El caso: Reonel Ramones (El Hacker enamorado)

El 04 de mayo de 2000, aparece en Internet el virus IloveYou, se propaga a través del correo electrónico, con un mensaje cuyo asunto es I love you (Te quiero), llevando un archivo adjunto con el nombre "LOVE-LETTER-FOR-YOU.TXT.vbs", utiliza una doble extensión para tratar de ocultar que se trataba de un script de Visual Basic, en lugar de un archivo de texto, que al ser abierto infecta al ordenador, posteriormente se auto-envia a las direcciones de correo que el ordenador tenga en la agenda, propagando la infección.

De la Wikipedia:

El virus sobrescribe con su código los archivos con extensiones .VBS y .VBE.

Elimina los archivos con extensiones .JS, .JSE, .CSS, .WSH, .SCT y .HTA, y crea otros con el mismo nombre y extensión .VBS en el que introduce su código.

También localiza los archivos con extensión .JPG, .JPEG, .MP3 y .MP2, los elimina, y crea otros donde el nuevo nombre está formado por el nombre y la extensión anterior más VBS como nueva extensión real.

Tras esto, el virus crea varias entradas en el registro de configuración de Windows..

VBS/LovelLetter comprueba, en el directorio SYSTEM de Windows la existencia del fichero WinFAT32.exe.

Si lo encuentra genera un número aleatorio entre 1 y 5, y dependiendo del número que resulte, crea la entrada de registro 'HKCU\Software\Microsoft\InternetExplorer\Main\Start, a la que le asigna un valor para bajarse el fichero WIN-BUGSFIX. EXE.

Tras realizar esta operación, el virus genera, en el directorio SYSTEM de Windows el fichero LOVE-LETTER-FOR-YOU.HTM, que será el que posteriormente envíe por IRC.

Después, el gusano se envía a todas las direcciones que encuentra en el libro de direcciones de Microsoft Outlook.

Cuando ya se ha enviado por correo, VBS/LoveLetter realiza su efecto destructivo.

En concreto, busca en el path del disco duro y en el de todas las unidades de red archivos con extensión vbs, vbe, js, jse, css, wsh, sct y hta. Cuando los encuentra, los sobrescribe con su código, modifica su tamaño y les cambia la extensión a VBS, lo que conlleva la pérdida de toda la información contenida en los archivos. Si los archivos que encuentra poseen extensión jpg o jpeg también los sobrescribe, cambia su tamaño y les añade, al final la extensión VBS (quedando como jpg.vbs o jpeg.vbs).

Si VBS/LoveLetter encuentra un fichero con extensión mp3 o mp2 genera una copia de sí mismo con el nombre del archivo encontrado y añade la extensión VBS ocultando los ficheros originales.

El virus también comprueba si en el directorio en el que se está realizando la búsqueda se encuentra alguno de los siguientes ficheros: mirc32.exe, mlinnk32.exe, mirc.ini, scrip.ini o mirc.hlp. Si los encuentra crea el fichero 'script.ini', que será el encargado de mandar por IRC el fichero LOVE-LETTER-FOR-YOU.HTM a todo aquél que se conecte al mismo canal que él.

La infección tuvo su origen en Filipinas y en un solo día se propago a todo el mundo a través de Hong Kong, Europa y por último Estados Unidos.

Cinco días más tarde, había dieciocho mutaciones del virus, y al propagarse con esa velocidad colapso gran parte de Internet.

No había nada particularmente inteligente en el virus que explique por qué se había extendido con tanta rapidez, la razón de su "éxito" fue que había aprovechado una necesidad universal: el deseo de ser amado.

El lunes, 8 de mayo de 2000 agentes de la Oficina Nacional de Investigación (NBI) de Filipinas entran en un apartamento de Manila y arrestan a Reonel Ramones de 27 años de edad, empleado de Banca, que vivía junto a su novia Irene de Guzman de 23 años y el hermano de esta, Onel de Guzman.

Durante el registro, no se encontró ningún ordenador en el apartamento, lo único que se encontró fue un disco de ordenador que contenía un código similar al utilizado por el virus.

Aunque en un principio se culpo de la creación y propagación del virus a Reonel Ramones, ya que le habían encontrado ciertas evidencias, al aparecer había escrito ciertas rutinas para penetrar en otros sistemas, con el objeto de sustraer la información de tarjetas de crédito, después se hizo evidente que Reonel Ramones, no había sido el creador del virus, ya que este no tenía ningún fin lucrativo ya que el fin de este era meramente destructivo.

Las sospechas se centraron entonces en su cuñado Onel de Guzman.

En 1999, Onel de Guzmán, estudiante de la universidad de Informática AMA en Filipinas, presentó una propuesta de tesis, se trataba de un programa que robaba perfiles y contraseñas de otros usuarios con el fin de acceder a Internet de forma gratuita, la propuesta de De Guzmán fue rechazada por el consejo académico por entender que la Universidad no podía apoyar un comportamiento ilegal.

Onel de Guzman, dolido, por el rechazo empezó a fraguar su venganza, el el 4 de mayo de 2000 (el día antes de su día de graduación) un virus con un código parecido al proyecto de tesis de Guzmán se extendió rápidamente por todo el mundo.

Posteriormente se supo que de Guzmán y un compañero de estudios llamados Michael Buen ( autor del virus WM97/Michael-B) eran miembros de una banda de hackers, llamada GRAMMERSoft, que se dedicaba a vender programas piratas a pequeñas empresas y a la venta ilegal exámenes y apuntes a otros estudiantes de la Universidad.

El 13 de mayo de 2000 se habían producido 50 millones de infecciones alrededor del globo.

El virus atacó a El Pentágono , la CIA , el Parlamento Británico y numerosas empresas.

En España por ejemplo, el 80% de las empresas sufrieron los ataques del virus.

Se estimó que el valor de los daños causados fue entre 5000 y 8000 millones de dólares, derivados principalmente del trabajo de eliminación de los gusanos de los sistemas infectados, la venganza de Onel de Guzman estaba cumplida,

Yo creo que si Reonel Ramones, se confeso culpable de la creación y propagación del virus, fue por amor, aunque la jugada no le salio del todo mal, en Filipinas hasta entonces no existía legislación para penar este tipo de delitos, con lo que no se pudo actuar contra él, y después fue contratado con un sueldo al parecer bastante generoso, por una empresa holandesa, al creerlo muy hábil para entrar en redes de seguridad de internet.

Y lo curioso es que aunque las todas las evidencias apuntan a Onel de Guzman como creador del virus, es Reonel Ramones, quien encabeza las principales listas de Hacker creadores de virus.