Caballo de Troya

Para otros usos de este trmino, vase Caballo de Troya (desambiguacin).

Detalle del Vaso de Mikonos (Museo Arqueolgico de Mikonos, Grecia), del siglo VII a. C. Se trata
de una de las ms antiguas representaciones del caballo de Troya.

El caballo de Troya fue un artilugio con forma de enorme caballo de madera que se
menciona en la historia de la guerra de Troya y que segn este relato fue usado por los
griegos como una estrategia para introducirse en la ciudad fortificada de Troya. Tomado
por los troyanos como un signo de su victoria, el caballo fue llevado dentro de los
gigantescos muros, sin saber que en su interior se ocultaban varios soldados enemigos.
Durante la noche, los guerreros salieron del caballo, mataron a los centinelas y abrieron
las puertas de la ciudad para permitir la entrada del ejrcito griego, lo que provoc la cada
definitiva de Troya. La fuente ms antigua que menciona el caballo de Troya, aunque de
manera breve, es la Odisea de Homero. Posteriormente otros autores ofrecieron relatos
ms amplios del mito, entre los que destaca la narracin que recoge la Eneida de Virgilio.
Por lo general, el caballo de Troya es considerado una creacin mtica, pero tambin se ha
debatido si realmente pudiera haber existido y fuera una mquina de guerra transfigurada
por la fantasa de los cronistas. De cualquier manera, demostr ser un frtil motivo tanto
literario como artstico, y desde la Antigedad ha sido reproducido en innumerables
poemas, novelas, pinturas, esculturas, monumentos, pelculas y otros medios, incluidos
dibujos animados y juguetes. Asimismo, en pocas recientes, se han hecho varias
reconstrucciones hipotticas del caballo. Aunado a ello, ha dado origen a dos expresiones
idiomticas: caballo de Troya; es decir, un engao destructivo, y presente griego, algo
concebido como aparentemente agradable pero que trae consigo graves consecuencias.
ndice
[ocultar]

1Contexto

2Fuentes literarias

3Hombres escondidos dentro del caballo

4Interpretaciones

5Iconografa y cultura popular

6Vase tambin

7Fuentes
o

7.1Referencias

7.2Bibliografa
8Enlaces externos

Contexto[editar]
La guerra de Troya fue descrita por primera vez en los poemas homricos y desde
entonces ha sido contada por otros autores, antiguos y modernos, quienes han introducido
variaciones y expandido la historia, pero el resumen del episodio del caballo es el
siguiente:
La guerra duraba ms de nueve aos cuando el ms destacado guerrero griego, Aquiles,
haba cado muerto en combate. A pesar de haber cumplido las condiciones impuestas por
los orculos para la toma de la ciudad traer a Neoptlemo, hijo de Aquiles, traer los
huesos de Plope y robar el Paladio, los griegos no conseguan atravesar los muros de
Troya.
En esta tesitura, el adivino Calcante observ una paloma perseguida por un halcn. La
paloma se refugi en una grieta y el halcn permaneca cerca del hueco, pero sin poder
atrapar a la paloma. El halcn entonces decidi fingir retirarse y se escondi fuera de la
mirada de la paloma, quien poco a poco asom la cabeza para cerciorarse de que el
cazador haba desistido pero entonces el halcn sali del escondite y culmin la cacera.
Despus de narrar esta visin, Calcante dedujo que no deberan seguir tratando de asaltar
las murallas de Troya por la fuerza, sino que tendran que idear una estratagema para
tomar la ciudad. Despus de ello, Odiseo concibi el plan de construir un caballo y ocultar
dentro a los mejores guerreros. En otras versiones, el plan fue instigado por Atenea1 y
tambin existe una tradicin que seala quePrilis, un adivino de la isla de Lesbos, hijo
de Hermes, profetiz que Troya solo podra ser tomada con ayuda de un caballo de
madera.2
Bajo las instrucciones de Odiseo o de Atenea, el caballo fue construido por Epeo el focidio,
el mejor carpintero del campamento. Tena una escotilla escondida en el flanco derecho y
en el izquierdo tena grabada la frase: Con la agradecida esperanza de un retorno seguro
a sus casas despus de una ausencia de nueve aos, los griegos dedican esta ofrenda a
Atenea. Los troyanos, grandes creyentes en los dioses, cayeron en el engao. Lo
aceptaron para ofrendarlo a los dioses, ignorando que era un ardid de los griegos para
traspasar sus murallas puesto que en su interior se esconda un selecto grupo
de soldados. El caballo era de tal tamao que los troyanos tuvieron que derribar parte de
los muros de su ciudad. Una vez introducido el caballo en Troya, los soldados ocultos en l
abrieron las puertas de la ciudad, tras lo cual la fuerza invasora entr y la destruy. 3 4

Fuentes literarias[editar]
El caballo de Troya es mencionado por primera vez en varios pasajes de
la Odisea de Homero. Una de las veces sucede en el palacio de Menelao, quien ofrece un
banquete de bodas para su hijo y su hija, que se casaban al mismo tiempo. En medio de la
fiesta, llega Telmaco, quien buscaba noticias de su padre y toma asiento al lado de
Menelao, acompaado de Pisstrato. Posteriormente, entra en la sala Helena. El grupo,
entristecido, comienza a recordar la guerra de Troya, cuando Helena toma la palabra y
cuenta sus recuerdos de la misma. Entonces Menelao confirma lo que ella haba dicho,
hablando del caballo:
S, mujer, con gran exactitud lo has contado. Conoc el modo de pensar y de sentir de muchos
hroes, pues llevo recorrida gran parte de la tierra: pero mis ojos jams pudieron dar con un hombre
que tuviera el corazn de Odiseo, de nimo paciente, Qu no hizo y sufri aquel fuerte varn en el

caballo de pulimentada madera, cuyo interior ocupbamos los mejores argivos para llevar a los
troyanos la carnicera y la muerte! Viniste t en persona pues debi de moverte algn numen que
anhelaba dar gloria a los troyanos y te segua Defobo, semejante a los dioses. Tres veces
anduviste alrededor de la hueca emboscada tocndola y llamando por su nombre a los ms
valientes dnaos y, al hacerlo, remedabas la voz de las esposas de cada uno de los argivos.
Homero, Odisea IV, 265-290.

En otro pasaje, Odiseo pide al aedo Demdoco que narre la historia del caballo
de Epeo creado con la ayuda de Atenea. El aedo cont el episodio desde el punto en que
algunos argivos haban prendido fuego a sus tiendas de campaa y partido en sus buques,
mientras que otros, entre los que estaba Odiseo, esperaban escondidos en el interior del
caballo. Los troyaron llevaron el caballo dentro de su fortaleza, donde permaneci mientras
decidan qu hacer con l. Unos deseaban destruirlo; otros queran llevarlo a lo alto de la
ciudadela y precipitarlo sobre las rocas, mientras que otros preferan conservarlo como
una ofrenda a los dioses. Optando por esta ltima alternativa, sellaron su destino:
Demdoco! Yo te alabo ms que a otro mortal cualquiera, pues deben de haberte enseado
la Musa, hija deZeus, o el mismo Apolo, a juzgar por lo primorosamente que cantas el azar de los
aqueos y todo lo que llevaron a cabo, padecieron y soportaron como si t en persona lo hubieras
visto o se lo hubieses odo referir a alguno de ellos. Mas, ea, pasa a otro asunto y canta como
estaba dispuesto el caballo de madera construido por Epeo con la ayuda de Atenea; mquina
engaosa que el divinal Odiseo llev a la acrpolis, despus de llenarla con los guerreros que
arruinaron a Troya. Si esto lo cuentas como se debe, yo dir a todos los hombres que una deidad
benvola te concedi el divino canto.
As habl y el aedo, movido por divinal impulso, enton un canto cuyo comienzo era que los argivos
dironse a la mar en sus naves de muchos bancos, despus de haber incendiado el campamento,
mientras algunos ya se hallaban con el celebrrimo Odiseo en el gora de los teucros, ocultos por el
caballo que stos mismos llevaron arrastrando hasta la acrpolis.
El caballo estaba en pie, y los teucros, sentados a su alrededor, decan muy confusas razones y
vacilaban en la eleccin de uno de estos tres pareceres; hender el vaco leo con el cruel bronce,
subirlo a una altura y despearlo, o dejar el gran simulacro como ofrenda propiciatoria a los dioses;
esta ltima resolucin deba prevalecer, porque era fatal que la ciudad se arruinase cuando tuviera
dentro aquel enorme caballo de madera donde estaban los ms valientes argivos, que causaron a
los teucros el estrago y la muerte.
Cant cmo los aqueos, saliendo del caballo y dejando la hueca emboscada, asolaron la ciudad;
cant asimismo cmo, dispersos unos por un lado y otros por otro, iban devastando la excelsa urbe,
mientras que Odiseo, cual si fuese Ares, tomaba el camino de la casa de Defobo, juntamente con el
deiforme Menelao. Y refiri cmo aqul haba osado sostener un terrible combate, del cual alcanz
Victoria por el favor de la magnnima Atenea.
Homero, Odisea VIII, 490.

Ms tarde, cuando el propio Odiseo se encuentra en el Hades buscando el consejo

de Tiresias sobre su regreso a taca, encuentra al fantasma de Aquiles, a quien le habla
sobre su hijo, Neoptlemo:
Y cuando los ms valientes argivos penetramos en el caballo que fabric Epeo y a m se me confi
todo as el abrir como el cerrar la slida emboscada, los caudillos y prncipes de los dnaos se
enjugaban las lgrimas y les temblaban los miembros; pero nunca vi con estos ojos que a l se le
mudara el color de la linda faz, ni que se secara las lgrimas de las mejillas: sino que me suplicaba
con insistencia que le dejase salir del caballo, y acariciaba el puo de la espada y la lanza que el
bronce haca ponderosa, meditando males contra los teucros.
Homero, Odisea XI, 504-533.

Sinn es llevado ante Pramo, grabado en el Vergilius Romanus.

Otros poetas antiguos tambin hicieron mencin al caballo: Arctino de Mileto, en

suIliupersis, y Lesques, en la Pequea Ilada, pero sus obras originales se han perdido y
sobreviven solo breves fragmentos y resmenes en la Crestomata, de Proclo.5Una
referencia adicional se encuentra en la tragedia Las troyanas de Eurpides,
cuando Poseidn dice:
El focense Epeo del Parnaso ensambl, por las artes de Palas, un caballo henchido de hombres
armados e introdujo la mortfera imagen dentro de los muros. De aqu recibir entre los hombres
venideros el nombre de caballo de madera, encubridor de lanzas escondidas.
Eurpides, Las troyanas, 10.

Sin embargo, el relato ms detallado se encuentra en el libro II de la Eneida deVirgilio.

Durante el banquete, Eneas relata a Dido cmo fue que despus de la falsa retirada de los
griegos, viendo la playa desierta, los troyanos abrieron las puertas de la ciudad y entraron
el enorme caballo: Timetes haba propuesto llevarlo dentro de los muros, pero Capis y
otros temieron una trampa, reconsiderando que lo mejor sera quemarlo, o al menos
averiguar lo que tena en sus entraas.4 Mientras la multitud estaba debatiendo qu hacer,
el sacerdote Laocoonte corri hacia el lugar para advertir:
Qu locura tan grande, pobres ciudadanos! Del enemigo pensis que se ha ido? O creis que los
dnaos pueden hacer regalos sin trampa? As conocemos a Ulises? O encerrados en esta madera
ocultos estn los aqueos, o contra nuestras murallas se ha levantado esta mquina para espiar
nuestras casas y caer sobre la ciudad desde lo alto, o algn otro engao se esconde: teucros, no os
fieis del caballo. Sea lo que sea, temo a los dnaos incluso ofreciendo presentes. 4
Eneida, Virgilio, Libro II.

Dicho esto, arremeti contra el caballo insertndole una lanza con tal de destruirlo. En este
momento se present ante Pramo, rey de Troya, a un prisionero griego cuyo nombre
era Sinn, que se dej capturar. Fingiendo que lloraba, pidi asilo, alegando ser un
proscrito fugitivo. La multitud se conmovi, el griego se levant y emiti un discurso astuto.
Dijo que su padre pobre, sin recursos, le haba confiado a Palamades para que lo
educase. Sin embargo, por las intrigas de Odiseo, Palamedes fue acusado de traicin y
asesinado. A partir de entonces Sinn fue continuamente acusado por Odiseo de delitos
jams cometidos. Por todo ello, juraba vengarse tanto por l como por su tutor. Asimismo,
en un gesto retrico, se ofrece como vctima voluntaria de la ira troyana. Sorprendida, la
gente alrededor de l quiso saber ms, y este relat que los griegos, cansados de esta
batalla perdida, levantaron el sitio, pero vieron que su intento de regresar estaba impedido
por las tormentas marinas y seales en los cielos. Para conocer la voluntad de los dioses,
enviaron a Eurpilopara que consultase un orculo. La respuesta que trajo fue que se
requera un sacrificio humano similar al que se haba realizado antes del inicio de la guerra
a fin de obtener vientos favorables. Tras varios das de silencio, el adivino Calcante, de
acuerdo con Odiseo, haba anunciado que Sinn deba ser la vctima del sacrificio. Fue
atado y se le vendaron los ojos para el ritual sangriento pero pudo romper las ataduras y

huy, hasta que los troyanos lo encontraron. Una vez ms, afirm su inocencia y pidi la
compasin del enemigo.4

Grabado de Giovanni Battista Fontana donde se observa a Laocoonte y sus hijos siendo devorados
por las serpientes. Al fondo, se observa cmo el caballo es llevado dentro de la ciudad.

