Kama Sutra", tan mediático como... ¿inofensivo?

ecordemos que "Kama Sutra" es un gusano que una vez infecta el sistema, intenta desactivar el funcionamiento de diversos productos antivirus, recoge direcciones de correo en el ordenador de la víctima para distribuirse por e-mail utilizando su propio motor SMTP, y también intenta distribuirse a través de los recursos compartidos. Hasta aquí, como cualquiera de las decenas de gusanos que aparecen cada día. Lo único que ha provocado que cientos de ojos se vuelvan hacia él (e incluso que exista esta noticia) han sido dos pequeños detalles.

Los días 3 de cada mes el gusano sobreescribe (que no borra) archivos con extensiones .doc (Microsoft Word), .xls (Microsoft Excel), .mdb, .mde (Microsoft Access), .ppt (Microsoft PowerPoint), archivos comprimidos con .zip y .rar, .pdf, .psd (Adobe Photoshop) y .dmp (extensión normalmente asociada a volcados de diferentes tipos). O sea, el virus destruye documentos muy valorados por todo tipo de usuarios y que suelen contener información importante para su trabajo, estudios o cualquier otra actividad. Hoy en día, pocos son los virus que se dedican a destruir de alguna forma el sistema en el que se han alojado.

Otro detalle que lo ha llevado a ser tan popular es el exótico nombre adoptado por algunas casas antivirus para diferenciarlo. No ha existido un consenso claro, y, entre otros, al virus se le ha llamado Nyxem, BlackMal., Kapser, MyWife, Tearec...pero "Kama Sutra" ha resultado ganador en los medios no especializados, y eso que "Kama Sutra" era simplemente uno de las decenas de asuntos que aparecían en los correos infectados. El sexo siempre será un reclamo fácil para intentar que usuarios despistados ejecuten archivos que vienen de fuentes no confiables, y esta vez no ha sido una excepción.

Sin embargo, pese a ser un virus de lo más común e incluso poco
difundido en comparación con otros, hemos visto hasta noticias dedicadas en la televisión. Lo que no advierten estos medios generalistas son cuestiones básicas como que sólo afecta a sistemas Windows (a veces se sobreentiende pero no está de más recordarlo), pero, sobre todo, que este virus resulta mucho menos dañino que otras amenazas mucho más peligrosas a las que nos enfrentamos todos los días. Unos documentos siempre pueden recuperarse si se tiene una copia de seguridad, pero según opina con sensato criterio Graham Cluley consultor de Sophos, nunca se podrá deshacer el daño si esos documentos confidenciales han sido robados a través de una de las miles de puertas traseras que instalan otros virus; nunca podrás saber si se ha usado tu contraseña robada a través de las decenas de keyloggers que aparecen todos los días; y no es más grave que el inespecífico y potencial daño que se vuelca en la red si tu ordenador se convierte en un zombie que envía correo basura o participa en el ataque coordinado a otros servidores... Esto son amenazas reales y continuas a las que los medios generalistas no han prestado atención, hace falta que un simple virus que no aporta ninguna novedad técnica borre documentos personales para alarmar a las
masas.

"Kama Sutra" se ha convertido en un virus muy popular y todos los
antivirus sin excepción lo reconocen y son capaces de limpiar un sistema infectado. Las casas antivirus han mantenido en todo momento el nivel bajo de riesgo con este virus, pues técnicamente, no contiene ningún punto destacable. Incluso su forma de distribuirse es trivial, con un más que típico archivo ejecutable con extensión .src que suelen detener los administradores antes de entrar en los correos corporativos por suponer una forma muy tradicional de portar código vírico.

Finalmente (y como era previsible) por fortuna no ha ocurrido nada destacable el día 3 de febrero, ni ocurra probablemente ningún otro día 3, después de toda la repercusión mediática. El problema quizás es que situaciones como esta pueden llevar a que el usuario medio no perciba peligro real ante futuros anuncios de amenazas, y que se vuelva inmune ante la concienciación de las alertas reales que sí pueden suponer un peligro real. Una especie de parábola del cuento de los lobos que nunca terminan de llegar. Especialmente reseñable en este sentido resultó el efecto 2000, del que se habló tanto, se mitificó de tal forma, que el hecho de que realmente no ocurriese nada en absoluto el esperado primer día del aquel año, resultó incluso un poco decepcionante.

No es que "Kama Sutra" sea un virus del todo inofensivo, ni que carezca de importancia. Quizás la difusión desproporcionada en los medios (que no real) haya ayudado a que su efecto final sea menor... pero simplemente no deja de tener la misma relevancia que el resto de miles de virus que aparecen cada día, y no hay por qué subrayarlo como virus especialmente peligroso ni alertar a los usuarios con exageraciones que le induzcan a pensar que está en un mayor peligro del que realmente se encuentra, para luego no ocurrir nada y relajarse la próxima vez que se le anuncien otros virus. Esto crea mucha confusión, y gracias a exageraciones desmedidas a las que se les da excesivo crédito, muchos usuarios están más al tanto de no añadir a su cuenta de MSN Messenger supuestos contactos que formatearán tu disco duro (y de comunicárselo a todo el mundo para que conozca esta amenaza tan falsa como absurda), que de mantener actualizado su sistema operativo y su antivirus.

Los verdaderos peligros de Internet no están en los virus más conocidos que aparecen en los telediarios y de los que están al tanto la mayoría de los usuarios. Lo verdaderamente peligroso en Internet es el código destructivo que está en manos de unos pocos, que no se ha hecho público y con el que comercializa sin escrúpulos. Por ejemplo, hace poco se ha conocido que la infame vulnerabilidad WMF fue descubierta mucho antes del día que se hizo pública. Se calcula que llevaba semanas en manos de mafias que estaban especulando con ella, y que el código que la explotaba fue vendido por 4.000 dólares. Días después cualquiera tenía acceso al código en cuestión y se difundió por todo el mundo. De esta grave vulnerabilidad no se habló tanto en los medios generalistas.

Vender información de este tipo por 4.000 dólares no resulta excesivo. El hecho de conocer el código que te permite tomar el control de un sistema y que no es detectado por nada ni por nadie hasta ese momento, tiene mayor valor en tanto en cuanto es conocido por un menor número de personas. En estos casos la amenaza resulta real y tremendamente peligrosa tanto para usuarios como para servidores corporativos con grandes responsabilidades... virus como "Kama Sutra" que aparecen en los telediarios, detectados por todos los antivirus y del que se habla de cómo eliminarlo en muchas páginas de Internet resultan, en comparación, inofensivos.

Más información:

Sophos urges calm as panic over Friday's Nyxem worm attack spirals
www.sophos.com/pressoffice/news/articles/2006/02/nyxempanic.html

WMF Exploits Sold by Russian Hackers
www.toptechnews.com/fullpage/fullpage.xhtml?dest=%2Fstory.xhtml%3Fstory_id%3D41421

www.toptechnews.com/story.xhtml?story_id=41421

Kama Sutra worm: How was it for you?
software.silicon.com/malware/0,3800003100,39156201,00.htm

WMF Exploit Sold Underground for $4,000
www.eweek.com/article2/0,1895,1918198,00.asp