Parece un PC normalito, pero se trata del ordenador con más malware instalado del mundo. El equipo de VirusTotal lo llama MICE ('The Most Infected Computer Ever') y durante la inauguración del nuevo GSEC de Málaga hemos podido comprobar que sí sigue funcionando.
La pregunta fue "¿cuántos malware de diferentes familias podemos ejecutar al mismo tiempo?". Es el reto que se puso Bernardo Quintero, fundador de VirusTotal y director de ingeniería de seguridad en Google. Desde Xataka hemos hablado con él para que nos cuente cómo fue la creación de este ordenador, qué se propuso conseguir y cómo ha cambiado con el paso de los años todo el mundillo alrededor del malware.
El MICE no deja de ser un experimento. Una prueba de cuánto malware se puede llegar a infectar en un solo ordenador sin colapsar el sistema. El resultado es este ordenador que tienen expuesto en el nuevo centro de ciberseguridad de Google y que contiene hasta 30 tipos diferentes de malware, ejecutados al mismo tiempo y sin provocar un colapso del sistema.
"Al final es algo educativo. Queríamos hacer una web donde explicar todos los tipos diferentes de malware que nos atacan, pero no era muy llamativo. Y se me ocurrió esta idea, en plan reto", explica Quintero.
El fundador de VirusTotal no recuerda el momento exacto en que surgió. Apunta a 2019, algo antes de la pandemia. "El reto era encontrar malware que no se pegara mucho entre sí", expone. "Al principio fallaba bastante, ya que al tercer o cuarto se encontraba algún tipo de incompatibilidad. Fue a base de prueba y error".
Fue necesario una semana de trabajo para alcanzar los 30 tipos de malware distintos. "La gran ventaja que teníamos era la gran base de datos de VirusTotal. Simplemente fuimos buscando ciertas familias y entre ellas buscando qué ficheros no eran incompatibles. Y también el orden de ejecución", describe Quintero. Precisamente encontrar el orden de ejecución correcto fue lo más complejo, pues en caso de hacerlo de manera distinta el sistema se colapsa.
Actualmente el MICE es capaz de funcionar durante más de 24 horas sin problema. El equipo de Google lo tiene apagado normalmente y lo enciende cuando quiere hacer la demostración. En este caso tienen un comando ya creado para ejecutar todos los malware de nuevo, en el orden que saben que no se colapsa.
Recuerdan que durante su creación, la GPU del ordenador petó, aunque a priori no debería estar relacionado. A nivel de hardware, el MICE es un ordenador al uso. Sí dispone de un gran ventilador frontal, principalmente para contrarrestar la temperatura del Miner, que es el tipo de malware que mina criptomonedas sin permiso del usuario.
Este es solo uno de los 30 tipos de malware que están ejecutados. "Hemos escogido algunas muestras representativas de los virus más antiguos. Por ejemplo el de la ambulancia, que fue el primer virus real de su categoría", nos explica Daniel Vaca, ingeniero de software en VirusTotal.
El listado completo, que se puede encontrar en la página de Github del equipo de VirusTotal, es el siguiente: APT, virus, gusano, puerta trasera, exploit, banker, clicker, FakeAV, spyware, keylogger, VirTool, dialer, toolbar, adware, miner, bot, ransomware, game thief, rootkit, IM worm, Net worm, P2P worm, DDoS, dropper, hack tool, MailFinder, Joke, Autorun, hijacker y troyano.
El MICE funciona sobre Windows XP, ya que con sistemas operativos más modernos probablemente no se podrían ejecutar todos estos malware, apuntan. "Me fui directamente a Windows XP, porque más o menos conozco los sistemas operativos y lo tenía claro".
"Lo hice en su día y me olvidé un poco del proyecto, porque al final era algo anecdótico. Lo que pasa es que sí me di cuenta de su utilidad, sobre todo educacional y formativa. Con la excusa de que es el ordenador más infectado del mundo. Mi primer objetivo eran 10, después pasé a 20 y luego ya llegué a 30 familias. Busqué principalmente que los distintos tipos de malware tuvieron un efecto gráfico. Porque sino es un poco, este ordenador tiene 30 malware al mismo tiempo pero si están en segundo plano te lo tienes que creer", describe Quintero.