Su actuacin fue convincente y le otorgaron el perdn. Fue liberado y recibido como uno
de ellos. Los troyanos le preguntaron por la razn para tan maravillosa construccin. A ello
respondi Sinn diciendo que se consideraba libre de la lealtad a su antigua patria,
invocando a los dioses como testigos, y maldiciendo a los griegos, agreg que el caballo
haba sido construido por orden expresa de Atenea, como desagravio por la profanacin
del paladio troyano, imagen dedicada a la diosa y robada por Odiseo y Diomedes, delito
por el que estaban convencidos de que no ganaran la guerra. Adems, se construy de
modo que no pudiese, por su tamao, pasar a travs de las puertas de la ciudad, para que
jams fuese tomado por los troyanos, volvindose as un nuevo paladio. Si eso suceda los
griegos conoceran la venganza divina, y Troya, la gloria.4
Por otra parte, Laocoonte sacrific un toro a Neptuno, cuando de Tnedosemergieron dos
serpientes monstruosas que mataron al sacerdote y sus dos hijos y luego se refugiaron en
el templo de Atenea. Aterrorizados, los troyanos vieron el prodigio como una seal del cielo
y creyeron que la diosa los haba castigado por haber profanado la ofrenda con la lanza.
No haca falta nada ms para que los troyanos creyeran la historia de Sinn, por eso
hicieron una brecha en la muralla y se llevaron el caballo a la ciudad en medio de grandes
festejos. Casandra profetizaba la catstrofe inminente, pero su destino era decir la verdad
sin ser creda. Una vez entrada la noche, mientras los troyanos dorman, Sinn abri el
caballo, sus compaeros salieron a matar a los guardias y dieron una seal al ejrcito
escondido en Tnedos cuyos integrantes regresaron, invadieron la ciudad, la saquearon y
la quemaron, en medio de la masacre de sus habitantes.4
La historia ha sido repetida con variaciones por escritores tardos como Quinto de
Esmirna, Higino y Juan Tzetzes.Apolodoro tambin da otros detalles: atribuye a Odiseo la
idea de construir el caballo, a Apolo el envo de las serpientes, as como una inscripcin
que el propio caballo portaba: En su regreso a la patria, los griegos dedican este caballo
a Atenea.6 Trifiodoro, en La toma de Ilin, dej la versin ms larga y elaborada que se
conoce, narrando un sinfn de detalles tanto de la construccin como del aspecto del
caballo, que, segn narra, era una obra de arte impresionante, dotada de belleza y gracia,
la cual suscitaba la admiracin de los troyanos. Tena el arns adornado de prpura, oro y
marfil, sus ojos estaban rodeados de piedras preciosas, y la boca con dientes blancos,
daba lugar a un canal abierto para la ventilacin interna, con el fin de que los guerreros no
muriesen asfixiados. El cuerpo era poderoso, y curvado como un barco, en tanto su cola
caa al suelo cubierto con grandes trenzas. Los cascos de bronce, con ruedas, sostenan
las piernas que parecan moverse. Tan hermosa y aterradora fue la creacin que Ares no
dudara en montarla si estuviera vivo. Para mantener a los hombres nutridos y que no
fracasaran en el momento decisivo, Atenea les dio ambrosa.7
Otros autores tardos, sin embargo, ofrecieron relatos de la historia completamente
diferentes a la tradicional. Dion de Prusa, en un discurso en el que defenda la tesis de que

los verdaderos vencedores de la contienda haban sido los troyanos, dijo que el caballo
haba sido una ofrenda autntica de los griegos a la Atenea troyana durante las
negociaciones de paz y que no haba soldados dentro, pero coincide en que los troyanos
tuvieron que derribar parte de las murallas para introducirlo en la ciudad y por eso se deca
que un caballo haba tomado la ciudad.8 Por otra parte, para Dares Frigio, el caballo no era
ms que una estatua que estaba esculpida en la puerta Escea y que fue la que abrieron
unos troyanos traidores a su patria para que entrara el ejrcito griego. 9

Hombres escondidos dentro del caballo[editar]

Las fuentes clsicas dan numerosas versiones acerca del nmero e identidad de los
guerreros que se escondieron dentro del caballo. Apolodoro los cifra en 50, pero luego
aade que el autor de la Pequea Ilada, poema perdido, afirmaba que eran
300010 (aunque podra ser un error de los cdices). Segn Tzetzes fueron 23; 11 Quinto de
Esmirna da treinta nombres y aade que eran an ms12 y otros autores mencionan otros
nombres. La recopilacin de los integrantes nombrados por los diversos autores abarca los
siguientes guerreros:

Odiseo

Cianipo

Eurpilo

Neoptlemo

Acamante

Demofonte

Filoctetes

Peneleo

Agapenor

Diomedes

Idomeneo

Podalirio

Anfidamante

Equin

Ifidamante

Polipetes

Anfmaco

Epeo

Leonteo

Talpio

Anticlo

Estnelo

Macan

Teucro

Antfates

Eumelo

Meges

Tersandro

Antmaco

Euralo

Menelao

Toante

yax el Menor

Euridamante

Menesteo

Trasimedes

Calcante

Eurmaco

Merones

Ylmeno

Interpretaciones[editar]
Aunque es posible que la guerra de Troya haya ocurrido,13 algunos estudiosos consideran
que el ncleo histrico de la leyenda es muy pequeo.14 En relacin con el famoso caballo,
la forma en que fue descrito por los antiguos es probable que sea nicamente una
invencin, pero tambin existe la posibilidad de que haya habido algn aparato real
caprichosamente transformado por la tradicin.15 16 En la Antigedad, el trmino caballo
haca referencia a una mquina de guerra, el ariete, muchas veces construido en forma de
animal. De hecho, los asirios usaban este tipos de armas y es muy posible que el ejemplo
haya sido tomado por los griegos.17 18 Tambin fue interpretado como una metfora de
unterremoto, una de las causas posibles apuntadas para la destruccin de la Troya
histrica, considerando que Poseidn era el dios de los caballos, del ocano y de los
terremotos.19 20
Otra sugerencia es que el caballo era en realidad un barco, y se observ que los trminos
utilizados para poner a los hombres en el interior eran los mismos que se describen

durante el embarque de la tripulacin en el navo.21 22 En la tradicin clsica, los navos son

muchas veces denominados como caballos de mar. En la Odisea, Penlope,
lamentando la ausencia de Telmaco, dice: Por qu mi hijo me dej? Qu haba que
hacer para viajar en los barcos de puntiaguda proa que son para los hombres como
caballos en el mar?.23 En la comedia Rudens, Plauto dice: Se le llevar por los caminos
azules (el mar) en un caballo de madera (barco).24

Iconografa y cultura popular[editar]

Relieve asirio que representa una mquina de guerra asediando una ciudad amurallada, 865-860 a.
C.

Una de las ms antiguas representaciones del caballo de Troya se encuentra en el

llamado Vaso de Mikonos, que data del siglo VII a. C.25 Otras creaciones de la poca
Arcaica son una fbula de bronce de Beocia26 27 y fragmentos de cermica procedentes
de Atenas y Tinos que son de diseo similar y pueden haberse basado en prototipos
mucho ms antiguos, como los aparatos de guerra asirios, que posean ruedas y ventanas
y tenan un diseo zoomrfico y cuadrpedo. Los guerreros se colocaban en el centro de
la mquina y usaban su cabeza elevada para escalar murallas, mientras que otros
manejaban unariete en la parte inferior.
El motivo se volvi popular en el arte de la Grecia clsica, helenstica y tambin en el
arte romano, siendo encontrado con innumerables variantes en vasos, relieves, joyas y
pinturas, incluyendo iluminados, como en el manuscrito Vergilius Romanus.28 En Atenas,
existi una gigantesca estatua en bronce del famoso caballo, obra deEstrongilin,
instalada en el santuario de Artemisa Brauronia de la acrpolis, en la que se representaban
varios guerreros en su interior, de la cual an sobrevive el pedestal, mientras
que Polignoto lo pint en un gran mural en la Stoa Pecile.29 30

La entrada del caballo en Troya, pintura de Giovanni Domenico Tiepolo, 1773. Galera Nacional de
Londres.

A lo largo de los siglos siguientes, el caballo de Troya continu proporcionando inspiracin

a muchos artistas y escritores, constituyendo uno de los temas ms trabajados de la
tradicin pica,31 19 expandindose, inclusive, en regiones asiticas como Arabia y el norte
de la India, que estaban sujetas a la influencia clsica. 32 33 Paul Barolsky lo considera el
ancestro de todos los monumentos ecuestres.34 Entre los autores ms reconocidos que
dejaron obras sobre l, se encuentran Livio Andrnico, Nevio, Giovanni Domenico
Tiepolo,35 Giulio Romano36 y Lovis Corinth.37 Asimismo, continu siendo un tema para
artistas y escritores contemporneos de todo el mundo, como por ejemplo Christopher
Morley,38 Archibald MacLeish,39 George Nick,40Christopher Wool,41 Willie Bester,42 Heri
Dono,43 Marcos Ramrez ERRE,44Epaminondas Papadopoulos,45 Charles Juhasz, y dio
nombre a un grupo de artistas de Puerto Rico, involucrados en el activismo
social.46 Caballo de Troyaes el ttulo de una serie de nueve libros escritos por Juan Jos
Bentez que alcanz un considerable xito internacional. 47
En el siglo XVII, el ingls John Bushnell quiso realizar una reconstruccin hipottica del
caballo, que sera tan grande que seis hombres sentados alrededor de una mesa cabran
dentro de su cabeza, pero termin siendo destruida por una tempestad antes de ser
terminada.48 Otra fue creada en 1707 para una presentacin fastuosa de una obra de
teatro deElkanah Settle, midiendo cerca de 5 m de altura, completamente dorada y de
donde saldran cuarenta guerreros armados.49 Actualmente, existen en el mundo varios
caballos de Troya modernos, con apariencias mltiples. Entre ellos se puede citar el
de anakkale, creado para la pelcula de Troya, de Wolfgang Petersen,50 el de Praga,51 el
del centro comercial del hotel Caesars Palace en Las Vegas52 y el que se encuentra en la
frontera entre Mxico y Estados Unidos.44
La expresin caballo de Troya se ha vuelto muy popular en la cultura actual, siempre
con el sentido de un dispositivo astuto, engaoso y peligroso, que posibilita la penetracin
disimulada en el territorio enemigo53 y es el origen de la expresin un presente griego,
cuando se recibe algo de apariencia agradable que puede producir
consecuencias.54Denomina una tcnica de negociacin basada en la mentira, 55 una
estrategia militar engaosa utilizada en muchos de los ejrcitos desde la Antigedad, 56 57 y
un tipo de software malicioso informtico que se disfraza de un programa legtimo para
poder acceder a las mquinas de los usuarios e iniciar la destruccin de los programas
instalados, as como robar contraseas y operar datos de otras naturalezas. 58 Tambin ha
sido un tema de chistes y caricaturas59 60 61 as como de juguetes para los nios.62 63

Caballo de Troya (Virus Informtico). Programa creado y que opera bajo un

aspecto inofensivo y til para el usuario, afecta negativamente al sistema al
incluir un mdulo capaz de destruir datos. Junto con los dems virus es uno de
los tipos de programas dainos ms conocidos y utilizados.

Contenido
[ocultar]

1 Concepto

2 Caractersticas

3 Acciones de los caballos de Troya

4 Clasificaciones

5 Mtodos de propagacin

6 Deteccin de un caballo de Troya

7 Mtodos de proteccin

8 Tendencias

9 Fuentes

10 Vea Tambin

Concepto
Programa que habitualmente ejecuta una o varias funciones deseadas por un
usuario y de manera oculta realiza acciones desconocidas, no deseadas por
ste, lo que recuerda la historia sobre la entrada de los griegos a la protegida
ciudad de Troya.
Se diferencian de otros virus en que estos ltimos infectan cualquier programa
del ordenador sin que el programa anfitrin tenga nada que ver con el virus.
Adems, al contrario de los demas virus, los Caballos de Troya generalmente
no se reproducen

Caractersticas
Generalmente los Caballos de Troya son utilizados para robar informacin, en
casos extremos, obtener el control remoto de lacomputadora, de forma que el
atacante consiga acceso de lectura y escritura a los archivos y datos privados
almacenados, visualizaciones de las pantallas abiertas, activacin y
desactivacin de procesos, control de los dispositivos y la conexin a
determinados sitios de Internet desde la computadora afectada como los
pornogrficos.
Las computadoras infectadas se convierten en estaciones de trabajo remotas
con todas o la mayora de sus prestaciones favorables para el atacante. En
algunas ocasiones limitan su uso a robar las claves de acceso a servicios como
el Chat (IRC), FTP, Web (HTTP), correo o registrar los caracteres tecleados
con el fin de encontrar posibles palabras claves, las cuales podrn ser
posteriormente utilizadas en acciones fraudulentas.
Entre otras de las acciones est, utilizar las computadoras afectadas para
lanzar ataques de negacin de servicios a sus vctimas, las cuales son
habitualmente servidores de Internet o de correo. Las trazas que dejan estos
ataques llevan a las computadoras desde donde fueron lanzados, por lo que
sus utilizadores pueden ser inculpados de delitos no cometidos. Tambin,
existen algunos cdigos diseados para

desactivar antivirus y cortafuegos (firewalls), de manera que las computadoras

afectadas resultan ms sensibles a nuevos ataques.
Su procedimiento tiene como origen la insercin de un cdigo no autorizado
que realiza acciones no deseadas y desconocidas.

Acciones de los caballos de Troya

Al inicio de su comienzo estaban formados por un componente colocado dentro
de un programa de amplio uso, que contena toda su funcionalidad asociada a
la prdida de la informacin almacenada en los discos duros.
Actualmente estos programas estn formados por dos componentes:
el Servidor y el Cliente. El primero es el que se instala de manera oculta en la
PC afectada. Generalmente se copia en el disco y crea las condiciones para
ser ejecutado cada vez que el sistema sea iniciado.
Ejemplo

Modificando registros del Sistema que se utilizan durante su inicio,

como:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
\RunOnce \RunServiceso \RunServicesOnce

Alterando archivos de inicio, tales como: Win.ini, System.ini, Wininit.ini,

Winstart.bat, Autoexec.bat y Config.sys

Copindose como EXPLORER.EXE en la carpeta \Men

Inicio\Programas\Inicio o en C:\ en el caso de Windows 95, Windows 98,
ME porque en estas versiones del Sistema Operativo Windows se da
prioridad a la ejecucin del archivo EXPLORER.EXE que se encuentre en la
raz del disco a aquel que se localice en C:\Windows\EXPLORER.EXE, que
es su posicin estndar.

Cuando acciona, el Servidor de forma encubierta puede abrir puertos de

comunicacin y quedarse en estado de escucha para acoger las rdenes que
le enva el Cliente, de forma remota desde cualquier sitio en Internet.
El Cliente es el componente que se ejecuta en la PC del atacante, que lo utiliza
como una herramienta para enviar las rdenes al Servidor y consiste
generalmente en una ventana similar a la de muchas de las aplicaciones que
conocemos.

