El virus apareció en marzo de 1999 e hizo estragos con un mensaje simple pero efectivo: “aquí está el documento que pediste, no se lo muestres a nadie”.
/s3.amazonaws.com/arc-authors/artear/36b8f759-8da1-435e-9023-cc2cfbeb4805.png){kind=small}
23 de marzo 2024, 05:43hs
/cloudfront-us-east-1.images.arcpublishing.com/artear/UCN5NPFPT5AUFMVRD3AKVHK3QI.jpeg)
El singular homenaje de un hacker a una desnudista quedó marcado a fuego en la historia de la seguridad informática. Hace 25 años, en marzo de 1999, Melissa apareció en escena. La referencia no es a la bailarina que se meneaba con poca ropa, sino al peligroso virus creado por David Lee Smith que, de acuerdo a las crónicas, se extendió como pólvora en el Internet de fines del siglo pasado.
Los detalles del nocivo virus Melissa, que celebra su 25° aniversario
Lee Smith estaba enamorado de Melissa. Eso dicen las malas lenguas de la seguridad informática. Por eso, decidió bautizar a su virus con ese nombre. Como decíamos, es un homenaje muy particular, con daños y enseñanzas.
Leé también: Estafas por Internet: los casos frecuentes, los más llamativos y consejos para estar a salvo
La historia nos remonta al último año del siglo XX, cuando este programador estadounidense se apoderó ilícitamente de una cuenta de AOL —un servicio por entonces reconocido en el mundillo digital— y publicó el archivo “alt.sex” en un grupo de noticias.
Aquella publicación prometía decenas de contraseñas para suscripciones a sitios web pornográficos. Los usuarios sedientos de esos accesos, al abrir el documento en Word no hicieron más que desparramar un virus pernicioso en sus computadoras. Fue a fines de marzo del 1999 cuando Melissa comenzó a propagarse.
/cloudfront-us-east-1.images.arcpublishing.com/artear/W4UUZD44JJBKJJGZG4RUKHVG6A.jpg)
Según señala el FBI en un artículo que recuerda las lecciones que dejó este virtus, Melissa no tenía como objetivo robar dinero o información. Sin embargo, causó estragos de consideración. “Los servidores de correo electrónico de más de 300 corporaciones y agencias gubernamentales en todo el mundo se sobrecargaron y algunos tuvieron que cerrarse por completo, incluido Microsoft. Aproximadamente 1 millón de cuentas de email fueron interrumpidas y el tráfico de Internet en algunos lugares se ralentizó”, explica la agencia de investigación estadounidense.
Leé también: El rol de la inteligencia artificial en la industria de la ciberseguridad: riesgos, oportunidades y desafíos
El daño provocado por Melissa fue enorme. Se estima que fueron destinados 80 millones de dólares para la limpieza y reparación de los sistemas informáticos afectados.
El virus Melissa, emblema de los ataques con ingeniería social
Tal como señalamos, el recordado ataque informático comenzaba en el procesador de texto de Microsoft y luego procedía a secuestrar cuentas de email en Outlook. Entonces, enviaba correos a las primeras 50 direcciones de la agenda vulnerada. El mensaje decía “aquí está el documento que pediste, no se lo muestres a nadie”, además de archivos nombrados como “esposa desnuda” o “sexy.jpg”.
/cloudfront-us-east-1.images.arcpublishing.com/artear/C6J5GQ45ABDM7NCXQEF346J52A.jpeg)
Melisa es un evidente caso de los engaños con ingeniería social a los que, aún hoy, apelan los cibercriminales para sus cometidos. Se trata de intentos de fraude basados en la inocencia, inacción y desconocimiento de las víctimas; y no en ataques especialmente sofisticados. Un ejemplo tradicional y muy corriente es un contacto que asegura ser empleado de una compañía y ofrece su ayuda para solucionar un supuesto problema. Sin requerir extensos conocimientos en informática o en programación, esta modalidad fue el canal de ataques célebres, como el hackeo a Twitter en el que intrusos se apoderaron de cuentas de celebridades. Cuando ocurrió, no vulneraron sistemas de la red social; en cambio, convencieron a empleados para que entreguen “llaves”.
