a través de softwares de mensajería como WhatsApp, Messenger o Skype. Estos envían mensajes automáticos con enlaces o archivos maliciosos a los contactos del usuario infectado, los cuales, al hacer clic, también se infectan repitiéndose el ciclo. 

Gusano informático PSP

Están diseñados específicamente para propagarse a través de consolas de videojuegos, como la PlayStation Portable (PSP). Se distribuyen mediante la descarga de juegos o aplicaciones no oficiales. Una vez infectada, la consola puede difundir el gusano a otras consolas conectadas en red.

Gusano informático móvil

Estos atacan específicamente a dispositivos como smartphones y tablets. Se propagan a través de aplicaciones descargadas de tiendas no oficiales, mensajes SMS o conexiones Bluetooth.

Gusanos informáticos conocidos

Gusano Morris

Como mencionamos anteriormente, fue uno de los primeros gusanos de Internet. Este se propagó rápidamente a través de vulnerabilidades en sistemas Unix, infectando aproximadamente 10% de las computadoras conectadas a la red en ese momento. 

Gusano Storm

Apareció en 2007 y se propagó principalmente a través de correos electrónicos con asuntos sensacionalistas y enlaces a sitios web maliciosos. Este convirtió las computadoras infectadas en parte de una botnet masiva, utilizada para enviar spam y llevar a cabo ataques de denegación de servicio (DDoS).

Gusano SQL

Como explicamos anteriormente, se lanzó en 2003 y explotó una vulnerabilidad en Microsoft SQL Server. Este se propagó extremadamente rápido, causando interrupciones significativas en Internet en cuestión de minutos, infectando a miles de sistemas en los primeros minutos de su aparición. 

¿Cuál es la diferencia entre un troyano y un gusano informático?

Es muy común que se confundan los conceptos de troyano y gusano informático. En este sentido, los troyanos no son un tipo de virus, sino un malware cuyo fin es proporcionar una puerta trasera a otros programas maliciosos e incluso a ciberdelincuentes.

Este les permite entrar a un sistema y robar información sin conocimiento ni el conocimiento expreso del usuario que está siendo atacado. Sin embargo, a diferencia de los gusanos informáticos, los troyanos no son capaces de propagarse por sí solos. El nombre de estos hace una clara referencia al caballo de Troya de la Odisea de Homero.

Distintos tipos de malware pueden tener características de gusano

Los gusanos informáticos son solo una forma de malware, pero muchos otros tipos de malware pueden tener características de gusano. Es decir, la capacidad de replicarse y propagarse automáticamente a través de redes y sistemas.

Por ejemplo, se puede dar en el caso de los spywares. Cabe recordar que los spyware son un tipo de malware diseñado para espiar las actividades del usuario sin su conocimiento.

Sin embargo, algunos spyware avanzados pueden incluir capacidades de gusano, lo que les permite propagarse a otros sistemas dentro de la misma red para recopilar información de múltiples dispositivos. Esto puede ocurrir sin la necesidad de intervención del usuario, tan solo utilizando técnicas de replicación automática.

Otro de los casos son los rootkits como una forma de malware que se oculta en el sistema operativo para evitar ser detectados y controlar el dispositivo. Sin embargo, algunos cuentan con características de gusano, permitiéndoles propagarse a otros sistemas en la red para instalarse en múltiples dispositivos y mantener su presencia oculta. Esto hace que sean particularmente difíciles de detectar y eliminar.

Lemon Duck

Es un tipo de software malicioso. La función principal de este es la explotación de los recursos informáticos de una computadora infectada para extraer criptomonedas, en especial la criptomoneda monero (XMR).

Este programa compromete gravemente a los dispositivos infectados e incluso puede dañarlos de forma permanente. Si bien apareció por primera vez en China, su alcance se ha extendido exponencialmente a lo largo del mundo.

Bondat

Consiste en un gusano informático que afecta a computadoras con sistemas operativos Windows. Una vez infectadas, estas máquinas se convierten en “zombies” que forman parte de una botnet. Este malware está desarrollado en JavaScript y puede utilizarse para minar criptomonedas. Asimismo, también se ha utilizado para atacar sitios basados en WordPress.

Gusanos informáticos y seguridad empresarial, ¿Por qué es tan importante evitarlos?

Los gusanos informáticos representan una amenaza significativa para la seguridad informática debido a su capacidad para propagarse de manera rápida y automática a través de las redes, sin necesidad de intervención humana. Su naturaleza autónoma los hace especialmente peligrosos, ya que pueden infectar múltiples dispositivos en una red empresarial en cuestión de minutos, consumiendo ancho de banda y recursos valiosos.

Es crucial comprender y protegerse contra los gusanos informáticos debido a su potencial para causar interrupciones en las operaciones comerciales, pérdida de datos confidenciales, daños a la reputación y pérdidas financieras significativas. Además, su capacidad para evadir la detección convencional los hace aún más peligrosos. La implementación de medidas de seguridad proactivas, como la actualización regular de software y sistemas, el monitoreo de la red en busca de actividad sospechosa y la concienciación del personal sobre las prácticas seguras de navegación, son fundamentales para protegerse contra esta amenaza en constante evolución.