Clasificaciones
Puertas traseras (Backdoors)
Aquellos que atacan las puertas traseras son el tipo de troyanos ms peligroso
y difundidos, estos son utilitarios con administracin remotay someten los
equipos infectados a un control externo por medio de la red local o Internet. Su
forma de funcionamiento es parecido a la de los programas de administracin
remota (a distancia) usados por los administradores de sistemas, lo que hace
que sea dificultoso su deteccin, stas puertas traseras se instalan sin que el
usuario lo sepa y sin su consentimiento, cuando se ejecuta, monitorea el
sistema sin que el usuario lo perciba y el equipo de la vctima queda a
disposicin del agresor.
Troyanos que roban contraseas
Son aquellos que se proponen a robar contraseas, generalmente para entrar
al sistema de los equipos de las vctimas, buscan los archivos del sistema que
contienen informacin privada como contraseas y nmeros de acceso
a Internet para luego enviar esta informacin a una direccin de correo
electrnico contenida en el cuerpo del troyano. La informacin secuestrada es
usada por el atacante o usuario del programa ilegal.
Algunos troyanos pueden robar otro tipo de informacin:

Detalles de la configuracin del sistema (memoria, espacio libre, detalles

del sistema operativo) Detalles del cliente de correo electrnico

Direcciones IP

Detalles de inscripcin

Contraseas de juegos en lnea

Clickers troyanos
Estos envan los equipos de otros usuarios a determinados sitios web o
recursos de Internet, tambin envan a los navegadores determinadas
instrucciones o reemplazan los archivos del sistema dnde se guardan las
direcciones de Internet
Suelen emplearse para conducir a la vctima hacia un recurso infectado, donde
ser atacada por otros programas maliciosos (virus o troyanos) o para
organizar ataques contra el servidor o un sitio web especificado
Descargadores troyanos (Downloaders)

Son aquellos que descargan e instalan nuevos programas dainos en el equipo

de otro usuario. Seguidamente el downloader ejecuta los nuevos programas
maliciosos o los registra para ser ejecutados de forma automtica, de
conformidad con las exigencias del sistema operativo local. Esto se realiza sin
consentimiento del usuario y sin que este d cuenta
Proxies troyanos
Funcionan como servidores Proxy y proporcionan acceso annimo a Internet
desde los equipos de las vctimas.

Mtodos de propagacin
Las vas ms frecuentes son los anexos recibidos por correo electrnico, la
transferencia de archivos durante los servicios de conversacin en tiempo real
(chat) y de mensajera electrnica instantnea, la descarga de software libre o
desconocido, principalmente desde sitios de Internet:, as como por los
recursos compartidos en una red local.
Adems, las aplicaciones clientes de correo electrnico y navegadores de
Internet, permiten la ejecucin de cdigos contenidos en mensajes que tienen
formato HTML con slo abrirlos.
El correo electrnico es muy usado, por lo que es muy fcil para un atacante
lograr que el receptor del mensaje abra y ejecute un archivo anexo, pues slo
necesita que ste posea como remitente el nombre o direccin de una persona
conocida y un texto atractivo. Los anexos comnmente pueden referirse a
juegos, refrescadores de pantalla, tarjetas de felicitaciones y tienen extensiones
correspondientes a archivos ejecutables o de doble extensin.

Deteccin de un caballo de Troya

Esta depende de las acciones que realice este cdigo y se manifiesta a travs
de diferentes sntomascomo:

Pantalla o ventanas con mensajes poco usuales.

Sin justificacin aparecen, desaparecen y se modifican archivos.

Comportamientos poco habituales en el funcionamiento de

la computadora, como: modificaciones en el escritorio, refrescadores de

pantalla, la unidad de CD-DVD, intercambio de las funciones de los botones

del ratn, alteracin del volumen del reproductor de sonido.

Se activan o desactivan ventanas en la pantalla.

Presencia de ficheros .TXT o sin extensin en el disco duro,

preferiblemente en C:\.

Lentitud en el Sistema Operativo, bloqueos continuos o se reinicia el

sistema sin que se conozcan las causas, programas que inesperadamente
comienzan su ejecucin o la concluyen.

El navegador de Internet accede por s solo a determinados sitios.

El navegador de Internet o el cliente de correo no reconoce nombre y

contrasea o indica que ya est siendo utilizado.

En la carpeta de enviados del cliente de correo electrnico se muestran

mensajes no conocidos.

Mtodos de proteccin
Existen medidas de proteccin que sin tener amplios conocimientos tcnicos
pueden ser aplicadas para protegernos de estos programas malignos en
general, como:

No ejecutar programas de origen desconocido, independientemente de

las vas por las cuales los recibamos, aun cuando aparenten ser de fuentes
conocidas. En caso de extrema necesidad, previa comprobacin del envo
por parte del emisor puede someterse a cuarentena auxilindonos
de antivirus y programas identificadores actualizados.

No enviar anexos, ni transferir archivos si no son solicitados y en este

ltimo caso, revisar antes de enviarlos.

Descargar aplicaciones desde sitios seguros

Mantener los sistemas actualizados, de ser posible con la ltima versin
oficial de las aplicaciones que se utilizan, sobre todo las que se usan para
acceder a los servicios de Internet, correo electrnico, mensajera
instantnea y conversaciones en tiempo real, entre otros.

Comprobar la existencia de parches que solucionen vulnerabilidades en

el Sistema Operativo.

Auxiliarse de herramientas que permiten comprobar las vulnerabilidades,

e instalacin de los parches correspondientes.

Utilizar aplicaciones y comandos del Sistema Operativo que permitan

conocer el uso de los puertos.

Tener instalada y activa una aplicacin cortafuegos (firewall), as como

antivirus y programas identificadores de virus actualizados.

Tendencias
Habitualmente, se piensa que los troyanos son menos peligrosos que
los gusanos, pues generalmente no pueden reproducirse o transferirse por si
mismos. Esto es algo errneo, la mayora de los programas malignos actuales
combinan diversos mecanismos y muchos de los gusanos llevan troyanos.
Los troyanos se tornan cada vez ms sofisticados. Estos se expanden con
mayor rapidez y surgen nuevas versiones que son diferentes a las otras,
aunque estn hechas con un mismo objetivo: saquear informacin financiera y
confidencial.
Varios de estos programas son keyloggers, que remiten datos referentes las
teclas pulsadas al autor o usuario del programa. Las versiones ms complejas
brindan un control casi total sobre los equipos vctimas, remitiendo sus datos
a servidores remotos y recibiendo y ejecutando instrucciones.
En ocasiones los equipos infectados son agrupados en una red zombi y con
determinada continuidad utilizan canales de mensageria instantanea o sitios
Web donde se pone nuevas instrucciones.

Qu es un virus?
Es necesario definir y conocer al enemigo, a menudo se suele utilizar el trmino virus para designar
diferentes tipos de comportamientos maliciosos que se transmiten por Internet. Todos los das surgen
nuevos virus, que pueden llegar a propagarse en los ordenadores de todo el mundo en cuestin de
segundos, o pueden quedar en un intento fracasado de protagonismo por parte de sus creadores. En
cualquier caso se trata de una amenaza de la que ningn ordenador esta libre. [ALF04]
Un virus es un programa o secuencia de instrucciones que un ordenador es capaz de interpretar y
ejecutar. Con relacin a este concepto el Ingeniero Edgar Guadis Salazar aade que "es aplicable para
cualquier programa maligno". Aunque todo virus ha de ser programado y realizado por expertos
informticos, argumenta tambin el Ingeniero que: "No necesariamente, en INTERNET
hay herramientas que permiten generar virus de una manera sumamente sencilla, solo pulsando unos
botones, como haces al calcular algo con la calculadora" [GAB00, GUADIS*]
Incluso cualquiera que vea el cdigo fuente de un P.M escrito en lenguaje Visual Basic Script puede hacer
una variacin sencilla y generar una variante, sin tener grandes conocimientos del lenguaje, es casi
nemotcnico y puedes encontrar ayuda fcil en INTERNET. En esta red hay muchos cdigos fuentes de
virus, el trabajo mayor lo pasa el creador original, el resto realmente tiene que hacer muy poco para
generar una variante. Su misin principal es introducirse, lo ms discretamente posible en
un sistema informtico y permanecer en un estado de latencia hasta que se cumple la condicin
necesaria para activarse. [GAB00]
Las posibles vas de transmisin de los virus son: los discos, el cable de una red y el cable telefnico.
Normalmente encontramos en estas caractersticas especiales y comunes en todos ellos: son muy
pequeos, casi nunca incluyen el nombre del autor, ni el registro, ni la fecha. Se reproducen a si mismos y
controlan y cambian otros programas. Al problema no se le tomo importancia hasta que llego a compaas
grandes y de gobierno entonces se le busco solucin al problema. [VIL04]
Decimos que es un programa parsito porque el programa ataca a los archivos o sector es de "booteo" y
se replica a s mismo para continuar su esparcimiento. [ MAN97 ]
Existen ciertas analogas entre los virus biolgicos y los informticos: mientras los primeros son agentes
externos que invaden clulas para alterar su informacin gentica y reproducirse, los segundos son
programas-rutinas, en un sentido ms estricto, capaces de infectar archivos de computadoras,
reproducindose una y otra vez cuando se accede a dichos archivos, daando la informacin existente
en la memoria o alguno de los dispositivos de almacenamiento del ordenador. [ MAN97 ]
Tienen diferentes finalidades: Algunos slo 'infectan', otros alteran datos, otros los eliminan, algunos slo
muestran mensajes. Pero el fin ltimo de todos ellos es el mismo: PROPAGARSE. [ MAN97 ]
Es importante destacar que "el potencial de dao de un virus informtico no depende de su
complejidad sino del entorno donde acta". Marcelo Manson
En cuanto a este criterio, plantea el compaero Guadis: "Hay que tener mucho cuidado con las
definiciones. Un virus es solo un tipo particular de programa maligno, pero todos tiene que hablar de una
manera u otra de la replica o infeccin, pues por eso se llaman virus" [GUADIS*]
La definicin ms simple y completa que hay de los virus corresponde al modelo D. A. S., y se
fundamenta en tres caractersticas, que se refuerzan y dependen mutuamente. Segn ella, un virus es un
programa que cumple las siguientes pautas: [ MAN97 ]
Es daino

Es autor reproductor

Es subrepticio
El hecho de que la definicin imponga que los virus son programas no admite ningn tipo de observacin;
est extremadamente claro que son programas, realizados por personas. Adems de ser programas
tienen el fin ineludible de causar dao en cualquiera de sus formas. [MAN97]
Edgar Guadis Salazar: Ingeniero Informtico, Especialista del Instituto
de Seguridad Informtica (SEGURMATICA), ubicado en el Municipio Centro Habana. Ciudad de la
Habana. Cuba

Licenciado Marcelo Manson: Extrado de un artculo publicado en 1997 en Monografas.Com

Asimismo, se pueden distinguir tres mdulos principales de un virus informtico: [ MAN97 ]
Mdulo de Reproduccin

Mdulo de Ataque

Mdulo de Defensa
El mdulo de reproduccin se encarga de manejar las rutinas de "parasitacin" de entidades
ejecutables (o archivos de datos, en el caso de los virus macro) a fin de que el virus pueda ejecutarse
subrepticiamente. Pudiendo, de esta manera, tomar control del sistema e infectar otras entidades
permitiendo se traslade de una computadora a otra a travs de algunos de estos archivos. [ MAN97 ]
El mdulo de ataque es optativo. En caso de estar presente es el encargado de manejar las rutinas de
dao adicional del virus. Por ejemplo, el conocido virus Michelangelo, adems de producir los daos que
se detallarn ms adelante, tiene un mdulo de ataque que se activa cuando el reloj de la
computadora indica 6 de Marzo. En estas condiciones la rutina acta sobre la informacin del disco rgido
volvindola inutilizable. [ MAN97 ]
El mdulo de defensa tiene, obviamente, la misin de proteger al virus y, como el de ataque, puede estar
o no presente en la estructura. Sus rutinas apuntan a evitar todo aquello que provoque la remocin del
virus y retardar, en todo lo posible, su deteccin. [ MAN97 ]
1.2- Surgimiento y evolucin de los virus.
En 1949, el matemtico estadounidense de origen hngaro John Von Neumann, en el Instituto de
Estudios Avanzados de Princenton (nueva Jersey), planteo la posibilidad terica de que un programa
informtico se reprodujera ponindose en evidencia en su ensao titulado "Theory and Organization of
Complicated Automata" (Teora y Organizacin de un Autmata Complejo). [VIL04]
Esta teora se comprob experimentalmente en la dcada de 1950 en los Laboratorios Bell, donde se
desarrollo un juego llamado Core Wars que los jugadores creaban minsculos programas informticos
que atacaban y borraban el sistema del oponente e intentaban propagarse a travs de el. En 1970 John
Soch y John Up elaboraron, en el Palo Alto Research Center (PARC) de Seros, programas que se auto
reproducan y que servia para controlar la salud de las redes informticas. Uno de ellos se llamo "El
gusano vampiro" porque se esconda en la red y se activaba por las noches. El nombre fue tomado de
una novela de ficcin llamada "The Shockwave Rider" y en la cual un programa llamado gusano o "tenia"
se reproduca hasta el infinito y no poda ser eliminado. [VIL04]
En 1983, Ken Thompson da a conocer las "Guerras del Ncleo" y anima a la experimentacin con esas
pequeas "criaturas lgicas". La revista Scientific American dio difusin a las "Guerras del ncleo", lo que
provoc que muchos de sus lectores experimentaran con ellas, con lo que aparecieron los primeros virus
experimentales. En 1983 el ingeniero elctrico estadounidense Fred Cohen, que entonces era un
estudiante universitario, acuo el termino de "virus" para describir un programa informtico que se
reproduca a si mismo. De hecho esta historia se remonta al 3 de noviembre de 1983, que fue cuando el
primer virus fue concebido como un experimento para ser presentado en un seminario semanal de
Seguridad Informtica. El concepto fue introducido por el propio Cohen y el nombre virus fue dado por Len
Adleman. Tuvieron que pasar 8 horas de trabajo en una Vax 11/750 hasta el 10 de noviembre de ese ao,
en que despus de obtener las autorizaciones necesarias y concluir cinco experimentos el virus fue
mostrado. [VIL04]
En el ao 1985 aparecen los primeros virus de MS-DOS como los clsicos "Brain" y "Pin-Pon". Su
propagacin en aquellos tiempos era lenta, e disco a disco, cuando las mayoras de las maquinas de
entonces ni siquiera contaban con disco duro. Los discos se los pasaban unos amigos a atroz para
intercambiarse programas y la capacidad de expansin de los virus eran limitadas. [VIL04]
En este mismo ao aparecieron los primeros caballos de Troya, disfrazados como un programa de mejora
de grficos llamados EGABTR y un juego llamado NUKE-LA. Pronto le sigui un sin nmeros de virus
cada vez mas complejos. [VIL04]
En 1986 apareci el virus llamado "Brain" naci en Pakistan, de la mano de dos desarrolladores llamados
Basit y Amjads, que crearon u programa llamado Ashar, no daino, que mas tarde evoluciono en el Brain,
virus que infectan los antiguos discos de 5,25 pulgadas. Este virus sobrescriba el sector de arranque y
desplazaba el sector de arranque original a otra posicin del disco. Aunque el virus apenas provocaba
daos llamaba la atencin su capacidad de ocultacin ya que era el primer programa que utilizaba la

