El virus informático es un programa de ordenador que se
reproduce a sí mismo e interfiere con el hardware de una
computadora o con su sistema operativo (el software básico que
controla la computadora). Los virus están diseñados para
reproducirse y evitar su detección.
Como cualquier
otro programa informático, un virus debe ser ejecutado para
que funcione: es decir, el ordenador debe cargar el virus
desde la memoria del ordenador y seguir sus instrucciones.
Estas instrucciones se conocen como carga activa del virus. La
carga activa puede trastornar o modificar archivos de datos,
presentar un determinado mensaje o provocar fallos en el
sistema operativo.
Virus
informáticos
Servicios en Internet:
Virus
informático
Existen otros programas informáticos nocivos similares a los
virus, pero que no cumplen ambos requisitos de reproducirse y
eludir su detección. Estos programas se dividen en tres
categorías: caballos de Troya, bombas lógicas y gusanos. Un
caballo de Troya aparenta ser algo interesante e inocuo, por
ejemplo un juego, pero cuando se ejecuta puede tener efectos
dañinos. Una bomba lógica libera su carga activa cuando se
cumple una condición determinada, como cuando se alcanza una
fecha u hora determinada o cuando se teclea una combinación de
letras. Un gusano se limita a reproducirse, pero puede ocupar
memoria de la computadora y hacer que sus procesos vayan más
lentos.
2 CÓMO SE PRODUCEN LAS INFECCIONES EN LOS ORDENADORES
Los virus informáticos se difunden cuando las instrucciones —o
código ejecutable— que hacen funcionar los programas pasan de
un ordenador a otro. Una vez que un virus está activado, puede
reproducirse copiándose en discos flexibles, en el disco duro,
en programas informáticos legítimos o a través de redes
informáticas. Estas infecciones son mucho más frecuentes en
los PC que en sistemas profesionales de grandes computadoras,
porque los programas de los PC se intercambian
fundamentalmente a través de discos flexibles o de redes
informáticas no reguladas.
Los virus funcionan, se reproducen y liberan sus cargas
activas sólo cuando se ejecutan. Por eso, si un ordenador está
simplemente conectado a una red informática infectada o se
limita a cargar un programa infectado, no se infectará
necesariamente. Normalmente, un usuario no ejecuta
conscientemente un código informático potencialmente nocivo;
sin embargo, los virus engañan frecuentemente al sistema
operativo de la computadora o al usuario informático para que
ejecute el programa viral.
Algunos virus tienen la capacidad de adherirse a programas
legítimos. Esta adhesión puede producirse cuando se crea, abre
o modifica el programa legítimo. Cuando se ejecuta dicho
programa, ocurre lo mismo con el virus. Los virus también
pueden residir en las partes del disco duro o flexible que
cargan y ejecutan el sistema operativo cuando se arranca el
ordenador, por lo que dichos virus se ejecutan
automáticamente. En las redes informáticas, algunos virus se
ocultan en el software que permite al usuario conectarse al
sistema.
3 ESPECIES DE VIRUS
Existen seis categorías de virus: parásitos, del sector de
arranque inicial, multipartitos, acompañantes, de vínculo y de
fichero de datos. Los virus parásitos infectan ficheros
ejecutables o programas de la computadora. No modifican el
contenido del programa huésped, pero se adhieren al huésped de
tal forma que el código del virus se ejecuta en primer lugar.
Estos virus pueden ser de acción directa o residentes. Un
virus de acción directa selecciona uno o más programas para
infectar cada vez que se ejecuta. Un virus residente se oculta
en la memoria del ordenador e infecta un programa determinado
cuando se ejecuta dicho programa.
Los virus del
sector de arranque inicial residen en la primera parte del
disco duro o flexible, conocida como sector de arranque
inicial, y sustituyen los programas que almacenan información
sobre el contenido del disco o los programas que arrancan el
ordenador. Estos virus suelen difundirse mediante el
intercambio físico de discos flexibles. Los virus
multipartitos combinan las capacidades de los virus parásitos
y de sector de arranque inicial, y pueden infectar tanto
ficheros como sectores de arranque inicial.
Los virus acompañantes no modifican los ficheros, sino que
crean un nuevo programa con el mismo nombre que un programa
legítimo y engañan al sistema operativo para que lo ejecute.
Los virus de vínculo modifican la forma en que el sistema
operativo encuentra los programas, y lo engañan para que
ejecute primero el virus y luego el programa deseado. Un virus
de vínculo puede infectar todo un directorio (sección) de una
computadora, y cualquier programa ejecutable al que se acceda
en dicho directorio desencadena el virus. Otros virus infectan
programas que contienen lenguajes de macros potentes
(lenguajes de programación que permiten al usuario crear
nuevas características y herramientas) que pueden abrir,
manipular y cerrar ficheros de datos. Estos virus, llamados
virus de ficheros de datos, están escritos en lenguajes de
macros y se ejecutan automáticamente cuando se abre el
programa legítimo. Son independientes de la máquina y del
sistema operativo.