Al respecto, una máxima de la ciberseguridad asegura que el eslabón más débil es el usuario y no las tecnologías per se. En otras palabras, usualmente es mucho más simple engañar a las personas —por ejemplo, para que compartan su contraseña— que eludir las barreras de los programas y los dispositivos para conseguir información sensible.
Leé también: Las 4 técnicas que más usan los estafadores virtuales en las redes sociales y las apps de citas
Melissa también apuntó a ese talón de Aquiles. Como hemos dicho, su ingreso ocurría al engañar a internautas que creyeron estar ante las puertas de un jugoso ardid para acceder a contenido porno.
Melissa fue un punto de inflexión para el FBI
Al repasar la historia del virus Melissa a 25 años de su propagación, es atinado señalar que los usuarios de Internet a fines de los 90′s no contaban con el caudal de información y experiencia de los internautas contemporáneos. No obstante, remarcando lo señalado anteriormente, la ingeniería social sigue siendo, en pleno 2024, una de las estrategias más efectivas de los piratas informáticos. Eso nos lleva a pensar lo siguiente: que las ansias y la falta de información no entiende de siglos ni de expertise, y que una de las buenas prácticas para un uso seguro de las herramientas digitales es aplicar siempre una mirada atenta y crítica.
/cloudfront-us-east-1.images.arcpublishing.com/artear/DCO3LUVJ2JHWLIS3JE3MDY2NXA.png)
Regresando a 1999, los daños provocaos por Melissa fueron atajados por los especialistas en pocos días, luego de hacer estragos en redes, compañías y servicios online. Para el FBI, no fue un virus más. Tras el derrumbe de las infraestructuras, el organismo gubernamental comprendió la relevancia de la concientización en seguridad informática, enviando advertencias y explicando las consecuencias no deseadas.
Además, unos meses después de las investigaciones y de las tareas para apagar el incendio que provocó Melissa, la agencia federal creó su propia División Cibernética para abordar exclusivamente los delitos en línea. “El virus fue una señal de advertencia de una importante amenaza en crecimientos y de la necesidad de aumentar rápidamente nuestras capacidades”, notaron.
Leé también: Happy99, la historia del primer virus que se propagó por email y amenazó a Windows
En declaraciones posteriores al incidente, ante la Cámara de Representantes del Congreso de EE.UU. un experto destacó los aprendizajes que dejó Melissa. Por un lado, que los bichos informáticos pueden propagarse velozmente y que los productos digitales pueden ser explotados con relativa facilidad. Además, que el virus demostró que las computadoras sí pueden estar más protegidas, cuando hay campañas y alertas. En ese orden, notaron que las organizaciones que capacitaron a sus empleados estuvieron más a resguardo que aquellas que no lo hicieron.
¿Qué ocurrió con David Lee Smith, el creador del virus Melissa?
El hacker fue capturado poco tiempo después de que Melissa arruine computadoras en todo el mundo, especialmente en Estados Unidos. Las crónicas cuentan que fue Lee Smith fue arrestado el 1 de abril de 1999 en Nueva Jersey. Las investigaciones se dinamizaron gracias a la cooperación de AOL y las fuerzas de seguridad de aquel Estado.
¿Cuál fue el final de la historia? El hacker se declaró culpable en diciembre de ese año y sentenciado a 20 meses en prisión, acordando colaborar con las autoridades. La firma especializada en seguridad Panda recuerda que el creador de Melissa ayudó al FBI en la búsqueda de Jan de Wit, un neerlandés que diseñó el virus Anna Kournikova, que atacó en 2001 con una supuesta imagen erótica de la extenista.