tcnica invisible haciendo que el disco tuviera una apariencia normal. Por esta razn, el virus no fue
descubierto has un ao despus, en 1987. [VIL04]
El 2 de noviembre de 1988 Internet, entonces an llamada ARPAnet, sufri un grave ataque que provoc
que toda la red se colapsara a causa de un gusano que se coma la memoria de todos los ordenadores
conectados a la red y ralentizaba su funcionamiento. En tres horas, un gusano se hizo conocer por
prcticamente todos los administradores de sistemas de Estados Unidos. En pocas horas se descubra
que las copias del gusano llegaban y se difundan a travs del correo electrnico, pero el gusano ya haba
infectado los ordenadores de un gran nmero de universidades y de importantes instituciones cientficas
como la NASA, el laboratorio de Inteligencia Artificial del MIT (Massachusetts Institute of Technology), la
red del Departamento de Defensa norteamericano (MILNET), etc. [@1]
Toda la red Internet estaba afectada, y las soluciones tardaran varios das en llegar. El coste de la
erradicacin del gusano ascendi a un milln de dlares, unidos a los daos provocados por el colapso de
la red. Se descubri que el gusano afectaba a gestores de correo electrnico Sendmail, programa que a
causa de un error permita que el gusano fuera enviado junto con los propios mensajes de ordenador a
ordenador. Tambin se supo que el gusano no provocaba dao alguno a los datos. [@2]
Los tcnicos de Berkeley crearon un parche para el error del Sendmail que solucion finalmente la
infeccin. Finalmente se detuvo al autor, Robert Morris Jr., un graduado de Harvard de 23 aos que
reconoci su error y lo calific de "fallo catastrfico", ya que su idea no era hacer que los ordenadores se
ralentizaran. Curiosamente, Morris era hijo de Robert Morris, uno de los tres programadores de las
"guerras del ncleo" sobre las que ya hemos hablado. De hecho, Morris Jr. utiliz parte del cdigo
utilizado por su padre en las "guerras del ncleo" muchos aos atrs. El 13 de enero de 1989, viernes, se
produjo la primera infeccin de una importante institucin, lo que produjo que la prensa convirtiera los
avisos de las casas antivirus en un autntico acontecimiento. [@3]
-1989 aparece el primer antivirus heurstico, y los primeros virus con nuevas tcnicas de
ocultamiento. En 1989 apareci el primer antivirus heurstico, capaz de detectar, no slo los virus que ya
eran conocidos, sino aquellos virus que surgieran en el futuro y que reprodujesen patrones sospechosos.
La heurstica monitoriza la actividad del ordenador hasta el momento en que encuentra algo que puede
ser identificado con un virus. Frente a esta innovacinsurgieron virus con nuevas formas de ocultacin,
como el full stealth y surgieron nuevas tcnicas para acelerar la velocidad de las infecciones. Esto se
logr haciendo que los virus atacasen los archivos que fueran abiertos y no slo aquellos que se
ejecutaban. Un ejemplo de esta poca son Antictne, alias Telefnica, el primer virus espaol que se
extendi por todo el mundo, 4096, alias FRODO, el primer virus en usar el efecto tunneling, una tcnica
utilizada posteriormente por los propios antivirus para sistemas anti-stealth. En el mbito tcnico, fue todo
un fenmeno entre los expertos en virus. [@3]
1990 Virus de infeccin rpida provenientes de Bulgaria: el virus Dark Avenger.
En 1990 apareci gran cantidad de virus provenientes de Bulgaria. El mximo representante de esa
nueva ola fue Dark Avenger, uno de los ms famosos autores de virus, que introdujo los conceptos
de infeccin rpida (el virus se oculta en la memoria e infecta, no slo los archivos ejecutados, sino
tambin los ledos, extendiendo la infeccin a gran velocidad), y dao sutil (por
ejemplo, el virus 1800 sobreescriba ocasionalmente un sector del disco inutilizando la informacin, algo
que el usuario no es capaz de detectar fcilmente hasta algn tiempo despus). Adems, Dark Avenger
utilizaba las BBS para infectar los programas antivirus shareware facilitando la rpida extensin de sus
virus. [@2]
1991 Aparecen los primeros paquetes para la construccin de virus
En 1991 surgieron los primeros paquetes para construccin de virus, lo que no hizo sino facilitar la
creacin de virus y aumentar su nmero a mayor velocidad. El primero fue el VCL (Virus Creation
Laboratory), creado por Nowhere Man, y ms tarde apareci el Phalcon/Skism Mass-Produced Code
Generator, de Dark Angel. Estos paquetes facilitaban la tarea de crear un virus a cualquier usuario de
ordenador medianamente experimentado, as que en unos pocos meses surgieron docenas de virus
creados de esta forma. A mediados de la dcada de los noventa se produjeron enormes cambios en el
mundo de la informtica personal que llegan hasta nuestros das y que dispararon el nmero de virus en
circulacin hasta lmitesinsospechados. Si a finales de 1994 el nmero de virus, segn la Asociacin
de Seguridad Informtica (ICSA), rondaba los cuatro mil, en los siguientes cinco aos esa cifra se
multiplic por diez, y promete seguir aumentando. La razn principal de este desmesurado crecimiento es
el auge de Internet, que en 1994 ya comenzaba a popularizarse en Estados Unidos y un par de aos ms
tarde empezara a generalizarse en el resto del mundo. Para principios del nuevo milenio, la cifra de
personas que se conectan habitualmente a la red se estima en trescientos millones. Por lo tanto, las
posibilidades de creacin y de expansin de los virus se han desarrollado hasta lmites inimaginables

hace tan solo unos aos. En primer lugar, porque los creadores de virus tienen a su disposicin toda la
informacin y las herramientas que necesitan para llevar a cabo sus creaciones. Tambin pueden entrar
en contacto con otros programadores. Finalmente, pueden hacer uso de toda una serie de herramientas
cuando desean dar a conocer sus criaturas a un mercado potencial de varios cientos de millones de
usuarios.
El correo electrnico es probablemente el medio "estrella" de difusin de virus, aunque hay otras muchas
vas mediante las cuales un ordenador puede llegar a infectarse por medio de la red.
Los grupos de noticias son un medio que se suele utilizar habitualmente por la facilidad que supone enviar
un mensaje con un fichero adjunto infectado a un grupo ledo por cientos de miles, tal vez millones de
personas. La infeccin est garantizada. [@4]
1995 El nacimiento de los virus de Macro: el virus Concept.
Microsoft Windows 95 trajo toda una serie de novedades al mundo de los virus. En primer lugar, los virus
de sector de arranque dejaron de tener efectividad con el nuevo sistema operativo. Sin embargo,
Windows 95 y el paquete ofimtico Office 4.2 (tambin de Microsoft) propiciaron el nacimiento de los virus
de macro, virus que hacen uso del lenguaje de comandos de los programas del paquete ofimtico para
configurar nuevos virus. Los virus de macro, se han extendido muy fcilmente porque los archivos que los
incluyen son, en apariencia, archivos de datos (que, en teora, no era posible infectar), aunque incluyen
las secuencias de comandos de macro que los convierten en otra amenaza ms para nuestro ordenador.
En 1995 apareci el primer virus "salvaje", llamado Concept. El virus contiene 5 macros y afecta a
aquellos archivos que son archivados con el comando "Guardar como...". De este virus existen
numerosas variantes y adems fue convertido al formato de Word 97 por lo que su difusin ha sido
imparable y an hoy es causa de numerosas infecciones. Hoy da los virus de macro son los ms
peligrosos y extendidos, y gracias a Internet han cobrado mayor relevancia si cabe. Hoy da, un 64 % de
los desastres informticos estn causados por virus de macro, lo que les convierte en la mayor amenaza
contra la seguridad informtica del mundo. [@4]
1997 Aparece el virus Lady Di
En 1997 apareci un nuevo virus de macro sin caractersticas especiales ni efectos dainos destacables,
pero que tuvo una amplia repercusin en la prensa, debido a que tiene el anecdtico inters de haber sido
escrito en memoria de la princesa Diana Spencer, fallecida el 31 de agosto de 1997 en accidente de
trfico en pleno centro de Pars. El efecto del virus es lareproduccin en pantalla, el da 31 de cada mes,
de la letra de la cancin Candle In The Wind, escrita por Elton John originalmente en memoria de Marilyn
Monroe, pero que fue reescrita especialmente para el funeral de la princesa en la abada de Westmister
de Londres. [@1]

1998 Aparecen los primeros virus de macro para Excel y Access

Excel es el programa de hoja de clculo ms utilizado del mundo y Access la base de datos ms utilizada.
Naturalmente, tarde o temprano tenan que ser objeto de atencin por parte de los creadores de virus. El
virus Laroux fue el primer virus de macro para Excel y ha sido ampliamente copiado e imitado. An hoy se
sita entre los virus que provocan ms infecciones, tal vez porque su carga daina es nula. El primer virus
de Access fue el AccessiV. El virus reemplaza el macro autoexec y copia mdulos adicionales a la base
de datos. [@1]
Agosto de 1998 Aparece el primer virus de Java: el virus Strange Brew
El virus Strange Brew es el primer virus conocido de Java. Este virus es capaz de replicarse nicamente
en caso de que se le permita acceso a los archivos del disco, es decir, que slo funcionar bajo ciertas
condiciones como aplicacin Java, y no como applet. No es en absoluto peligroso e infectarse por medio
de l es muy difcil. En definitiva, las posibilidades de extensin de este primer virus de Java son muy
limitadas. [@1]
1999 Aparecen los virus de tercera generacin: los virus de Internet
1999 fue un ao decisivo en el fenmeno vrico, ya que supuso la aparicin de la llamada tercera
generacin de virus informticos. La primera generacin fue la de los virus convencionales (virus
de archivo, virus del sector de arranque, etc.), la segunda apareci en 1995 con los virus de macro y la
tercera ha aparecido en 1999 con todos los virus capaces de viajar por medio de Internet, virus que no
son pasivos en su replicacin, sino que estn diseados para explotar los recursos de la red para llevar a
cabo una rpida propagacin.
Ejemplares como Melissa, Happy99 o Explore. Zip son slo ejemplos de lo que puede ser un virus de
nueva generacin. El virus Happy99 fue el primer gusano de correo electrnico que adquiri notoriedad
a principios del ao 1999. El virus I-Worm.ExploreZip (tambin llamado Zipped.Files) es probablemente el
ms peligroso de los gusanos del correo electrnico. Surgi a mediados de junio de 1999 y en pocos das
haba infectado numerosas redes corporativas y miles de ordenadores en todo el mundo. La infeccin se
inici en los grupos de noticias, donde el autor del virus public un mensaje con una copia. [@2]
Mayo 2000 VBS/Loveletter alias "ILOVEYOU" el gusano con mayor velocidad de propagacin
de la historia
VBS/LoveLetter alias "ILOVEYOU" es un gusano creado en el lenguaje VBS (Visual Basic Script) que
se enva por IRC (Chat) y correo electrnico. Miles de usuarios de todo el mundo entre los que se
incluyen grandes multinacionales e instituciones pblicas se vieron infectados por este gusano. El virus I
LOVE YOU llega al usuario en un correo electrnico que tiene por Asunto: "ILOVEYOU" e incluye un
fichero llamado "LOVE-LETTER-FOR-YOU.TXT.vbs". La clave de la rpida propagacin de este virus,
est en que utiliza la libreta de direcciones de Outlook para reenviarse a todas las direcciones que se
encuentran en ella. Las consecuencias de este virus y sus variantes fueron ms de 3 millones de
ordenadores infectados, causando prdidas en todo el mundo que superan los 2.000 millones de dlares.
A esta cifra hay que aadir la que apunta Computer Economics: 6.700 millones de dlares debidos al
descenso registrado en la productividad. Las estadsticas confirmaron que el sector corporativo fue el ms
afectado, tanto en el aspecto Cuantitativo-nmero de infecciones, cmo en el cualitativo daos derivados
de la infeccin. En dichos entornos VBS/LoveLetter, adems de borrar archivos en los PCs, afect a
los servidores de correo que sufrieron colapsos por la actividad del gusano. De hecho, algunos servidores
quedaron temporalmente fuera de servicio para as evitar que siguiera propagndose, lo que implic la
paralizacin de la actividad. [@2]
Junio 2000 VBS/Timofonica, un virus que enva mensajes a mviles
VBS/Timo fnica es un virus de origen espaol realizado en Visual Basic Script, y que al igual
que el virus ILOVEYOU utiliza la libreta de direcciones de Outlook para reenviarse a todas las
direcciones que se encuentran en ella. Una vez ejecutado, el virus manda un mensaje a mviles de
telefnica, cuyo nmero genera de manera aleatoria, utilizando la direccin correo.movistar.net. El virus

