INTRODUCCIÓN

    Los virus informáticos han sido denominados así porque se parecen a los virus biológicos. Ambos atacan agentes externos con la única intención de modificar o dañar su información y reproducirse. De ahí que a las amenazas informáticas de este tipo se les llame también virus.
 
    Los virus informáticos son programas que interfieren con el hardware de un ordenador o con su sistema operativo; estos programas están diseñados para reproducirse y evitar su detección, pero hasta que no se ejecuta el programa infectado o se cumple una determinada condición, denominada condición de activación (una fecha concreta, una acción que realiza el usuario,...), el virus no actúa. Incluso en algunas ocasiones, los efectos producidos por el virus, aparecen tiempo después de su ejecución; este efecto se denomina payload. Cabe reseñar que algunos virus, como veremos más adelante, no utilizan condición de activación, si no que basta con ser ejecutados para comenzar la infección.
 
    Una característica típica de los virus, como bien hemos dicho anteriormente, es su capacidad de reproducirse y propagarse a otros ficheros o programas. Cuando el virus entra en la máquina, se oculta estratégicamente para provocar que el usuario lo ejecute de manera no intencionada. Los efectos que produce un virus pueden ser destructivos o simplemente molestos: dañar o borrar los datos almacenados en un ordenador, bloquear el equipo afectado, mostrar mensajes en pantalla, etc. Además de contar con técnicas de propagación e infección, en la actualidad existen virus que también utilizan técnicas de "evasión". Esto quiere decir que el virus cuenta con técnicas o sistemas de defensa que le permiten dificultar su detección y evitar las acciones que se llevan a cabo contra él.
 
    Existen algunos programas que, sin llegar a ser virus, ocasionan problemas al usuario. Estos programas carecen de por lo menos una de las tres características identificatorias de un virus que son las siguientes: su única finalidad es siempre negativa para el usuario (dañar o molestar), el virus se autoreproduce (casi siempre), o es subrepticio (está creado o manipulado de forma oculta, a escondidas).
 
    Los virus tienen el fin ineludible de causar daño en cualquiera de sus formas, y lo hacen en cualquiera de sus tres partes o módulos:
 
 
    El módulo de reproducción se encarga de manejar las rutinas de "infección" de archivos ejecutables (o archivos de datos, en el caso de los virus de macro) a fin de que el virus pueda ejecutarse de forma oculta. Pudiendo, de esta manera, tomar el control del sistema e infectar otros archivos permitiendo que se traslade de un ordenador a otro a través de algunos de estos archivos.
 
    El módulo de ataque es optativo. En caso de estar presente es el encargado de manejar las rutinas de daño adicional del virus. Por ejemplo, el conocido virus Michelangelo, además de producir los daños que se detallarán más adelante, tiene un módulo de ataque que se activa cuando el reloj del ordenador indica 6 de Marzo. En estas condiciones la rutina actúa sobre la información del disco duro volviéndola inutilizable.
 
    El módulo de defensa tiene, obviamente, la misión de proteger al virus y, como el de ataque, puede estar o no presente en la estructura. Sus rutinas apuntan a evitar todo aquello que provoque la eliminación o inutilización del virus y retardar, en todo lo posible, su detección.
 

                El ciclo de vida de un virus se estructura en cuatro etapas, como se detalla a continuación:


     Nacimiento: los virus, como todo programa informático, son creados por programadores, o son el producto de mutaciones o modificaciones de otros virus. Están ligados directamente a la arquitectura para la que han sido diseñados y suelen estar programados en el ensamblador de la máquina. Para su creación es necesario tener unos conocimientos más o menos avanzados de la arquitectura, pero estos conocimientos están disponibles fácilmente a través de la bibliografía adecuada. De hecho, los virus han ido evolucionando constantemente, desde versiones muy simples y fácilmente identificables, hasta versiones muy sofisticadas que utilizan toda una serie de técnicas de ocultación para evitar ser detectados y destruidos.


    Difusión: la difusión de un virus informático tiene dos variantes:
 

                    • La transmisión del virus entre distintos ordenadores. Esto es, la infección de un nuevo ordenador.
                    • La infección o replicación del virus dentro del mismo ordenador a partir de un fichero anterior infectado.
 
    Existen diversas formas en las que puede transmitirse un virus informático. Las más usuales son las siguientes:

 
                    • Por realizar copias de programas infectados de otro ordenador.
                    • Por recibir una copia de un programa infectado de otra persona.
                    • Por cargar un programa shareware o freeware de cualquier lugar de la red.
                    • Por obtener un fichero o aplicación original infectado.
 
