El gusano Melissa apareció por vez primera el 26 de Marzo de 1999, causando un colapso en Internet y desbordando los servidores por la propagación miles de correos electrónicos infectados con el gusano. Sin embargo Melissa no fue originariamente diseñado para hacer daño, por eso los servidores no reaccionaron y la infraestructura de Internet sufrió graves problemas imprevistos, infectándose cientos de miles de ordenadores.

Pero Melissa no fue el primer gusano a gran escala; ya en 1988 Morris fue el primero en reproducirse y propagarse por sí mismo. Comenzó como un código experimental y se descontroló.

Está claro que Melissa sacudió la industria de la seguridad y de los usuarios. Los fabricantes de seguridad empezaron entonces a ser más proactivos, desarrollando tecnología de prevención de ataques de “día cero”, y las empresas entendieron que la clave para asegurar sus redes era estar al día de las nuevas herramientas de protección y saber utilizarlas. Por su parte, los usuarios deben ser más precavidos y sospechar de cualquier correo o website.

Desde Melissa hemos visto cómo los diversos brotes de gusanos han ido evolucionando desde simple vandalismo hasta la propagación de malware (Agobot, Mydoom, Netsky, etc.). A partir de 2005 los hackers comenzaron a convertir la tecnología en dinero: dejaron de buscar nuevas tecnologías de malware para desarrollar las tecnologías existentes y apareció un nuevo factor, el crimen organizado. Los ciberdelincuentes han descubierto que pueden conseguir una gran cantidad de dinero gracias al robo de datos, la extorsión y el fraude basados en Internet. Gran parte de esta actividad está impulsada por la expansión de redes de PCs comprometidos o robots controlados por grupos delictivos para propagar spam y software malicioso, recolectar datos sensibles y lanzar ataques de denegación de servicio distribuido (DDoS).

Este software se propaga por multitud de vías: usuarios inocentes que acceden a web sites legítimos a través de correo spam y comprometen su seguridad o mediante programas P2P de intercambio de archivos compartidos, entre otros. El público objetivo es cualquiera que maneje o almacene dinero o información confidencial. En la mayoría de casos, las víctimas no son conscientes de que su ordenador está infectado por un código malicioso y de que han sido reclutados por un botnet.

¿Cómo va afrontar la industria de seguridad los nuevos desafíos?

Muchos vendedores de seguridad afirman proporcionar protección a los ataques de minuto cero. Sin embargo, diez años después de Melissa, todavía nos sorprenden brotes de gusanos, como el reciente ataque de Conficker. Es un malware de minuto-cero que se expande explotando una vulnerabilidad de Microsoft Windows (un buffer overflow) para la que aún no existe parche. Una vez instalado en el ordenador de la victima, se conecta a un servidor remoto para recibir instrucciones, como robar información personal o descargar malware adicional. También deshabilita un gran número de servicios del sistema.

Estos brotes surgen porque la mayoría de los sistemas de protección, incluso usando un antivirus o un sistema prevención de la intrusión, dependen de tecnología de detección de firma.

La detección de firma es la mejor tecnología para prevenir los ataques que explotan aplicaciones conocidas y vulnerabilidades del sistema operativo. Sin embargo, no tiene ninguna repuesta en tiempo real para ataques no basados en vulnerabilidades y de minuto cero. Para protegerse proactivamente frente a los ataques de minuto cero se necesita una solución que emplee tecnología de análisis conductual, que puede identificar el modelo de tráfico anormal y generar una firma a tiempo real que previene la extensión del ataque.