tambin crea un troyano que lleva por nombre Cmos.com, que se ejecutar la siguiente vez que se
reinicie el equipo impidiendo que el equipo pueda volver a arrancar. [@1]
Junio 2000 Un nuevo y complejo gusano, VBS/Life_stages, que utiliza tcnicas de ocultamiento y
posee una gran capacidad de propagacin
VBS/Life_stages es un gusano que emplea tcnicas de ocultacin y posee una gran capacidad de
propagacin, ya que se transmite a travs de correo electrnico; unidades de red, e IRC (Canales de
Chat). [@4]
Ver Anexos1
Este virus se destaca por su complejidad. Utiliza el formato SHS (Shell Scrap) de empaquetado con
el objetivo de engaar al usuario ya que Windows, por defecto, no muestra su extensin real. Adems,
para dificultar su estudio y deteccin por parte de los antivirus, el cdigo malicioso est encriptado. [@4]
Se reenva por correo electrnico en clientes de Outlook, a todos los contactos que encuentra en la
libreta de direcciones del usuario cuyo ordenador ha infectado, siempre y cuando el nmero de contactos
sea menor que 101. Si la cifra es mayor, escoge, aleatoriamente, 100 direcciones y se enva en un correoe que tiene las caractersticas anteriormente mencionadas. Utiliza una tcnica de ocultacin para engaar
al usuario y proceder a la infeccin del ordenador. En concreto, y aunque el fichero adjunto que enva
tiene la extensin "SHS" se aprovecha de que, por defecto, no se muestre al usuario dicha extensin. Por
el contrario, el fichero aparecer como "TXT", junto con el icono que acompaa a los autnticos archivos
con esa extensin. Para no levantar sospechas, si no es ejecutado desde el directorio de inicio, muestra
un texto de bromas que es, en definitiva, lo que espera encontrar el usuario cuando abre el fichero
adjunto. [@4]
Este virus presenta las siguientes caractersticas:
Asunto: "Fw" y uno de los siguientes tres textos: "Life Stages", "Funny" o "Jokes; o "text" Cuerpo del
mensaje (en texto plano o en formato HTML):"The male and female stages of life" o "Bye."
Un fichero adjunto denominado: "LIFE_STAGES.TXT.SHS"
A partir del 2001 se puede ver un termino que engloba cualquier programa, documento o mensaje y es el
denominado "malware", un ejemplo son los virus: Gusanos, Troyanos, el Spam, Dialers, las Hacking
Tools, los Jokes y los Hoaxes. Son susceptibles de causar perjuicios a los usuarios de
los sistemas informticos-, se adapta a los avances tecnolgicos con el objetivo de difundirse mas
rpidamente. Un ejemplo de esto fue la aparicin en este mismo ao del virus Nimba un ejemplo claro de
esta adaptacin. [@4]
1.3- Tipos de virus ms frecuentes.
Numerosas fuentes dan amplia informacin de los tipos de virus mas frecuentes reportados a nivel
mundial "los virus macro han ocupado los primeros lugares, mientras que las estadsticas demuestran
que son creados mas de 130 mensualmente con un ndice de crecimiento superior al de los virus del
DOS, que infectan programas y sectores de arranque.[GUADIS99]
Ejemplo:
-CONCEPT
-COLORS
-LARAUX
-GREEN STRIPE
-MACRO VIRUS DEVELOPMENT KIT
-CAP
-NIGHTSHADE
-SLOVAK DICTATOR
-ANARCHY-6093
-NAVHR
-ACCESIV
-STRANGE DAYS
-CLASS
La plataforma ms afectada ha sido el Word de Microsoft para Windows. Se debe fundamentalmente a
que lo que mas se intercambia en el mundo es informacin que se encuentra contenida
en documentos creados con este editor de textos. [GUADIS99]
"Klez.l a protagonizado el 19,07% de los incidentes, seguido a mucha distancia por Elkem.C (con un
porcentaje del 4,84%). Tras ello se encuentran Help (3,43%), Sircam (2,91%), Klez.F (2,88%) y
Bck/Subleven (2,13%). [Pan-Soft]
"En los ltimos 2 aos los gusanos informticos han encabezado mes tras mes las listas de los reportes
de Afectaciones por Programas Malignos" [GUADIS04]

"Si en el ao 2001 triplicaban el trabajo de los investigadores, el ao pasado siguieron dando que hacer,
eclipsando a otros tipos de ataques, vindose como sus caractersticas suban aun 42,5% e el 2002, lo
que representa 1.789 incidentes investigados". [Belt]
"Muestra de los mas propagados durante el 2003 son los siguientes:
-W 32/sobig-F (19,9%)
-W 32/blaster-A (15.1%)
-W 32/Nachi-A (8.4%)
-W 32/Gibe-F (7.2%)
-W 32/Dumaru-A (6.1%)
-W 32/Sober-A (5.8%)
-W 32/Mimail-A (4.8%)
-W 32/Bug Bear-B (3.1%)
-W 32/Sobig-E (2.9%)
-W 32/Klez-H (1.6%)
Los ms propagados en la historia, desde sus fechas de deteccin son: [GUADIS*]
-My Doom.A
-Sobig.F
-Klez.H
-Swen.A
-Netsky.B
-Yaha.E
-Dumaru.A
-Mimail.A
-SirCam.A
-Klez.E
-Melissa
1.4- Cmo atacan los virus a las PCs? [SGT]
Una vez que el virus sea activo dentro del sistema, puede copiarse a s mismo e infectar otros archivos o
discos a medida que el usuario acceda a ellos. Los diversos tipos de virus infectan los PC de maneras
distintas; los tipos ms comunes son los virus de macro, de arranque y los parsitos.
Los virus informticos se difunden cuando las instrucciones o cdigo ejecutable que hacen funcionar
los programas pasan de un ordenador a otro. Una vez que un virus est activado, puede reproducirse
copindose en discos flexibles, en el disco duro, en programas informticos legtimos o a travs de redes
informticas. Estas infecciones son mucho ms frecuentes en los PC que en sistemas profesionales de
grandes computadoras, porque los programas de los PC se intercambian fundamentalmente a travs de
discos flexibles o de redes informticas no reguladas.
Los virus funcionan, se reproducen y liberan sus cargas activas slo cuando se ejecutan. Por eso, si un
ordenador est simplemente conectado a una red informtica infectada o se limita a cargar un programa
infectado, no se infectar necesariamente. Normalmente, un usuario no ejecuta conscientemente un
cdigo informtico potencialmente nocivo; sin embargo, los virus engaan frecuentemente al sistema
operativo de la computadora o al usuario informtico para que ejecute el programa viral.
Algunos virus tienen la capacidad de adherirse a programas legtimos. Esta adhesin puede producirse
cuando se crea, abre o modifica el programa legtimo. Cuando se ejecuta dicho programa, ocurre lo
mismo con el virus. Los virus tambin pueden residir en las partes del disco duro o flexible que cargan y
ejecutan el sistema operativo cuando se arranca el ordenador, por lo que dichos virus se ejecutan
automticamente.
Ver Anexos1
En las redes informticas, algunos virus se ocultan en el software que permite al usuario conectarse al
sistema.
Los virus pueden llegar a "camuflarse" y esconderse para evitar la deteccin y reparacin. Como lo
hacen:
a.
b.
c.

El virus re-orienta la lectura del disco para evitar ser detectado;

Los datos sobre el tamao del directorio infectado son modificados en la FAT, para evitar que se
descubran bytes extra que aporta el virus;

d.

encriptamiento: el virus se en cripta en smbolos sin sentido para no ser detectado, pero para
destruir o replicarse DEBE desencriptarse siendo entonces detectable;

e.

polimorfismo: mutan cambiando segmentos del cdigo para parecer distintos en cada "nueva
generacin", lo que los hace muy difciles de detectar y destruir;

f.

Gatillables: se relaciona con un evento que puede ser el cambio de fecha, una determinada
combinacin de tecleo; un macro o la apertura de un programa asociado al virus (Troyanos).

Los virus se transportan a travs de programas tomados de BBS (Bulletin Boards) o copias de software
no original, infectadas a propsito o accidentalmente. Tambin cualquier archivo que contenga
"ejecutables" o "macros" puede ser portador de un virus: downloads de programas de lugares inseguros;
e-mail con "attachments", archivos de MS-Word y MS-Excel con macros. Inclusive ya existen virus que se
distribuyen con MS-Power Point. Los archivos de datos, texto o Html NO PUEDEN contener virus, aunque
pueden ser daados por estos.
Los virus de sectores de "booteo" se instalan en esos sectores y desde all van saltando a los sectores
equivalentes de cada uno de los drivers de la PC. Pueden daar el sector o sobreescribirlo.
Lamentablemente obligan al formateo del disco del drive infectado. Incluyendo discos de 3.5" y todos los
tipos de Zip de Iomega, Sony y 3M.
En cambio los virus de programa, se manifiestan cuando la aplicacin infectada es ejecutada, el virus se
activa y se carga en la memoria, infectando a cualquier programa que se ejecute a continuacin. Puede
solaparse infecciones de diversos virus que pueden ser destructivos o permanecer inactivos por largos
periodos de tiempo.
Sntomas Tpicos de una infeccin
El sistema operativo o un programa toma mucho tiempo en cargar sin razn aparente.

El tamao del programa cambia sin razn aparente.

El disco duro se queda sin espacio o reporta falta de espacio sin que esto sea necesariamente
as.

Si se corre el CHKDSK no muestra "655360 bytes available".

En Windows aparece "32 bit error".

La luz del disco duro en la CPU continua parpadeando aunque no se este trabajando ni haya
protectores de pantalla activados. (Se debe tomar este sntoma con mucho cuidado, porque no siempre
es as).

No se puede "bootear" desde el Drive A, ni siquiera con los discos de rescate.

Aparecen archivos de la nada o con nombres y extensiones extraas.

Suena "clicks" en el teclado (este sonido es particularmente aterrador para quien no esta
advertido).

Los caracteres de texto se caen literalmente a la parte inferior de la pantalla (especialmente en

DOS).

En la pantalla del monitor pueden aparecen mensajes absurdos tales como "Tengo hambre.
Introduce un Big Mac en el Drive A".
En el monitor aparece una pantalla con un fondo de cielo celeste, unas nubes blancas difuminadas, una
ventana de vidrios repartidos de colores y una leyenda en negro que dice Windows 98 (No puedo evitarlo,
es mas fuerte que yo...!!) [SGT]

Captulo II: Propagacin de los virus.

2.1-Daos ocasionados por virus. [Manson]
Se define dao como una accin indeseada, y se clasifica segn la cantidad de tiempo necesaria para
reparar dichos daos. Existen seis categoras de daos hechos por los virus, de acuerdo a la gravedad.
a.
Sirva como ejemplo la forma de trabajo del virus FORM (el ms comn): En el da 18 de cada
mes cualquier tecla que presionemos hace sonar el beep. Deshacerse del virus implica,
generalmente, segundos o minutos.
b.
Daos triviales.

c.

Un buen ejemplo de este tipo de dao es el JERUSALEM. Este virus borra, los viernes 13, todos los
programas que uno trate de usar despus de que el virus haya infectado la memoria residente. En el
peor de los casos, tendremos que reinstalar los programas perdidos. Esto nos llevar alrededor de 30
minutos.
Daos menores.

d.

Cuando un virus formatea el disco rgido, mezcla los componentes de la FAT (File Allocation Table,
Tabla de Ubicacin de Archivos), o sobreescribe el disco rgido. En este caso, sabremos
inmediatamente qu es lo que est sucediendo, y podremos reinstalar el sistema operativo y utilizar el
ltimo backup. Esto quizs nos lleve una hora.
Daos moderados.

e.

Algunos virus, dada su lenta velocidad de infeccin y su alta capacidad de pasar desapercibidos,
pueden lograr que ni an restaurando un backup volvamos al ltimo estado de los datos. Un ejemplo
de esto es el virus DARK AVENGER, que infecta archivos y acumula la cantidad de infecciones que
realiz. Cuando este contador llega a 16, elige un sector del disco al azar y en l escribe la frase:
"Eddie lives somewhere in time" (Eddie vive en algn lugar del tiempo).
Esto puede haber estado pasando por un largo tiempo sin que lo notemos, pero el da en que
detectemos la presencia del virus y queramos restaurar el ltimo backup notaremos que tambin l
contiene sectores con la frase, y tambin los backups anteriores a ese.
Puede que lleguemos a encontrar un backup limpio, pero ser tan viejo que muy probablemente
hayamos perdido una gran cantidad de archivos que fueron creados con posterioridad a ese backup.
Daos mayores.

f.

Los daos severos son hechos cuando un virus realiza cambios mnimos, graduales y progresivos.
No sabemos cundo los datos son correctos o han cambiado, pues no hay pistas obvias como en el
caso del DARK AVENGER (es decir, no podemos buscar la frase Eddie lives ...).
Daos severos.

g.

Daos ilimitados.

Algunos programas como CHEEBA, VACSINA.44.LOGIN y GP1 entre otros, obtienen la clave
del administrador del sistema y la pasan a un tercero. Cabe aclarar que estos no son virus sino troyanos.
En el caso de CHEEBA, crea un nuevo usuario con los privilegios mximos, fijando el nombre del usuario
y la clave. El dao es entonces realizado por la tercerapersona, quien ingresar al sistema y hara lo que
quisiera.
Los daos ocasionados por los programas malignos son evaluados a travs de las implicaciones
econmicas que representan la prdida parcial o total de los recursos y horas hombre-mquina invertidos
tanto durante el proceso de diseo, puesta a punto e implantacin de las aplicaciones y sus datos, como
las que se derivan de los gastos en que se incurran durante el proceso de recuperacin de un sistema
infectado. Los gastos en el proceso de recuperacin dependen de los daos ocasionados por el programa
maligno tanto en su fase de infeccin como en la de activacin, as como del nivel de organizacin en la
salva de la informacin que tenga el usuario. Adems, existen algunos que son difciles de detectar y que
de una forma muy solapada alteran la informacin almacenada en los discos. [SGT]
2.2-Tipos de Antivirus. [MAN97]
Dr. Solomons Antivirus Toolkit.

Certificado por la NCSA. Detecta ms de 6.500 virus gracias a su propio lenguaje de deteccin
llamado VirTran, con una velocidad de deteccin entre 3 y 5 veces mayor que los antivirus tradicionales.
Uno de los ltimos desarrollos de S&S es la tecnologa G. D. E. (Generic Decription Engine, Motor de
Desencriptacin Genrica) que permite detectar virus polimrficos sin importar el algoritmo de
encriptacin utilizado.
Permite detectar modificaciones producidas tanto en archivos como en la tabla de particin del disco
rgido. Para ello utiliza Checksumms Criptogrficos lo cual, sumado a una clave personal de cada usuario,
hace casi imposible que el virus pueda descubrir la clave de encriptacin.
Elimina virus en archivos en forma sencilla y efectiva con pocas falsas alarmas, y en sectores de buteo y
tablas de particin la proteccin es genrica, es decir, independiente del virus encontrado.
Otras caractersticas que presenta este antivirus, son:
Ocupa 9K de memoria extendida o expandida.
Documentacin amplia y detallada en espaol y una enciclopedia sobre los virus ms
importantes.

Actualizaciones mensuales o trimestrales de software y manuales.

Trabaja como residente bajo Windows.

A. H. A. (Advanced Heuristic Analysis, Anlisis Heurstico Avanzado).

Norton Antivirus.