    En cuanto a la infección, el modo en que esta se produce depende del tipo de virus, como veremos más adelante.
 
    Latencia: para dificultar la localización del origen del virus, y sabotear los intentos de detección, algunos virus permanecen inactivos durante cierto tiempo, o hasta que se da alguna condición en particular desde el momento de la infección original. Este periodo de espera se denomina latencia.
 
    Aunque se ejecute el programa infectado, si no se cumple la condición de activación el virus no arrancará su rutina de ataque. Durante el periodo de latencia los virus pueden permanecer completamente inactivos sin ni siquiera infectar nuevos ficheros, o pueden dedicarse a reproducirse pero sin lanzar su ataque.
 
    Activación o ataque: tras haber pasado por el periodo de latencia y haber infectado toda una serie de ficheros, se produce la activación y con ello el ataque del virus.
 
    La activación del virus se produce ante una determinada condición de activación. Estas condiciones pueden ser muy variadas. Algunas de las más típicas son las siguientes:

 
                    • En una fecha y/o hora determinada. Realmente cuando el reloj del sistema la muestre.
                    • Después de infectar un número dado de ficheros y/o discos.
                    • Después de que el ordenador arranque un número dado de veces.
                    • Al detectar la ejecución de alguna aplicación en concreto. Por ejemplo algún programa antivirus
                      en particular.
                    • De forma aleatoria.
 

   Una vez se produce la activación del virus, éste ejecuta su rutina de ataque. La variedad de métodos de ataque es enorme, y está tan solo limitada por la imaginación del creador del virus. Básicamente, podemos distinguir entre ataques inofensivos y aquellos que afectan a la información almacenada.
 
    Entre los ataques "inofensivos" destacan los siguientes:

                   • Mostrar un mensaje en pantalla.
                    • Hacer rebotar una pelotita por la pantalla.
                    • Mostrar unos barrotes verticales.
                    • Hacer que la información de pantalla parezca deslizarse hacia la parte baja de la misma.
                    • Producir algún tipo de música.

   Los primeros virus eran en su mayor parte "benignos" y sólo posteriormente comenzaron a proliferar aquellos que realizaban ataques "malignos".
 
    Entre los ataques malignos que puede desarrollar un virus podemos citar:

• Borrar algunos ficheros de modo aleatorio.
• Borrar la información de un disco.
• Formatear el disco duro.

    Como todo informático sensato debe saber, un virus, que en definitiva no es más que una pieza de software, no puede dañar el hardware de la máquina, ni corroer sus circuitos ni hacer estallar la pantalla ni ninguna barbaridad similar.
 
    ¿Cómo detectar un virus?: es posible sospechar sobre la existencia de un virus en el ordenador, pero sólo se tiene la certeza completa cuando se detecta utilizando alguna herramienta antivirus (programas que detectan y eliminan virus).
 
    Alguna de las acciones que puede llevar a cabo un virus es lo suficientemente representativa como para ser conscientes de ello: se muestran mensajes en pantalla, se ralentiza el trabajo, cambian las características de algunos archivos, desaparecen archivos y/o carpetas, el ordenador no arranca, se pierde todo el contenido del disco infectado,... etc.
Como ejemplo, se muestra el cuadro de diálogo que presenta el virus VBS/Mawanella
 
    ¿Qué elementos infectan los virus?: el objetivo principal de los virus son los ficheros que se encuentran en un medio de almacenamiento como los discos duros o disquetes. Más concretamente suelen ser infectados todos aquellos archivos, ficheros o documentos que tengan la característica de ser programas, es decir, que tengan extensión .EXE o .COM, que se puede ejecutar para que realice determinadas operaciones.
 
    También existen virus que se encargan de infectar ficheros que no son programas. No obstante, estos ficheros contendrán elementos, denominados macros, incluidos en ellos. Estas macros son programas que el usuario puede incluir dentro de un determinado tipo de archivos, sobre todo utilizados en Excel, Word...
 
    Otro de los objetivos fijados por los virus para sus ataques suelen ser los propios medios de almacenamiento. De esta forma, atacando a los lugares en los que se guardan ficheros, el daño provocado afectará a toda la información contenida en ellos.
 
    Como veremos más adelante, los elementos infectados es una buena elección en base a realizar una clasificación de las amenazas.