Así fue el primer ‘ransomware’ del mundo: disquetes con sida que secuestraban tu PC

Una ventana de color rojo y un mensaje en blanco exigiendo un pago a una misteriosa empresa. Casi tres décadas antes de que WannaCry desatara el pánico mundial infectando en poco tiempo a ordenadores de 150 países (entre ellos los de grandes empresas y hospitales) se propagó un ‘malware’ que, al igual que este, secuestraba los archivos del equipo y pedía una suma de dinero para liberarlos.

En diciembre de 1989, cuando aún no había nacido la primera página web, 20.000 disquetes de 5,25 pulgadas (los populares 'cinco y cuarto') se enviaron desde Londres a empresas tanto británicas como de otros países, a los suscriptores de la revista ‘PC Business World’ e incluso a participantes de un congreso sobre el sida organizado por la Organización Mundial de la Salud.

‘AIDS Information Introductory Diskette’ (Disquete de Información Introductoria sobre el sida), rezaba su pegatina, que decía provenir de la PC Cyborg Corporation. En realidad no era más que un engaño: cifraba el disco duro de los ordenadores y pedía un rescate. Un ‘ransomware’ más rudimentario y mucho menos dañino que su tristemente famoso descendiente WannaCry pero que también se difundió a escala global: llegó a unos 90 países por correo postal.

El engaño de la ficticia PC Cyborg Corporation

Eddy Willems, actualmente experto en ciberseguridad en la compañía GData, fue una de las víctimas que abrió el programa de uno de esos disquetes. A finales de los 80, este informático belga era el “chico técnico” en el centro de asistencia de una compañía de seguros y su jefe le había pedido que echara un vistazo al disquete.

Al hacerlo, Willems encontró un cuestionario que permitía al usuario determinar si pertenecía a un grupo con especial riesgo de contraer el VIH, identificado a principios de esa década. Sin embargo, al día siguiente ya no pudo utilizar su equipo. “Se abrió una ventana y bloqueó mi ordenador, exactamente lo mismo que ha pasado estos días. Me pedía 189 dólares que debía enviar a un apartado de correos de Panamá”, explica a Teknautas.

@stacksmasher @krypt3ia Everything old is new again. Here's the AIDS Information Trojan from 1989. pic.twitter.com/q7BelKvCzM

El mensaje, que además se imprimió automáticamente, exigía a los usuarios una suma de dinero para pagar la licencia del ‘software’ a PC Cyborg Corporation, ubicada supuestamente en el país centroamericano. El programa había cifrado su disco duro; si pagaba esa cantidad, le enviarían una clave para recuperar el control de sus archivos. Las condiciones también venían reflejadas en el folleto que acompañaba al disquete y que Willems, como seguramente tantos otros, no leyó.

“Fue el primer troyano ‘ransom’”, asegura el reputado experto en seguridad Mikko Hypponen, responsable de investigación de la compañía finlandesa F-Secure. “Hubo víctimas por todo el mundo. Los antivirus no existían realmente en ese momento”. Por aquel entonces, no se calificó a AIDS como un ‘ransomware’, sino como un troyano a secas. Al fin y al cabo, estaba camuflado en un programa que decía contener información útil y que, al cabo de los días, comenzaba a realizar acciones maliciosas. Era el propio usuario el que, como en la mitología griega, abría las puertas de su ordenador al invasor.

AIDS se consideraba un troyano. Camuflado en un programa aparentemente inofensivo, comenzaba a realizar acciones maliciosas pasados unos días

Un ‘modus operandi’ diferente al del peligroso WannaCry protagonista del reciente ciberataque masivo. No se han encontrado pruebas de que WannaCry se haya distribuido mediante correos electrónicos engañosos, como se pensaba en un principio. Un agujero en Windows descubierto por la Agencia Nacional de Seguridad (NSA) estadounidense, que había desarrollado un ‘exploit’ para atacar esa vulnerabilidad que posteriormente se filtró (un hecho por el que Microsoft ha criticado que los Gobiernos descubran vulnerabilidades y las mantengan en secreto), habría sido el principal culpable del ataque y la rápida propagación del ‘malware’.

Por el contrario, el modesto troyano AIDS (también conocido como AIDS Information o PC Cyborg) solo infectaba a los usuarios que tuvieran en su poder el disquete, como Willems. Y aunque en su caso no había precedentes de un ‘malware’ que pidiera un rescate, no se le pasó por la cabeza pagar. “Así que apagué mi ordenador y lo arranqué con un disco de arranque, que era lo normal en aquel momento, e intenté sortear el problema”, rememora. Investigando, descubrió que algunas partes de su disco duro habían sido cifradas.

#AIDS: 1er #malware #TROYANO / #RANSOMWARE (1989) Distribuido en discos flexibles de 5¼" por correo postal https://t.co/xGxM9MbNmK @virusbtn pic.twitter.com/WmXHnmgIDq

“Había una solución, y de hecho la puse en práctica. La solución era descubrir los directorios e intentar encontrar la clave”. En realidad, la información necesaria para descifrar el disco (la misma clave con la que se había cifrado) estaba oculta en el propio ordenador. “Si encontrabas el método, era muy fácil volver atrás”.