Certificado por la NCSA. Posee una proteccin automtica en segundo plano. Detiene prcticamente
todos los virus conocidos y desconocidos (a travs de una tecnologa propia denominada NOVI, que
implica control de las actividades tpicas de un virus, protegiendo la integridad del sistema), antes de que
causen algn dao o prdida de informacin, con una amplia lnea de defensa, que combina bsqueda,
deteccin de virus e inoculacin (se denomina 'inoculacin' al mtodo por el cual este antivirus toma las
caractersticas principales de los sectores de booteo y archivos para luego chequear su integridad. Cada
vez que se detecta un cambio en dichas reas, NAV avisa al usuario y provee las opciones de Reparar Volver a usar la imagen guardada - Continuar - No realiza cambios - Inocular - Actualizar la imagen.
Utiliza diagnsticos propios para prevenir infecciones de sus propios archivos y de archivos comprimidos.
El escaneo puede ser lanzado manualmente o automticamente a travs de la planificacin de fecha y
hora. Tambin permite reparar los archivos infectados por virus desconocidos. Incluye informacin sobre
muchos de los virus que detecta y permite establecer una contrasea para aumentar as la seguridad.
La lista de virus conocidos puede ser actualizada peridicamente (sin cargo) a travs de servicios en lnea
como Internet, Amrica On Line, Compuserve, The Microsoft Network o el BBS propio de Symantec, entre
otros.
Virusscan.
Este antivirus de McAfee Associates es uno de los ms famosos. Trabaja por el sistema de scanning
descrito anteriormente, y es el mejor en su estilo.
Para escanear, hace uso de dos tcnicas propias: CMS (Code Matrix Scanning, Escaneo de Matriz de
Cdigo) y CTS (Code Trace Scanning, Escaneo de Seguimiento de Cdigo).
Una de las principales ventajas de este antivirus es que la actualizacin de los archivos de bases de
datos de strings es muy fcil de realizar, lo cual, sumado a su condicin de programa shareware, lo pone
al alcance de cualquier usuario. Es bastante flexible en cuanto a la configuracin de cmo detectar,
reportar y eliminar virus.
2.3-Estado actual, nacional e internacional de los virus.
Situacin Nacional [GUADIS *]
En el pas, en lo que va de ao, se han recibido algo ms del doble de lo cdigos malignos recibidos el
pasado ao.
Hasta el momento se han detectado en Cuba:
(Actualizado 29 de Octubre del 2004)
849 Programas malignos
372 Virus

239 Caballos de Troya

202 Gusanos
19 Jockes
17 Exploit
En el ao 2004 se han detectado:
234 Programas malignos
101Gusanos
105 Troyanos
8 Virus
9 Jockes
11 Exploit
En el ao 2003 se detectaron:
116 Programas malignos
11 Virus
43 Gusanos
62 Troyanos
Un peligrossimo virus creado en Cuba ha comenzado a circular por Internet.
El virus ha sido creado por un supuesto hacker cubano llamado "El Hobbit"
Este virus no se autoenva masivamente como otros sino que infesta los adjuntos de los mensajes que
enva la victima afectada, de forma que esta no nota nada raro y quien recibe el mensaje tampoco se da
cuenta que esta siendo infestado. Los adjuntos que puede infestar son los compactados (.zip y .rar) y las
power point. (Este es el nico virus hasta el momento capaz de infestar las presentaciones de power
point). La gran efectividad de este virus consiste en que los mensajes no despiertan sospechas pues son
mensajes reales enviados de fuentes conocidas y confiables y adems los adjuntos son ficheros reales
que al abrirlos se ejecutan sin levantar sospechas y sin que la victima se de cuenta que esta activando el
virus. (Adems de que casi todo el mundo cree que las presentaciones de power point son algo
inofensivo.). El virus como tal se llama "Libertad" pues antes de comenzar a borrar toda la informacin del
disco duro muestra un cartel que clama por la libertad de expresin en Cuba. No obstante las casas
antivirus lo llaman Worm.32_Libertad. El virus cuando se activa se instala como un servicio con el nombre
de svchost.exe de forma que la nica manera de saber si se esta o no infestado con el mismo es ver si
este servicio esta ejecutndose. La empresa de seguridad informtica de Cuba ya ha creado una
herramienta de desinfeccin automtica que puede ser descargada desde su pgina oficial pero tambin
ha dado copias de la misma a CNN por lo que puede ser solicitada tambin a . [Vsantivirus]
Situacin internacional. [SGT]
La actual amenaza de los Programas malignos est dirigida a las microcomputadoras, especficamente a
las IBM PC y compatibles que trabajan con el Sistema Operativo Windows, y en un menor grado a las
Macintosh, Amiga, Atari y otras no compatibles.
Se ha especulado mucho sobre virus que infectan minicomputadoras (ejemplo: los sistemas VAX) y las
computadoras. Las reglas de seguridad convencionales establecen que cualquier computadora,
cualquiera que sea su sistema operativo y las defensas instaladas, puede ser infectada por un creador de
virus que se lo proponga. Por qu entonces han ocurrido tan pocos incidentes de virus en sistemas de
computadoras de mediano y alto rango? Esto se debe principalmente a que hay muchas menos
computadoras y minicomputadoras en uso que microcomputadoras y el acceso a estos sistemas es
limitado. El conocimiento profundo de los sistemas operativos que utilizan y la arquitectura de los mismos
est limitado a una lite o "tecnocracia" y el intercambio de software y comunicaciones entre estos
sistemas operativos es controlado rigurosamente lo que disminuye enormemente la posibilidad de difundir
un virus. La configuracin de estos sistemas vara enormemente por lo que no constituyen una plataforma
comn sobre la que se pueda propagar un programa maligno.
Comprese esta situacin con la de las IBM PC y compatibles. En el mundo se utilizan unas 100 millones
de estas computadoras, corriendo los desprotegidos sistemas operativos, DOS y Windows. Las
localizaciones de la memoria, la estructura de los discos, el proceso de "bootstrap", los vectores de
interrupcin, las rutinas DOS y BIOS son estndar para todas lasmquinas independientemente del
fabricante. Por lo tanto existe una enorme plataforma comn en la que se puede diseminar un virus y una
mayor cantidad de personas con el conocimiento para utilizar o mal utilizar estas computadoras. Las
microcomputadoras son comparativamente
baratas, por lo que son asequibles a legtimos programadores o a malvados.
Aparte de aquellas mquinas que tengan incorporadas palabras claves para el encendido, las PC que
tengan MS-DOS no tienen incorporadas ningn tipo de seguridad; en cuanto se enciende la

microcomputadora est abierta a la investigacin o al ataque. La IBM PC es una plataforma casi perfecta
para la propagacin de virus.
Actualmente existen ms de 42000 Programas Malignos detectables por patrones de bsquedas. Segn
las estadsticas aparecen con una tasa promedio de ms de 200 mensuales.
El nmero de variantes de virus (cdigos de virus pirateados o mejorados conocidos como mutaciones)
ha crecido de forma casi exponencial.
Esto es debido a varios factores negativos entre los que se destacan la publicacin de cdigos fuentes de
virus en libros , revistas y en la Web , al desarrollo de " Generadores " y a las Bases de Datos de
Intercambio de Virus (Vx).
El intercambio de informacin y cdigos fuentes entre los creadores de Programas malignos est
proliferando debido fundamentalmente a la existencia de sitios destinados, en redes de alcance global
como INTERNET a la carga y descarga de colecciones completas , as como el intercambio
de herramientas y tcnicas para desarrollar cdigos maliciosos ms eficientes. El anlisis de la situacin
internacional demuestra que son un problema de la informtica actual y que se requiere estudiar el
problema, para poder combatirlos tcnica y organizadamente.
2.4-Virus en el futuro.
"En los sistemas modernos hay demasiados tipos de archivos ejecutables, programas que pueden
acceder a los componentes del computador. Tambin es muy complicado que un sistema no
tenga problemas, incluyendo agujeros de seguridad. Por todo ello, creo que los virus seguirn existiendo
aunque el entorno contemple la seguridad basada en certificados digitales. .... Es posible desarrollar un
entorno completamente protegido por la comprobacin de firmas digitales, pero los usuarios no lo
usarn!, porque un entorno de este tipo no es lo suficientemente amigable... demasiadas limitaciones,
demasiados avisos, demasiadas preguntas." Eugene Kaspersky. [Moreno]
La inmensa mayora de las infecciones vricas actualmente se deben a infecciones por gusanos
(programas que se transmiten a travs de las redes e Internet) y troyanos (los cuales suelen
ejecutar acciones ocultas e indeseables) realizadas en su mayora de las veces a travs del correo
electrnico. Estos virus se activan mediante la ejecucin de adjuntos en el correo electrnico o
simplemente mediante la lectura de correos recibidos con cdigo malicioso dentro de HTML. [Moreno]
Existe la posibilidad que en el futuro aparezcan nuevos virus similares al Nimda o al Klez, los cuales
podrn tomar ventaja de las vulnerabilidades existentes o de las que lleguen a presentarse. La
educacin y la conciencia basada en estrategias adecuadas de seguridad es la nica forma de prevenir
los posibles daos. Un posible colapso de la Internet (debido a una saturacin del trfico, a causa de los
virus) no tiene tanto sustento a priori, pues sus lmites antes que ser tecnolgicos tienden a ser ms bien
culturales y ante una situacin de esta naturaleza todava se tienen elementos para prevenirla. [Moreno]
Hoy en da, dado lo sofisticado que son estos programas, uno solo de ellos tiene la caracterstica que no
le piden nada a sus antecesores, constituyendo de esta manera, la principal causa de los estragos
producidos. El gusano Nimda (que lleg como troyano y destruye el sistema como un virus) y el Klez nos
abren todo un abanico de posibilidades y sorpresas inesperadas que ponen a tambalear nuestros
esquemas clsicos de proteccin. [Moreno]
Virus, Troyanos, y gusanos han existido desde los inicios de los sistemas operativos actuales y de
Internet. La contienda "virus - antivirus" ya tiene sus dos dcadas y nada nos indica que vaya a terminar.
No se puede descartar, por ejemplo, que en un futuro cercano los virus atacarn telfonos celulares
programables y se propagarn cuando encuentren algn vnculo abierto entre dos aparatos. La principal
va de contagio, tal como hoy ocurre con las computadoras, ser el correo electrnico, que ya est
disponible en el mundo de la telefona mvil. [Moreno]
Remarcando esto, los virus del futuro no slo harn blanco en computadoras y servidores sino que sern
diseados para atacar telfonos celulares inteligentes y asistentes digitales personales. Estos cdigos
maliciosos se prev (esto es solamente un escenario o conjetura muy al estilo de Julio Verne) que incluso
podran llegar a grabar conversaciones y enviarlas va correo electrnico a otros usuarios sin el
consentimiento del dueo del aparato, suprimir o alterar estados financieros almacenados en los
celulares, o incluso cambiar los nmeros telefnicos contenidos en la memoria de estos artefactos y
reemplazarlos con otros nmeros de larga distancia, con el fin de generar cuentas y dbitos de
proporciones enormes. [Moreno]
Ms an, no es descabellado (no, al menos del todo) que las guerras del futuro cercano entre pases
desarrollados tendrn lugar entre dos redes informticas, en las bolsas y mercados financieros
interconectados, entre naves no tripuladas y satlites. De hecho, mientras el capitalismo prevalezca y esta
situacin nos alcance, las armas convencionales solamente se llegaran a utilizar con los pases
subdesarrollados. [Moreno]

Si miramos un poco al futuro y pensamos en la domtica (control de edificios, casas, etc.,

mediante hardware y software), vislumbramos ya la introduccin de Internet en nuestra vida domstica.
De hecho, algunos operadores de televisin por satlite ya pregonan la disponibilidad de Internet a travs
de la televisin. De modo que tal vez dentro de poco, junto con nuestra televisin tengamos que comprar
algn tipo de dispositivo antivirus. Y no pensemos slo en la televisin, ya que otros electrodomsticos
tambin sern alcanzados por los largos tentculos de Internet. [Moreno]
El futuro nos augura mayor nmero de virus y ms sofisticados, en lo que va del 2002 ya se ha alcanzado
la cifra que se tena al cierre del ao 2001. Algunas posibles tendencias pueden ser las
siguientes: [Moreno]
1.
2.

Gran incremento en el nmero de virus, gusanos o backdoors. La frecuencia avasalladora con

que van apareciendo nuevas variantes de malware (cdigos maliciosos) nos predispone a mantener
una poltica coherente y adecuada de actualizaciones. A la hora de escoger un software antivirus se
ha de tener en cuenta la capacidad de actualizacin y la velocidad de respuesta de los laboratorios de
las empresas, as como las capacidades heursticas (deteccin de posibles virus nuevos) que tengan
integradas estos productos.

3.

Java y Actives. Ambos de estos componentes gozan presumiblemente de mecanismos de

seguridad para evitar la difusin de virus pero tienen algunos agujeros (no son la panacea, pues de
ser as, Windows XP sera una promesa verdaderamente mesinica). La seguridad de ActiveX se
basa en que slo puede ejecutarse cdigo autenticado. Eso es mejor que nada pero an deja mucho
que desear, no se puede apostar a que autenticar sea una garanta absoluta o infalible.

4.

Ms conectividad. La demanda de mayor ancho de banda incrementa con cada vez ms

informacin en circulacin. A mayor intercambio de informacin, mayor intercambio de todo tipo de
programas o archivos incluyendo a los diversos gusanos que vayan surgiendo.

5.

Lenguaje de macros ms potente, universal y manejable. Los fabricantes de software incluyen

cada vez lenguajes de macro ms potentes y sencillos de utilizar pero como contrapartida, ms
vulnerables a los ataques o incorporacin de cdigos no necesariamente benvolos. Aparentemente
los virus de macro ya no son los que dominan la escena, pero bien podran irse acompaando en el
ciberespacio de gusanos cada vez ms potentes (de hecho Melissa nos dio una adelanto de
situaciones de este tipo) y de esta manera afianzar novedosamente su presencia.

6.

