Un día como hoy de 1988, el gusano Morris infectó el 10% de Internet en 24 horas

 (tomshardware.com)
2 puntos por GN⁺ 2025-11-05 | 1 comentarios | Compartir por WhatsApp
  • Hace 37 años, un gusano informático creado por Robert Tappan Morris, estudiante de posgrado de Cornell, infectó cerca del 10% de todos los sistemas de Internet en 24 horas
  • El gusano apuntó a sistemas basados en BSD UNIX y se propagó explotando una puerta trasera del sistema de correo electrónico y un bug del programa finger
  • Aunque no destruyó archivos, provocó sobrecarga, lentitud y caídas del sistema, lo que llevó a importantes universidades e instituciones de investigación a desconectar temporalmente sus redes
  • Tras una investigación del FBI, Morris fue acusado de violar la Ley de Fraude y Abuso Informático de 1986 y recibió una sanción de multa, libertad condicional y servicio comunitario
  • El incidente es considerado el punto de partida de la era de la ciberseguridad y después sirvió como detonante para establecer procedimientos de protección de infraestructura de Internet y sistemas de respuesta

Aparición y propagación del gusano Morris

  • En 1988, un programa creado por Robert Tappan Morris, estudiante de posgrado de Cornell, para medir la escala de Internet se propagó de forma inesperada
    • Según un recuento retrospectivo del FBI, el resultado se debió no a una intención maliciosa, sino a un “error de programación”
    • En 24 horas, el gusano infectó cerca del 10% de los sistemas de Internet, causando daños enormes para la época
  • Morris hackeó una computadora del MIT desde una terminal de Cornell para distribuir el gusano
    • El FBI explicó que con ello intentó asegurar deliberadamente su anonimato
  • El gusano fue escrito en C y atacó sistemas BSD UNIX como VAX y Sun-3
    • Penetraba usando una puerta trasera del sistema de correo electrónico y un bug del programa finger
    • Tenía capacidad de autorreplicación y propagación autónoma sin necesidad de un programa anfitrión

Daños y respuesta

  • El gusano no borró archivos, pero causó sobrecarga del sistema, retraso de mensajes y fallas, provocando la parálisis de redes
    • Algunas instituciones aplicaron durante una semana reinicialización completa de sistemas y desconexión de la red para eliminarlo
  • Entre las instituciones afectadas estuvieron Berkeley, Harvard, Princeton, Stanford, Johns Hopkins, NASA y el Laboratorio Lawrence Livermore
  • La prensa lo reportó como el primer gran incidente de seguridad de Internet

Identificación del responsable y consecuencias legales

  • Mientras los expertos avanzaban con la recuperación, en paralelo se rastreó al creador del gusano
    • El FBI identificó a Morris como responsable mediante análisis de archivos y entrevistas
  • Morris intentó disculparse de forma anónima, pero su identidad quedó expuesta por un error con las iniciales de un amigo
  • Fue acusado por violar la Computer Fraud and Abuse Act (CFAA), promulgada en 1986
    • En 1989, el tribunal le impuso multa, libertad condicional y 400 horas de servicio comunitario

El entorno de Internet en ese momento

  • En 1988, Internet estaba basado en NSFNET, una estructura de red académica que expandía ARPANET, centrada en uso militar y de defensa
    • La World Wide Web (WWW) todavía no existía
  • Se estima que había alrededor de 60 mil sistemas conectados, de los cuales 6 mil fueron infectados
  • El daño económico fue calculado entre 100 mil dólares y varios millones de dólares
  • NSFNET fue desmantelada en 1995 y después dio paso al Internet comercial

Impacto y legado posteriores

  • El gusano Morris es considerado un punto de inflexión en la ciberseguridad y luego sirvió como detonante para construir procedimientos de seguridad y sistemas de respuesta
  • El artículo menciona al reciente gusano basado en IA Morris II, señalando que la evolución de los gusanos continúa
  • En los comentarios del artículo original, personas con experiencia administrando redes en aquella época recordaron congestión de tráfico, interrupción de relés de correo y problemas de colaboración
    • Algunos mencionaron que el incidente llevó al debilitamiento de la cultura de cooperación basada en la confianza en Internet
  • El gusano Morris quedó como el primer gran incidente cibernético de la era previa a la web y como punto de partida de la industria moderna de la seguridad

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-11-05
Opiniones en Hacker News