Cómo prevenir un gusano informático

Una buena higiene de ciberseguridad es esencial para proteger los sistemas de los gusanos informáticos. Las siguientes medidas pueden ayudar a prevenir la amenaza de infecciones por parte de los gusanos informáticos, siempre haciendo copias de seguridad:

  • Instalar las actualizaciones del sistema operativo y las patch de software.
  • Utilizar firewalls para proteger los sistemas del software malintencionado.
  • Usar una herramienta de bloqueo de anuncios publicitarios para evitar la llamada malvertising (es decir, anuncios infectados que pueden propagar malware).
  • Utilizar un software antivirus para evitar ejecutar un software malintencionado.
  • Evitar de hacer clic en archivos adjuntos o vínculos en el correo electrónico u otras aplicaciones de mensajería que puedan exponer los sistemas a software malintencionado.
  • Evitar conectarse a redes Wi-Fi públicas sin usar una VPN
  • Utilizar el cifrado para proteger los datos confidenciales almacenados en ordenadores, servidores y dispositivos móviles.

Cómo detectar a un gusano informático

La presencia de un gusano informático está revelada por los siguientes síntomas:

  • Problemas de bajo rendimiento del ordenador a lo largo del tiempo o ancho de banda de procesamiento limitado sin ninguna explicación aparente.
  • Bloqueo o lentitud del sistema operativo inesperadamente.
  • Comportamiento inusual del sistema operativo, incluidos los programas que se ejecutan o terminan sin interacción del usuario.
  • Sonidos, imágenes o mensajes inusuales.
  • Aparición repentina de archivos o iconos desconocidos o la desaparición inesperada de archivos o iconos
  • Mensajes de advertencia del sistema operativo o software antivirus.
  • Mensajes de correo electrónico enviados a contactos del usuario y que el usuario no ha enviado.

Cómo eliminar un gusano informático

Una cosa es cierta: eliminar un gusano informático puede ser difícil y, en casos extremos, puede ser necesario reformatear el sistema y reinstalar todo el software.

En el caso de identificación del gusano informático que infecta un sistema, es posible encontrar instrucciones o herramientas específicas para eliminarlo sin tener que limpiar completamente el sistema.

Es importante desconectar el sistema de Internet o de cualquier red cableada o wireless antes de intentar eliminarlo en presencia de gusano informático. Además, será necesario desconectar los dispositivos de almacenamiento no permanentes, como un USB o un hard disk externo, y escanearlos separadamente para detectar eventuales infecciones.

Una vez desconectado el sistema, hay que proceder de la siguiente manera:

  • Actualizar todas las firmas de antivirus.
  • Analizar la computadora con un software antivirus actualizado.
  • Utilizar software antivirus para eliminar cualquier malware, código malicioso y gusanos encontrado y limpiar los archivos infectados.
  • Averiguar que el sistema operativo y todas las aplicaciones estén actualizadas y revisadas.

Los equipos de ciberseguridad, considerando que los gusanos informáticos pueden dañar los sistemas y comprometer las informaciones confidenciales – deberían actualizar regularmente el software antivirus, emplear firewalls y cifrar todas las informaciones confidenciales para reducir el riesgo de infección.

Las organizaciones, una vez más, tienen que conocer su hardware y software para detectar los riesgos y mitigarlos. Hoy más que nunca, en un contexto de proceso acelerado de digitalización e innovación, las organizaciones urgen desarrollar una cultura de la ciberseguridad y asegurarse de “entrenar el músculo” de la resiliencia cibernética a través el continuo y estructurado entrenamiento de las personas, ya que la ciberseguridad es responsabilidad de todos.

Ejemplos de gusanos informáticos

  1. WannaCry: Este gusano, que se propagó en mayo de 2017, afectó a cientos de miles de computadoras en todo el mundo al explotar una vulnerabilidad en el protocolo SMB de Windows. WannaCry cifraba los archivos de los usuarios y exigía un rescate en Bitcoin para su liberación, causando interrupciones masivas en organizaciones y servicios públicos.
  2. Conficker: También conocido como Downadup, este gusano se propagó en 2008 y continuó siendo una amenaza durante años. Infectó millones de computadoras ejecutando sistemas operativos Windows, aprovechando vulnerabilidades de red y técnicas de ingeniería social. Conficker podía descargar y ejecutar código malicioso, robar información confidencial y deshabilitar servicios de seguridad.
  3. ILOVEYOU: Este gusano, que apareció en 2000, se distribuyó a través del correo electrónico y se propagó rápidamente al adjuntarse a mensajes de correo electrónico con el asunto “ILOVEYOU”. Una vez abierto, el gusano se replicaba y enviaba copias de sí mismo a todos los contactos de la libreta de direcciones del usuario, sobrecargando servidores de correo y causando pérdidas masivas de datos.
  4. Sasser: Lanado en 2004, Sasser explotaba una vulnerabilidad en el servicio LSASS (Local Security Authority Subsystem Service) de Windows XP y 2000. El gusano se propagaba a través de Internet y causaba que los sistemas se reiniciaran repetidamente, lo que resultaba en interrupciones significativas en empresas y redes gubernamentales.

Artículo publicado originalmente en 28 Nov 2022

¿Qué te ha parecido este artículo?

¡Su opinión es importante para nosotros!

Federica Maria Rita Livelli
Federica Maria Rita Livelli
Business Continuity & Risk Management Consultant

En posesión de la certificación de Continuidad de Negocio - AMBCI BCI, UK y CBCP DRI, USA, Risk Management FERMA Rimap, consultor de Business Continuity & Risk Management, realiza actividades de difusión y desarrollo de la cultura de resiliencia en diversas instituciones y universidades

Artículos relacionados

Artículo 1 de 5