El resultado es muy llamativo, ya que Quintero apostó por distintos malware con un efecto visual. Tenemos ventanas que van desde alertas en rojo de error hasta avisos en ruso, pasando por la animación del Happy New Year 1999.
"Tenemos el de la ambulancia, el ping pong... ahora un efecto visual ya no tiene sentido, porque lo que les interesa es permanecer el máximo tiempo posible en el sistema sin ser detectados", apunta.
"Una vez que están los 30 corriendo, es bastante estable", explica su creador. ¿Sería posible replicarlo? Ante esto, Quintero se para un segundo y contesta que "quizás una persona con conocimiento pueda hacer algo parecido. Sí podría, siempre que tenga acceso a las distintas muestras de malware. Porque esa es la ventaja que tenemos en VirusTotal. No requiere un conocimiento super avanzado, es cuestión de muchas pruebas y errores".
"Al principio no tenía claro exactamente cuáles eran, dentro de todas las familias, específicamente los más idóneos. Los iba buscando por temas de tamaño; los que consumen menos recursos. Yo creo que no nos falta ningún tipo de malware. Tenemos más de seis millones en nuestra base de VirusTotal y estos 30 representan todas las variaciones", apunta Quintero, remarcando el valor educativo del experimento.
Desde VirusTotal han llevado el MICE en colegios, como parte de la enseñanza en ciberseguridad. "Lo que más nos preguntan es si corre el Fortnite; qué gráfica tiene y cómo funciona lo del Miner. Creemos que sí sirve para enseñarles muchas cosas, aunque hay que recordarles de repente detalles como que antes los routers se conectaban por teléfono", apunta Vaca, en referencia al malware del Dialer.
Quintero nos explica lo mucho que ha cambiado el sector desde entonces. De la época dorada de los virus informáticos, donde detrás no había ningún tipo de monetización y era "un poco el ego personal dentro del mundillo" hasta ahora, cuando la ciberseguridad es un tema que afecta globalmente y las empresas dedicas miles de millones de euros. "Llegó Internet y lo cambió todo, porque ya se vio que había un filón donde se podía monetizar el tema del malware. Ahí empezamos con el tema del AdWare".
"Yo tenía que estar continuamente buscando por foros underground y entonces se me ocurrió la idea de VirusTotal. La gente me enviará muestras sospechosas, hago recolección y encima en tiempo real voy viendo cómo los detectan los antivirus y me saco mis estadísticas. Esa fue mi idea original. Luego vi que de esas comparativas sabía que cada antivirus cubría una parte del malware y ellos empezaron a utilizarlo para complementarse y al final ofrecer una protección más eficaz", repasa.
"Se ha perdido un poco esa cultura del anonimato. Ahora se ha profesionalizado todo muchísimo", explica Quintero, al tiempo que recuerda que en España han habido grandes expertos en malware, como el grupo 29A, compuesto principalmente de españoles y que crearon el primer virus para móviles en symbian y el primer virus para Windows 95. ¿Qué ha sido de ellos?, le preguntamos: "yo creo que la mayoría han acabado dedicándose a temas de seguridad informática. Fueron gente muy especialista a bajo nivel, ensamblador y tal. La verdad es que eran muy buenos técnicamente".
"Hacían virus muy avanzados, pero nunca eran maliciosos en cuanto a borrar ficheros o hacer daño. Buscaban ser punta de lanza en cuanto a investigación. Hubo un caso que uno de los integrados del 29A diseñó un malware tipo gusano, el primero en formato binario. Pero tenía la preocupación de que se escapara. Lo que hizo fue facilitarme a mí, que estaba en Hispasec, la muestra del virus para que la analizara y sacara el informe antes de que se propagase. Un poco como tener la vacuna antes de que el virus se lance. Había cierta ética".
Ver 7 comentarios