4 TÁCTICAS ANTIVÍRICAS
4.1 Preparación y prevención
Los usuarios pueden prepararse frente a una infección viral
creando regularmente copias de seguridad del software original
legítimo y de los ficheros de datos, para poder recuperar el
sistema informático en caso necesario. Puede copiarse en un
disco flexible el software del sistema operativo y proteger el
disco contra escritura, para que ningún virus pueda
sobreescribir el disco. Las infecciones virales se pueden
prevenir obteniendo los programas de fuentes legítimas,
empleando una computadora en cuarentena para probar los nuevos
programas y protegiendo contra escritura los discos flexibles
siempre que sea posible.
4.2 Detección de virus
Para detectar la presencia de un virus se pueden emplear
varios tipos de programas antivíricos. Los programas de
rastreo pueden reconocer las características del código
informático de un virus y buscar estas características en los
ficheros del ordenador. Como los nuevos virus tienen que ser
analizados cuando aparecen, los programas de rastreo deben ser
actualizados periódicamente para resultar eficaces. Algunos
programas de rastreo buscan características habituales de los
programas virales; suelen ser menos fiables.
Los únicos programas que detectan todos los virus son los de
comprobación de suma, que emplean cálculos matemáticos para
comparar el estado de los programas ejecutables antes y
después de ejecutarse. Si la suma de comprobación no cambia,
el sistema no está infectado. Los programas de comprobación de
suma, sin embargo, sólo pueden detectar una infección después
de que se produzca.
Los programas de vigilancia detectan actividades
potencialmente nocivas, como la sobreescritura de ficheros
informáticos o el formateo del disco duro de la computadora.
Los programas caparazones de integridad establecen capas por
las que debe pasar cualquier orden de ejecución de un
programa. Dentro del caparazón de integridad se efectúa
automáticamente una comprobación de suma, y si se detectan
programas infectados no se permite que se ejecuten.
4.3 Contención y recuperación
Una vez detectada una infección viral, ésta puede contenerse
aislando inmediatamente los ordenadores de la red, deteniendo
el intercambio de ficheros y empleando sólo discos protegidos
contra escritura. Para que un sistema informático se recupere
de una infección viral, primero hay que eliminar el virus.
Algunos programas antivirus intentan eliminar los virus
detectados, pero a veces los resultados no son satisfactorios.
Se obtienen resultados más fiables desconectando la
computadora infectada, arrancándola de nuevo desde un disco
flexible protegido contra escritura, borrando los ficheros
infectados y sustituyéndolos por copias de seguridad de
ficheros legítimos y borrando los virus que pueda haber en el
sector de arranque inicial.
5 ESTRATEGIAS VIRALES
Los autores de un virus cuentan con varias estrategias para
escapar de los programas antivirus y propagar sus creaciones
con más eficacia. Los llamados virus polimórficos efectúan
variaciones en las copias de sí mismos para evitar su
detección por los programas de rastreo. Los virus sigilosos se
ocultan del sistema operativo cuando éste comprueba el lugar
en que reside el virus, simulando los resultados que
proporcionaría un sistema no infectado. Los virus llamados
infectores rápidos no sólo infectan los programas que se
ejecutan sino también los que simplemente se abren. Esto hace
que la ejecución de programas de rastreo antivírico en un
ordenador infectado por este tipo de virus pueda llevar a la
infección de todos los programas del ordenador. Los virus
llamados infectores lentos infectan los archivos sólo cuando
se modifican, por lo que los programas de comprobación de suma
interpretan que el cambio de suma es legítimo. Los llamados
infectores escasos sólo infectan en algunas ocasiones: por
ejemplo, pueden infectar un programa de cada 10 que se
ejecutan. Esta estrategia hace más difícil detectar el virus.
6 HISTORIA DE LOS VIRUS INFORMÁTICOS
En 1949, el matemático estadounidense de origen húngaro John
von Neumann, en el Instituto de Estudios Avanzados de
Princeton (Nueva Jersey), planteó la posibilidad teórica de
que un programa informático se reprodujera. Esta teoría se
comprobó experimentalmente en la década de 1950 en los Bell
Laboratories, donde se desarrolló un juego llamado Core Wars
en el que los jugadores creaban minúsculos programas
informáticos que atacaban y borraban el sistema del oponente e
intentaban propagarse a través de él. En 1983, el ingeniero
eléctrico estadounidense Fred Cohen, que entonces era
estudiante universitario, acuñó el término 'virus' para
describir un programa informático que se reproduce a sí mismo.
En 1985 aparecieron los primeros caballos de Troya,
disfrazados como un programa de mejora de gráficos llamado
EGABTR y un juego llamado NUKE-LA. Pronto les siguió un
sinnúmero de virus cada vez más complejos. El virus llamado
Brain apareció en 1986, y en 1987 se había extendido por todo
el mundo. En 1988 aparecieron dos nuevos virus: Stone, el
primer virus de sector de arranque inicial, y el gusano de
Internet, que cruzó Estados Unidos de un día para otro a
través de una red informática. El virus Dark Avenger, el
primer infector rápido, apareció en 1989, seguido por el
primer virus polimórfico en 1990. En 1995 se creó el primer
virus de lenguaje de macros, WinWord Concept.
Actualmente el medio de propagación de virus más extendido es
Internet, en concreto mediante archivos adjuntos al correo
electrónico, que se activan una vez que se abre el mensaje o
se ejecutan aplicaciones o se cargan documentos que lo
acompañan.