Ms virus destructivos. El cdigo fuente del virus CIH (capaz de sobrescribir en determinadas
circunstancias el BIOS y dejar la mquina absolutamente inoperante), los ms diversos kits de
creacin de virus y otras tantas linduras estn al alcance de todo mundo en Internet. Esta informacin
alienta a otros programadores de virus a generar otros, e incluso a autnticos aficionados
("lamercillos" y crackers) a sentirse como nios en dulcera con el simple hecho de jugar con estas
cosas. [Moreno]

Lo anterior nos lleva a pensar (sin mucho temor a equivocarnos) que el futuro de los antivirus est
fundamentalmente en el desarrollo slido de la heurstica, y en la integracin de stos hacia una
estructura ms slida de software que contemple a antivirus, cortafuegos, detectores de intrusos y
autenticacin como un solo producto. [Moreno]
El futuro, o tal vez el presente? [Urzai]
"En el futuro, todo el mundo tendr 15 minutos de fama", con estas palabras del pintor norteamericano
Andy Warhol comienza un estudio de Nicholas C. Weaver de la universidad de Berkeley titulado "Warhol
worms: The Potential for Very Fast Internet Plagues", que podr encontrar en [].
En este estudio se describe, de forma hipottica, como podran ser los gusanos de siguiente generacin,
a los que denomina "Warhol" y "Flash". Unos virus capaces de infectar todos los ordenadores vulnerables
de Internet en menos de 15 minutos.
El estudio demuestra que las tcnicas que utilizan los gusanos actuales para propagarse son
extremadamente ineficientes. En cambio, segn este estudio, los "gusanos Warhol" utilizaran tcnicas
altamente optimizadas para buscar ordenadores vulnerables: "hitlist scanning" (lista de servidores
vulnerables elaborada previamente) para la propagacin inicial y "permutation scanning" (tcnica que

intenta encontrar todos los ordenadores vulnerables en el menor tiempo posible) para conseguir
propagarse de forma auto-coordinada y completa.
El principal problema de este tipo de gusanos es que causara el dao mximo antes de que fuese posible
la respuesta humana. Para cuando los laboratorios de las casas antivirus fuesen capaces de desarrollar,
probar y poner a disposicin de los usuarios la solucin, el virus ya habra terminado su trabajo.
A pesar de que afortunadamente en la actualidad los gusanos todava no emplean este tipo de tcnicas
para propagarse, en Enero de 2003 el virus SQLSlammer infect 100.000 ordenadores vulnerables en
menos de media hora, y la mayor parte de ellos en los 15 primeros minutos. El SQLSlammer no es
propiamente un gusano de tipo Warhol, pues no utiliza las tcnicas descritas en el estudio, pero an as,
consigui demostrar que es posible crear un virus que se propague a todos los ordenadores vulnerables
en un tiempo tan corto que no es viable la respuesta humana.
Se puede concluir que el futuro de la seguridad informtica necesita un nuevo enfoque. Las amenazas
son cada vez mayores y ms rpidas, obligando a que las empresas antivirus redoblen esfuerzos y
reaccionen cada vez ms rpidamente para evitar las epidemias. Las actuales soluciones de seguridad
son extremadamente eficientes combatiendo amenazas conocidas, pero la exigencia es cada vez mayor y
el hecho de que las actuales soluciones de seguridad sean inherentemente reactivas, supone una prdida
de tiempo que ahora puede ser vital. Es necesario ser tambin proactivos y adelantarse al problema.
La proactividad en la seguridad informtica se debe basar en combatir las nuevas amenazas que acechan
a los sistemas sin necesidad de conocer previamente cules son. Los comportamientos de los cdigos
maliciosos deben poder preverse, pero para ello no es suficiente la tecnologa actual, es necesario
analizar directamente el protocolo TCP/IP, descubrir intentos de desbordamientos de buffer, inyecciones
de cdigo, cubrir nuevos vectores de propagacin, etc...
Dentro de las tecnologas proactivas, destacan las de anlisis de comportamiento, que en pruebas reales
han demostrado ser muy efectivas contra virus y otras amenazas desconocidas. Gracias a estas
tecnologas los usuarios, podrn contar en breve con soluciones que no exijan una reaccin, sino que se
adelantarn a la amenaza de malware que intenta llevar a cabo acciones maliciosas.
Tambin dentro de poco podramos asistir a nuevos escenarios de infecciones vricas; La convergencia de
tecnologas que se est produciendo hoy en da conseguir que dentro de poco no podamos distinguir
dnde termina un ordenador y dnde comienza un telfono, o si la propagacin de un virus se produce a
travs de una red inalmbrica o mediante conexiones directas entre dos sistemas.

Captulo III: Caballos de Troya

3.1-Que son los Caballos de Troya?
Un Caballo de Troya es un programa ideado para que, bajo una apariencia inofensiva y til para el
usuario, afecte muy negativamente al sistema al incluir un mdulo capaz de destruir datos. Junto con los
virus es uno de los tipos de programas malignos ms conocidos y empleados. Por su similitud en la forma
de operar le debe su nombre al famoso caballo de lamitologa griega.
El caballo de Troya era un enorme caballo de madera que los griegos dejaron a las puertas de Troya
como oferta de paz despus de una larga batalla. Los troyanos abrieron sus puertas e introdujeron tal
obsequio en la ciudad. Sin embargo, al caer la noche, un grupo de griegos sali de su interior y abrieron
las puertas de Troya para que su ejrcito la invadiese. Bien, pues un caballo de Troya en informtica es lo
mismo. Mucha gente los confunde con los virus o con otros programas malignos, pero un Caballo de
Troya es un programa que, bajo la apariencia de una aplicacin til para el usuario (el caballo de madera),
es diseado deliberadamente para llevar dentro de s cierto cdigo daino (los soldados de su interior).
Se diferencian de los populares virus en que estos ltimos infectan cualquier programa del ordenador sin
que el programa anfitrin tenga nada que ver con el virus. Adems, al contrario que los virus, los caballos
de Troya no se reproducen. [Prieto03]
Cuando un usuario poco precavido recibe un caballo de Troya no se da cuenta del peligro hasta que se ha
producido el dao. Generalmente se recibe un programa con un nombre sugerente: Informacin SIDA,
Comecocos, Quinielas... y al ser ejecutado o tras cierto nmero de ejecuciones se empiezan a realizar las
acciones para las que en realidad dichos programas fueron diseados, como por ejemplo destruir los
datos del ordenador; Incluso llegaron a circular algunos programas antivirus que en realidad son Caballos
de Troya, como las versiones 78 y 79 del popular Scan. Un caballo de Troya muy conocido fue el
denominado SIDA. Distribuido como informacin divulgativa sobre la enfermedad, atacaba ferozmente las
mquinas en las que era ejecutado. [Prieto03]
Con el advenimiento de Internet, los Caballos de Troya en forma de mensajes con contenidos tiles o
divertidos destruyen la informacin del disco del receptor aprovechando agujeros de seguridad del
sistema. El caso ms conocido fue el I Love You. [Prieto03]

Un tipo de Caballos de Troya beneficiosos son aquellos que, aprovechando la inexperiencia e

inconsciencia del usuario que ejecuta alegremente programas no solicitados, presentan en pantalla
mensajes simulando el borrado de datos para, finalmente, burlarse del usuario por su estupidez y
recomendarle que en futuro sea ms cuidadoso con los programas que ejecuta en su ordenador.
Su fuerza didctica est fuera de toda duda. [Prieto03]
Un pariente muy cercano de los caballos de Troya son los camaleones, con los que a veces son
confundidos. [Prieto03]
Hay mucha controversia sobre lo que es un troyano. Mucha gente confunde virus con troyanos, y ni
mucho menos se parecen. En realidad no tienen nada en comn. El virus es destructivo (salvo raras
excepciones), acta de forma premeditada y su accin es siempre la misma en todos los ordenadores que
infecta. En cambio el troyano no se comporta as. [Mandrake]
Podemos afirmar que un troyano no es ni benigno ni maligno. Sencillamente no est programado para
destruir nada en el ordenador infectado. No podemos hablar entonces de una amenaza en el propio
software. En el caso del troyano la malevolencia viene de la persona que lo utiliza. [Mandrake]
El nombre troyano proviene de la Guerra de Troya, que fue un instrumento de guerra usado por los
griegos para acceder a la ciudad de Troya. Segn cuenta la historia, "al pasar diez aos de la guerra
troyana, los griegos todava no podan entrar en la ciudad de Troya porque las paredes de la ciudad la
hacan impenetrable. As, desarrollaron un caballo gigante de madera en el que un puado de griegos
armados se escondieron mientras el resto de los griegos abordaron los barcos y zarparon dejando atrs el
caballo como regalo de Victoria. Luego de la gran celebracin de los troyanos, en la cual se
emborracharon, los griegos que estaban dentro del caballo salieron, mataron a todos los centinelas que
estaban en las puertas de la ciudad y abrieron las puertas para que entrara un carnicero ejrcito
griego". [Mandrake]
Un troyano es entonces un programa malicioso insertado en un PC sin consentimiento de su dueo que
permite el control de ese PC y/o el acceso a sus datos por parte de una persona no autorizada.
[ Mandrake]
Un troyano puede ser una de las siguientes cosas:
Instrucciones no autorizadas dentro de un programa legtimo. Estas instrucciones
ejecutan funciones desconocidas al usuario y casi seguramente no deseadas por el mismo.

Un programa legtimo que ha sido alterado por la colocacin de instrucciones no autorizadas

dentro del mismo, probablemente como consecuencia del ataque de un virus. Estas instrucciones
ejecutan funciones desconocidas al usuario y casi seguramente no deseadas por el mismo. [Mandrake]

Cualquier programa que aparentemente haga una funcin deseable y necesaria pero que no la
cumpla y/o contenga instrucciones no autorizadas en el mismo, las cuales ejecutan funciones
desconocidas para el usuario. Cualquier programa que contenga otro subprograma con instrucciones no
deseadas o virus. Cualquier programa que permita operaciones de monitoreo y/o control remoto del
computador sin conocimiento del usuario. Este tipo de programas son llamados tambin "Backdoor" lo
que se traduce a Puerta Trasera. [Mandrake]
Los troyanos funcionan mejor en computadores sin muchas restricciones para los usuarios, ya que en
ambientes restringidos no pueden hacer mucho dao; sin embargo, en los ambientes de servidor, que son
muy restringidos pero hay troyanos que han sido muy dainos. [Mandrake]
A diferencia de los virus, los caballos de Troya o troyanos estn diseados para obtener informacin
privilegiada del ordenador donde son ejecutados. As pues existen troyanos que nicamente consiguen
contraseas, otros que graban secuencias metidas en el teclado, otros que abren puertas traseras al
ordenador, etc. [Bustamante]
Bueno pues un troyano es un programa simple que facilita el control remoto de un ordenador, se les
incluye dentro de la denominacin "malware" y realmente no son ms que aplicaciones de gestin remota,
que al ser totalmente gratuitos, al contrario que otros, estn muy difundidos y suelen utilizarse para el
acceso a otros ordenadores sin el permiso de sus dueos a travs de la red. [Duiops]
La primera puntualizacin que me gustara hacer es que a esos programas que hacen exactamente lo
mismo pero son comerciales no se los considera como peligrosos mientras que los dems son
considerados como herramientas de hacker y los eliminan los antivirus. [Duiops]

La segunda es que aunque permitan manejar otros ordenadores es necesario que estos tengan un
pequeo servidor ejecutndose en ellos, para ello cuentan con un pequeo instalador que se encarga de
modificar el registro de Windows para que los ejecute cada vez que se arranca Windows. [Duiops]
Normalmente suelen ocultar su presencia, de forma que el servidor carece de cualquier cosa visible y ni
siquiera se puede ver en la lista de tareas. [Duiops]
3.2-Daos ocasionados por los caballos de Troya
El enemigo en casa [Jaime]
La informacin que intercambia un servidor Web seguro y un navegador se cifra utilizando un algoritmo de
clave pblica. Este mtodo asegura la confidencialidad de los datos y su integridad, adems de confirmar
la identidad del servidor Web. Muchos bancos ofrecen un servidor seguro a sus clientes para realizar todo
tipo de operaciones bancarias. Entonces, cmo es posible que un pirata informtico conozca las claves
de acceso a su banco, las transferencias que usted a realizado y su nmero de Visa? En primer lugar, hay
instalado un caballo de Troya en su ordenador; en concreto, la parte del servidor. Una de las nuevas
caractersticas de estos programas consiste en volcar toda la informacin que se introduce a travs del
teclado en un fichero. Absolutamente todo. Por ejemplo, cuando usted teclea su nmero de Visa para
realizar una compra a travs de un servidor seguro, los datos viajan cifrados por la Red, pero no entre su
teclado y el navegador. Y es ah dnde est escuchando el caballo de Troya. El atacante se sienta a
esperar a que usted escriba la clave de acceso a su ISP, la de su buzn de correo, su clave PGP, etc. No
tiene ninguna prisa, ya que el caballo de Troya trabaja discretamente, sin que usted note nada. Hasta que
le llegue la factura del banco.
El equipo de delincuencia informtica de la Guardia Civil necesita, en muchos casos, la colaboracin de
los proveedores de acceso a Internet. Los ficheros donde quedan reflejados el identificador y el nmero
de telfono asociados a una IP determinada y a una hora determinada, son fundamentales para conocer
la identidad de las personas que han cometido delitosen la Red. Cuando usted inicia una conexin en la
Red a travs de su ISP, sus datos quedan asociados a una direccin IP. En principio, todos las acciones
que se realicen durante esa conexin son responsabilidad suya. Un pirata informtico puede ocultar su
verdadera direccin IP utilizando sofisticadas tcnicas de ocultacin, pero estos mtodos son complicados
y poco flexibles. Parece ms sencillo utilizar la conexin que usted acaba de establecer, con una flamante
direccin IP que le identifica solamente a usted.
Los nuevos caballos de Troya permiten encauzar todo el trfico que llega a un puerto hacia otra mquina
y otro puerto. Por ejemplo, el atacante configura su PC para que el puerto 80 de su mquina conecte con
el puerto 80 de www.idg.es. Recuerde que los servidores Web escuchan por el puerto 80. Esto significa
que si el atacante escribe en su navegador la direccin IP que tiene en ese momento asignado su PC, se
conectar con el Web de IDG. Para el servidor Web, la IP que est solicitando sus pginas HTML es la
suya. Cualquier fechora que cometa el pirata en ese servidor, aparecer como realizada desde su
conexin. Y, por ltimo, consultando a su PSI, reflejar su nombre y apellido. Usted no notar nada, hasta
que reciba la visita de la polica judicial.
Aunque no lo parezca [Jaime]
La gran baza de los nuevos caballos de Troya reside en su sigilosa forma de actuar. El programa servidor
casi no consume recursos. Cada vez que se arranca el PC, el troyano se ejecuta de forma automtica y
se queda residente en memoria. Un pequeo proceso que apenas consume un 1% de CPU, pero que
abre las puertas del ordenador una vez conectado a la Red a cualquiera que tenga instalado la
parte cliente del caballo de Troya en su mquina .
A esto debemos aadir otras dos caractersticas que convierten a estos "virus" en verdaderas amenazas
para los amantes de Internet. La primera consiste en lo fcil que resulta engaar a la vctima para que
instale el caballo de Troya en su mquina (en el cuadro "Uso obligatorio del casco" se explican los
mtodos utilizados para introducir el troyano en un PC de forma silenciosa) . La segunda caracterstica, y
quiz la ms peligrosa, consiste en la enorme facilidad de manejo de la parte cliente del virus. La
aplicacin que maneja el atacante, aquella que se conecta al servidor que corre en el PC de la vctima,
tiene una pasmosa sencillez de uso . Ahora, cualquier chaval que sepa jugar al Doom, tiene en sus manos
todos los recursos de un ordenador infectado.
Los nuevos caballos de Troya son una amenaza constante para aquellas personas que estn utilizando
sistemas operativos de Microsoft, en especial para Windows 95/98. La rapidez de difusin de los troyanos
pensados para esas plataformas se debe a dos razones: la mayora de los ordenadores utilizan sistemas
Microsoft y sus caballos de Troya cumplen de sobra las caractersticas antes indicadas. Se cuentan por
centenas de miles las copias de los caballos de Troya para plataformas W95/98/NT. Vamos a conocer, a
travs de los dos troyanos ms difundidos, los rasgos comunes de ambos virus, sus diferencias y su
particular forma de trabajar.