  • Paul Graham dijo que la cifra de “10% de infección” fue totalmente una suposición
    Alguien calculó que había unas 60 mil computadoras conectadas a internet, y estimó que el 10% se habría infectado

    • Es muy probable que la mayoría de esas 60 mil no fueran hosts realmente conectados, sino sistemas de conexión de emergencia basados en UUCP
      En esa época, 60 mil máquinas accesibles por telnet ya era una cantidad bastante grande. Yo también estaba en mi adolescencia tardía en esos años, y bendiciones para PG

  • Tomé el curso de sistemas distribuidos de MIT 6.5840 y completé las prácticas con los videos de las clases en YouTube
    Busqué el nombre del profesor por curiosidad y descubrí lo legendario que es. De verdad fue un gran curso

    • En MIT, RTM fue mi asistente de docencia. Una de las tareas trataba sobre el worm, y fue entonces cuando los estudiantes se dieron cuenta de que él era el protagonista de ese worm
      Pero casi nunca hablaba de eso
    • Su padre también fue una figura muy conocida como científico jefe de la NSA
    • Estaría divertido que agregaran una sesión de hacking de sistemas distribuidos estilo 1988
    • Yo también estoy tomando ese curso como hobby ahora mismo. No sabía quién era él, así que me sorprendió
      El curso me gustó tanto que me dio curiosidad saber qué hizo después de terminarlo

  • El programa de Morris no tenía una intención maliciosa, pero al final se convirtió en un punto de inflexión en la historia de la ciberseguridad
    Las raíces de la investigación de seguridad actual, los red teams y la cultura gray hat nacen de ese incidente

  • Como buen material sobre el incidente de esa época, está With Microscope and Tweezers: The Worm from MIT's Perspective en CACM (PDF)
    Yo era interno en IBM en 1988, y la empresa bloqueó dos gateways de red
    En ese momento, la idea de software autorreplicable era muy extraña. IBM también había pasado por un programa autorreplicable el año anterior, Christmas Tree EXEC

    • Pero los virus distribuidos por disquete ya eran bastante comunes

  • En mis tiempos operando sistemas en MIT, ese día fue realmente aterrador y emocionante

    • Nuestro responsable técnico llegó corriendo a dar la noticia del worm, y escuché que la razón por la que nuestro país evitó el impacto fue que una persona desconectó físicamente todo internet. En ese entonces solo había una sola línea de conexión
    • Ese día Usenet estaba demasiado silencioso. El edificio de ingeniería también
    • WPI no se infectó porque sus máquinas principales eran Encore Multimax y DEC-20
    • Yo estaba en una sala de cómputo de Stanford, y sentí cómo el sistema se volvía extremadamente lento poco a poco

  • Según Wikipedia, Clifford Stoll menciona en The Cuckoo’s Egg que Morris trabajó con amigos de Harvard
    Me preguntaba si Paul Graham alguna vez habló de eso

    • PG habló del tema en una entrevista (enlace)
      Dijo que el worm en sí era inofensivo, pero por un bug terminaban ejecutándose cientos de copias en una misma computadora y eso tiraba el sistema
    • PG también mencionó el incidente varias veces en sus ensayos (búsqueda)
    • En The Cuckoo’s Egg, aparece una escena donde el autor visita a Robert Morris de la NSA (el padre), y después se menciona el worm y a su hijo

  • El término “worm” viene de la novela de ciencia ficción de 1975 The Shockwave Rider (enlace en Wikipedia)

    • En esa novela, el worm servía para revelar información secreta al mundo, y hoy en día Wikileaks cumple ese papel

  • Creo que Paul Graham estuvo directamente involucrado en este incidente
    Si se hiciera una película, su papel sería de los que interpretaría un actor famoso (post relacionado en HN)

    • Me preguntaron por qué pensaba eso

  • En ese tiempo trabajaba como programador de sistemas en Purdue Engineering Computer Network
    Habíamos personalizado el OS y eso evitó algunas infecciones del worm, pero la vulnerabilidad del modo debug de sendmail seguía siendo un problema

    • La diversidad de sistemas es justo la clave de la seguridad. Aunque sea más difícil de administrar, ofrece una defensa mucho más sólida
    • Me pregunto si KSB también andaba por ahí en esa época. De verdad era una persona muy interesante

  • Esperaba una explicación técnica de cómo funcionaba el worm y por qué falló, pero me decepcionó que no estuviera
    Al final terminé yendo a Wikipedia