El propagador del virus ILOVEYOU no es necesariamente su creador

PARIS.--- El creador del virus ILOVEYOU no tiene por qué ser el mismo que lo propagó al correo electrónico de millones de ordenadores en todo el mundo, lo cual complica un poco más la investigación para detener al responsable de este ataque informático de una envergadura sin precedentes.
"Los creadores no son forzosamente los propagadores", subraya un experto francés de la lucha antivirus, Marc Blanchard, responsable de investigaciones del laboratorio europeo de la sociedad californiana Trend Micro.
Según este experto, "los creadores son a menudo personas que practican una especie de deporte intelectual, gente que quiere probar que los sistemas informáticos tienen fallos".
"Además", añade, "todos los creadores de virus son anti-Microsoft. Cuando vemos el número de ataques contra Microsoft en comparación a Linux, un sistema de explotación comparable a Windows pero de libre acceso, nos encontramos que hay algunas decenas por más de 40.000 contra Microsoft", explica.
Estos virus, teóricamente puestos a punto "con fines educativos", son los más fácilmente accesibles para los "hackers", los piratas que se introducen en los sistemas informáticos de las empresas o las instituciones. "Los que se interesan por estos virus pueden recuperar dos o tres cepas en una web para estudiarlas y así poner a prueba sus programas anti-virus", explica el experto francés.
"El virus puede parecer inoperante, pero en realidad empieza a hacer su trabajo", prosigue. Por poco que el "estudioso de la informática" lleve un disquete a su oficina, el virus puede propagarse sin que haya forzosamente en el origen un ataque programado. En la mayor parte de los países, no obstante, la ley no diferencia entre ambas actividades: el propagador del virus puede ser penalmente responsable "de una especie de homicidio informático por imprudencia".
"Tal vez vamos a detener en Filipinas o en otro país al propagador, pero sin duda no vamos a agarrar al creador", asegura Marc Blanchard. Para llegar hasta el propagador, los investigadores deben seguir el canal de los proveedores de acceso a internet.
"Cada proveedor es capaz de detectar cuándo hay un tráfico anormal vigilando los canales que lo conectan a internet", precisa el experto. A partir de ahí, se puede recuperar todas las huellas (cada conexión a internet supone un proceso de autentificación que deja una huella) dejadas durante las conexiones en un determinado tiempo.
El sistema informático del proveedor de acceso puede recuperar estas huellas e identificar, por ejemplo, cuando un tráfico anormal de alguien que envía brutalmente 50 mensajes electrónicos cuando normalmente está enviando unos pocos por semana.
Así se identifica estadísticamente a un grupo de personas sospechosas por su tráfico. "A partir de ahí hace falta ver los envíos de cada una de estas personas. Se trata de una verdadera investigación policial, que puede ser como buscar una aguja en un pajar, pero se puede conseguir. En el mejor de los casos, se llega a un único propagador, que no es forzosamente el creador del virus", concluye Marc Blanchard.