Caballos de pura sangre [Jaime]

NetBus y Back Orifice tienen muchos puntos en comn. Ambos son caballos de Troya basados en la idea
de cliente-servidor. Han sido creados para sistemas Microsoft, pero Back Orifice slo funciona en
Windows 95/98, mientras que NetBus tambin lo hace sobre NT. El programa servidor, en ambos casos,
debe ser instalado en el ordenador de la vctima. Como se ha explicado, esta tarea se ha simplificado, ya
que el atacante puede ocultar el troyano dentro de cualquier programa o aplicacin . Incluso puede
mandar el virus por correo y ser instalado con slo abrir el mensaje (ver artculo "Las verdades del correo
electrnico" en iWorld, febrero 1999). Una vez instalado, el servidor abre un puerto de comunicaciones y
se queda escuchando las peticiones del oyente. Es decir, los comandos que le enva el programa cliente
que est utilizando el atacante desde su ordenador remoto. NetBus abre un puerto TCP, mientras que
Back Orifice utiliza un puerto UDP. Se puede cambiar el nmero del puerto por el que atiende el servidor
en ambos casos. Tambin se puede proteger el acceso al servidor mediante una clave. De esta forma, ya
no es suficiente con tener instalado el cliente del Troya y conocer la IP de la mquina infectada. Tambin
ser necesario conocer la clave que autoriza el acceso al servidor.
Ya se ha indicado una de las grandes diferencias entre estos dos troyanos: Back Orifice no corre
en Windows NT. Por otra parte, Back Orifice es capaz de cifrar la comunicacin entre el cliente y el
servidor, algo que no hace NetBus. En cambio, este ltimo permite ciertas lindezas adicionales, como
abrir y cerrar la unidad de CDROM o modificar las funciones de los botones del ratn. Otra diferencia
importante es el tamao del servidor. La ltima versin del servidor de NetBus (NetBus Pro 2. 0) supera
los 600 Kb, mientras que el servidor Back Orifice 1. 2, slo ocupa 122 Kb. El tamao resulta importante
cuando el atacante quiere ocultar el caballo de Troya dentro de una aplicacin. Resulta menos
sospechoso un aumento de 122 Kb que uno de 600 Kb, con respecto a la aplicacin original. Por ltimo,
la versin ms reciente de NetBus presenta nuevas opciones, pero es su nueva ventana de gestin del
cliente, con ayuda en lnea incluida, donde marca la diferencia con respecto a Back Orifice. La instalacin
y la aplicacin resultan tan profesionales, que su frase de presentacin casi parece cierta: "NetBus Pro es
una herramienta para la administracin remota de ordenadores, de fcil uso y con un amigable entorno de
gestin".
Creados para utilizar la Red? [Jaime]
Por qu los fabricantes de automviles invierten tantos millones en mejorar la seguridad de sus
nuevos modelos? Sencillamente, sus clientes son conscientes del riesgo que entraa conducir un coche,
y exigen vehculos ms seguros. Los fabricantes construyen sus automviles pensando en los azares de
la conduccin. Si usted no saca nunca del garaje su coche, estar seguro de no sufrir ningn accidente de
trfico. Pero entonces, para qu necesita el coche? Para dar envidia al vecino? Microsoft afirma que
Windows 95 y Windows 98 han sido creados pensando en Internet. En especial, Windows 98 "hace ms
fcil el acceso a Internet y al mundo de la comunicacin digital". Cierto, ms fcil y mucho ms peligroso
que con otros sistemas. Los nuevos caballos de Troya aprovechan las enormes facilidades de acceso a
los recursos del sistema que ofrece W95/98. El programa servidor tiene control sobre todos los elementos
del PC: dispositivos, ficheros, protocolos de red, etc. Estos troyanos muestran (y demuestran ) que
cualquier aplicacin que usted instale sobre W95/98, cuyo cdigo fuente casi nunca se facilita, puede ser
una puerta abierta a los delincuentes informticos . Visite esta pgina para conocer lo que se esconde
dentro de sus aplicaciones preferidas: www . cnet. com/Content/Features/Howto/Eggs.
Internet, por su propia naturaleza, es inseguro. Igual ocurre con la red viaria. Por eso los automviles son
cada vez ms seguros. En cambio, la plataforma que ms se utiliza en Internet, pensada para trabajar en
redes de ordenadores y anunciada como la mejor solucin para conectarse a la Red, se parece a un
coche sin parachoques, cinturones de seguridad, o airbag . Las maniobras peligrosas, como
el comercio electrnico, deben hacerse con mucho cuidado . Pero si usted utiliza W95/98, debe extremar
las precauciones vea el cuadro "Cuntos caballos tiene su ordenador?"si no quiere tener un serio
accidente en la Red. Los usuarios que viajan por las autopistas de la informacin con vehculos muy poco
preparados, pensando que estn usando un sistema seguro, son los primeros objetivos de los piratas
informticos.
Cuntos caballos tiene su ordenador? [Jaime]
Su ordenador puede estar infectado con uno o varios caballos de Troya. Los nuevos troyanos conviven en
un mismo PC sin ningn problema. Hemos instalado Back Orifice y dos versiones distintas de NetBus en
la misma mquina, y los tres servidores funcionaban perfectamente. Por fortuna, cualquier persona tiene
a su alcance las herramientas necesarias para saber si tiene un caballo de Troya instalado en su
ordenador.

Los procedimientos que se van a explicar no reemplazan a un buen programa antivirus. Al contrario, son
el complemento ideal a su labor de proteccin y desinfeccin. Por ejemplo, el antivirus que utilizamos en
nuestro laboratorio detecta a Back Orifice, pero no a NetBus. Aqu tiene las claves para saber, por s
mismo, si su ordenador est libre de esos caballos de Troya. Y, en caso contrario, cmo librarse de ellos.
Tanto NetBus como Back Orifice se arrancan automticamente al iniciar Windows. Y los dos abren un
puerto de comunicaciones para recibir las peticiones de los clientes . Por tanto, tenemos un proceso
ejecutndose continuamente en nuestro ordenador y un puerto de comunicaciones siempre abierto . Para
descubrir ese proceso, puede utilizar WinTop, una estupenda utilidad que ofrece Microsoft dentro de un
paquete llamado Kernel Toys . WinTop est indicado para W95, pero tambin corre en W98. La puede
encontrar aqu: www. microsoft. Com/windows/downloads/bin/W95KRNLTOYS. EXE
WinTop muestra los procesos que estn corriendo en su mquina y le permite identificar los ejecutables
sospechosos (adems de ofrecerle una nueva visin de lo que se cuece en su PC). Con respecto al
puerto de comunicaciones abierto por el caballo de Troya, la herramienta ms indicada para descubrirlo
es netstat, sobre todo para puertos UDP (el utilizado por Back Orifice). Abra una ventana DOS y ejecute
este comando: netstat an | find " UDP ". Si la respuesta de este programa muestra actividad, sobre todo
en el puerto 31337 (el puerto por defecto donde escucha Back Orifice) , es muy probable que su mquina
est infectada . Adems de netstat, para revisar los puertos TCP (en busca de NetBus) puede usar HARs
Protector:
www. harcon . Net/protector. htm . Esta pequea utilidad controla todos los puertos de su mquina, tanto
TCP como UDP . NetBus utilizaba, en las versiones antiguas, el puerto TCP 12345 . Netbus Pro utiliza
ahora el 20034, pero el atacante puede configurar el servidor para que escuche por cualquier puerto. Por
tanto, se deben controlar todas las conexiones, y HARs Protector lo hace.
Si ha encontrado algn proceso sospechoso o algn puerto abierto que no debera estarlo, el siguiente
paso consiste en buscar en el registro de Windows. La manipulacin del registro de Windows es siempre
una tarea delicada. Estas dos pginas le ayudarn, paso a paso, a detectar la presencia de Back Orifice y
Netbus. Y le explican, con la ayuda de estupendosgrficos, qu debe buscar y cmo debe modificar el
registro . Para Back Orifice, visite www. nwinternet . com/~pchelp/bo/findingBO . htm . Y para Netbus,
visite www. nwinternet . com/~pchelp/nb/netbus . htm
Si no se atreve a modificar el registro o no est muy seguro de la calidad de la limpieza realizada, debe
acudir a programas comerciales: Panda Antivirus, Norton Antivirus, Mcafee VirusScan, etc. Tambin existe
la posibilidad de utilizar un programa no comercial, pero siempre bajo su propia responsabilidad.
Como ejemplo, BoDetect ( www . spiritone . com/~cbenson/current
_projects/backorifice/backorifice . htm ) encuentra y elimina cualquier instalacin de Back Orifice . Por lo
menos, as lo asegura su autor.
Uso obligatorio del casco [Jaime]
Los trabajadores de la construccin son conscientes de los peligros asociados a su actividad profesional.
No respetar las normas de seguridad cuando se trabaja en una obra, significa asumir
grandes riesgos para la integridad fsica. Por ejemplo, el uso del casco es obligatorio para todo el
personal de la obra. Si usted se dedica a levantar rascacielos, debe utilizar siempre el casco.
De igual forma, si usted navega por la Red, debe instalar y mantener actualizado un buen antivirus.
Merece la pena repetirlo: si se conecta a Internet tiene que utilizar un programa antivirus. Los caballos de
Troya pueden llegar a su ordenador de muchas formas: a travs de la Red, en el CD de regalo de
su revista favorita, en esa aplicacin comercial que le han dejado probar, etc. No piense que est a salvo
por utilizar un sistema operativo distinto a W95/98/NT.
Todas las plataformas tienen sus propios caballos de Troya. Un poco menos conocidos que Back Orifice o
NetBus, pero igual de peligrosos. Aqu tiene una referencia para dos plataformas muy conocidas.
MacOS: webworlds . co . uk/dharley/anti-virus/macvir . faq
UNIX: www . cyber . com/papers/networks . html
Aunque la peor parte se la llevan los usuarios de sistemas Microsoft. Piense que en slo siete meses han
aparecido cuatro nuevas versiones de NetBus. O que se han escritos varias herramientas para Back
Orifice que permiten ocultarlo dentro de cualquier programa. La aplicacin resultante instala el troyano en
primer lugar y seguidamente el programa original. Tambin pueden mandar un correo al atacante (o un
mensaje a un canal de IRC), anunciando la direccin IP del ordenador infectado cada vez que se conecte
a la Red. Visite la direccin www . cultdeadcow . com/tools/bo_plugins . html si desea conocer todos estos
plugins para Back Orifice . Estos troyanos se han difundido de tal manera que ya han aparecido
programas que no slo eliminan el virus del ordenador, sino que pasan al ataque. Localizan la direccin IP
del PC que est ejecutando la parte cliente y tratan de dejarle fuera de juego. Contra Netbus se ha creado

Net bster members . tripod . com/deltasitez/netbustertext . html y BackFire surf . to/leebros aparece, a
modo de venganza, contra Back Orifice .
Pero no se confunda, la verdadera solucin contra los virus en general y los caballos de Troya en
particular, reside en la proteccin que nos ofrecen los antivirus comerciales. Sobre todo para plataformas
tan poco seguras como Windows 95 o 98. Por favor, no salga a Internet sin una buena armadura. [Jaime]
Vayamos al punto mas importante la introduccin, estos programas como ya he dicho llevan un pequeo
instalador de forma que una vez ejecutado sin ninguna advertencia se instalan, pero hay que ejecutarlos,
la mayora de las veces suelen llegar por el irc o en algn correo y como ejecutamos todo si fijarnos lo
instalamos sin darnos ni cuenta, solo nos extraamos al ver que al ejecutarlo no pasa nada.
Otra opcin es que venga junto con otro programa, esto se realiza con una serie de programas gratuitos
que consiguen mezclar dos archivos ejecutables en uno de forma que solo se vea el resultado de uno de
ellos, por lo que puede que solamente con instalar algn programa que no hallamos bajado de la red ya
se ha podido instalar. De todas formas no os preocupis ya que no hay demasiados programas por la red
con troyanos (a mi solo me ha pasado una vez y no conozco a ninguna otra persona que haya sido
infectado de esta forma, es mucho mas normal a travs del irc). [Duiops]
Los siguientes efectos en la PC pueden ser por el ataque de un troyano.
Aparicin y/o desaparicin de archivos.
Ralentizacin del sistema.
Aparicin de archivos temporales sin justificacin. Al instalar programas lo normal es que se
creen archivos en las carpetas temporales referentes a los archivos utilizados en su instalacin.

Bloqueos continuos del PC.

Reinicios continuos del PC.

Desconexiones continas del MODEM.

Inicializacin/Finalizacin de programas sin justificacin.

La bandeja del CD se abre/cierra sin motivo alguno.

El teclado deja de funcionar.

Actividad en el MODEM cuando no se est realizando ningn tipo de comunicacin va red. Las
luces parpadeantes del MODEM (externo) o el LED de actividad del disco duro (interno) pueden indicar
este tipo de actividad.

El servidor de Internet no reconoce nuestro nombre y contrasea o indica que ya est siendo
utilizado. Lo mismo con el correo.

Aparicin en el cliente de correo de mensajes enviados y desconocidos por nosotros.

Ejecucin de sonidos sin justificacin.

Presencia de ficheros TXT o sin extensin en el HD (normalmente en "c:\") en los que

reconocemos palabras/frases/conversaciones/comandos,... que hemos escrito anteriormente (captura del
teclado por parte del atacante).

Presencia de archivos y/o carpetas con caracteres extraos, como por ejemplo "|
c", que es el path por defecto del NetBus 2.X.

Aparicin de una ventana con un mensaje tipo: "TE HE METIDO UN TROYANO". Este podra ser
ya es un sntoma muy claro de una infeccin de troyano. [Duiops]