Willems no fue el único que descubrió en poco tiempo cómo revertir la situación. Los usuarios de CIX, un sistema de conferencias electrónicas británico (una especie de red social), comenzaron a comentar el problema, del que los medios ya se estaban haciendo eco. Jim Bates, un experto en seguridad, fue el primero en publicar dos programas para recuperar los archivos, que distribuyó de forma gratuita.

A juicio de este experto, el ‘ransomware’ era muy ineficiente, por lo que se podía deducir que había sido creado por un programador joven e inexperto. Pese a ello, provocó que hospitales y empresas perdieran mucho tiempo y dinero tratando de recuperar sus sistemas. “El programa ha sido escrito para comportarse casi como el virus del sida real. Era oportunista, tanto como su equivalente biológico. Su infección se expandía lentamente y resultaba fatal para sus víctimas”, explicaba Bates.

Años después, la firma Palo Alto Networks ha explicado que el troyano AIDS o PC Cyborg tenía unos cuantos defectos, como el hecho de que se usara la misma clave para cifrar y descifrar el disco (y además se integrara en el propio ‘malware’) o el modo de pago del rescate, ya que enviar dinero a Panamá requería esperar cierto tiempo para disponer de una solución que no estaba garantizada. Ahora bien, ¿quién había sido tan cruel de crear un ‘malware’ inspirándose en la forma de propagación de un virus real sin tener la clara finalidad de hacerse rico?

“Cambió toda mi vida”

A los pocos meses, la revista Computerworld informó de que el FBI había detenido a un biólogo estadounidense llamado Dr. Joseph Lewis Popp por una orden de arresto emitida desde Londres. Agentes holandeses ya habían descubierto con anterioridad que disponía de información sobre la PC Cyborg Corporation, precisamente tras regresar de un seminario de la Organización Mundial de la Salud.

Dos años después, según relató la revista Virus Bulletin, Popp fue puesto en libertad por un tribunal británico que lo consideró incapacitado psicológicamente para defenderse. “Un esfuerzo logístico fue realizado para ejecutar el delito [...] si Popp estaba demente y cometió este delito, entonces debió haber un método en su locura”, aventuraba el editorial de la publicación.

Pese a los problemas que causó ese primer ‘ransomware’ (una organización contra el sida en Italia aseguró haber perdido diez años de investigación tras usar el programa), hubo a quien le vino bien descubrirlo.

Los medios belgas entrevistaron a Eddy Willems tras haber descubierto el modo de desarmar al primer ‘ransomware’, y algunas empresas siguieron su consejo para liberar sus ordenadores. “Cambió toda mi vida a partir de entonces”, asegura Eddy Willems. “Pensé que con este tipo de cosas podía ayudar a mucha más gente y eso es lo que estoy haciendo ahora”.

Willems no sólo conserva el diskete en el que le llegó el virus sino que lo ha colgado de una de las paredes de su salón

Tanto le marcó “el primer ‘ransomware’ del mundo” que este veterano experto en ciberseguridad no solo conserva el disquete que le ayudó a descubrir su vocación, sino que afirma tenerlo colgado en la pared de su salón. “Es mi disquete de la suerte porque quizá de otro modo [...] no estaría trabajando en la industria de la seguridad”.

El Museo del Malware de Internet Archive recoge algunas imágenes de AIDS, el “único en su clase” hasta años después, según nos cuenta Mikko Hypponen. El virus de la Policía (aparecido en 2011, bloqueaba el ordenador y exigía el pago de una ‘multa’) o CryptoLocker, propagado a partir de 2013 (que también cifra los archivos del disco para pedir un rescate) han sido solo algunos de sus más famosos sucesores.

“Cualquier aplicación que de una manera u otra intente pedir un rescate se puede considerar ‘ransomware’. En la actualidad, estamos acostumbrados a ver ‘ransomware’ que pide un rescate monetario a cambio de archivos cifrados, pero no siempre es así”, detalla Fernando Díaz, experto analista de ‘malware’ en Hispasec. “En dispositivos móviles existe ‘ransomware’ que no cifra tus archivos; sin embargo, sí que te bloquean la pantalla y evitan que utilices el teléfono mientras no se efectúe el rescate”.

Mientras se atan los cabos para determinar quiénes fueron los autores del ataque WannaCry, los expertos presagian un porvenir aún más negro. “En el futuro a medio plazo veremos dispositivos conectados a la internet de las cosas y mi suposición es que el ‘ransomware’ llegará a esos dispositivos, como ‘smartwaches’, contadores inteligentes o coches inteligentes”, señala Willems.

El augurio de Hypponen es similar. “La gente aprenderá cuando vayan a sus coches y no arranquen, porque haya una nota de un ‘ransomware’, y tengan que pagar un bitcóin para llevarse su coche”, presagia este reputado experto. Desgraciadamente, otras ventanas asaltarán nuestros dispositivos intentando chantajearnos, como hace casi tres décadas lo hiciera esa pantalla que pedía a los usuarios un rescate a Panamá.