Caso ILoveYou 2000
12/03/2025
En mayo de 2000, el mundo fue testigo de uno de los ciberataques más notorios de la historia: «ILOVEYOU». Este ataque, infectó a más de 50 millones de ordenadores y causó pérdidas estimadas en más de 10.000 millones de dólares y dejó una huella indeleble en la ciberseguridad y sigue siendo un recordatorio de la importancia de protegerse en línea.
Veamos el caso del virus ILOVEYOU
¿Qué pasó? El 4 de mayo de 2000 el virus ILOVEYOU se envía desde Filipinas a una dirección de correo electrónico. El primer usuario recibió un mensaje aparentemente inofensivo que contenía un archivo adjunto llamado «LOVE-LETTER-FOR-YOU.txt.vbs». Al abrirlo el virus se activó y se propagó a sus contactos enviando mensajes con el asunto ILOVEYOU y con el adjunto «LOVE-LETTER-FOR-YOU.txt.vbs». El nombre del archivo y el mensaje eran ingeniosos para engañar a las víctimas, ya que parecía un mensaje de amor o amistad.
Al día siguiente el mensaje ya ha llegado a Estados Unidos, Europa y América Latina, infectando a millones de ordenadores de empresas, instituciones y usuarios domésticos. Se identifican las primeras variantes del gusano con diferentes asuntos y archivos adjuntos.
El 13 de mayo de 2000 se habían reportado 50 millones de infecciones alrededor del mundo, cifra que representaba al 10 por ciento del total de computadores con conexión a Internet en esa época. El virus atacó a El Pentágono, la CIA, el Parlamento Británico y las grandes empresas.
En España, por ejemplo, el 80% de las empresas sufrieron los ataques del virus. Entre ellas Telecinco, El País, SER, Asociación de Internautas (AI).
Se estimó que el valor de los daños causados fue entre 5.5 a 8.7 miles de millones de dólares, derivados principalmente del trabajo de eliminación de los gusanos de los sistemas infectados.
¿Cómo funciona el ataque de ILOVEYOU? VBS/LoveLetter llega al usuario en un mensaje de correo electrónico que tiene por Asunto: ‘ILOVEYOU’ e incluye un fichero llamado ‘LOVE-LETTER-FOR-YOU. TXT.vbs’. Cuando este virus se ejecuta, crea varias copias de sí mismo en el disco duro con los siguientes nombres:
MSKernel32.vbs (en el directorio SYSTEM de Windows) Win32DLL.vbs (en el directorio de instalación de Windows) LOVE-LETTER-FOR-YOU.TXT.vbs (en el directorio SYSTEM de Windows) Tras esto, el virus crea varias entradas en el registro de configuración de Windows.
VBS/LovelLetter comprueba, en el directorio SYSTEM de Windows, la existencia del fichero WinFAT32.exe. Si lo encuentra genera un número aleatorio entre 1 y 5, y dependiendo del número que resulte, crea la entrada de registro ‘HKCU\Software\Microsoft\InternetExplorer\Main\Start, a la que le asigna un valor para bajarse el fichero WIN-BUGSFIX. EXE
Tras realizar esta operación, el virus genera, en el directorio SYSTEM de Windows, el fichero LOVE-LETTER-FOR-YOU.HTM, que será el que posteriormente envíe por IRC. Después, el gusano se envía a todas las direcciones que encuentra en el libro de direcciones de Microsoft Outlook.
Cuando ya se ha enviado por correo, VBS/LoveLetter realiza su efecto destructivo. En concreto, busca en el path del disco duro y en el de todas las unidades de red archivos con extensión vbs, vbe, js, jse, css, wsh, sct y hta. Cuando los encuentra, los sobrescribe con su código, modifica su tamaño y les cambia la extensión a VBS, lo que conlleva la pérdida de toda la información contenida en los archivos.
Si los archivos que encuentra poseen extensión jpg o jpeg también los sobrescribe, cambia su tamaño y les añade al final la extensión VBS (quedando como jpg.vbs o jpeg.vbs).
Si VBS/LoveLetter encuentra un fichero con extensión mp3 o mp2 genera una copia de sí mismo con el nombre del archivo encontrado y añade la extensión VBS ocultando los ficheros originales. El virus también comprueba si en el directorio en el que se está realizando la búsqueda se encuentra alguno de los siguientes ficheros: mirc32.exe, mlinnk32.exe, mirc.ini, scrip.ini o mirc.hlp. Si los encuentra crea el fichero ‘script.ini’, que será el encargado de mandar por IRC (Internet Relay Chat) que es un servicio de mensajería instantánea muy popular en aquella época y que aun se sigue usando, el fichero LOVE-LETTER-FOR-YOU.HTM a todo aquel que se conecte al mismo canal que él.
¿Cómo se detuvo el ataque de ILOVEYOU? El ataque del gusano ILOVEYOU se detuvo gracias a la colaboración de varias entidades, como Microsoft, los proveedores de servicios de Internet, los fabricantes de antivirus y las autoridades policiales.
Microsoft lanzó un parche de seguridad para corregir la vulnerabilidad que permitía al gusano ejecutarse al abrir el archivo adjunto. Los proveedores de servicios de Internet bloquearon o filtraron los correos electrónicos con el asunto “ILOVEYOU” o con el archivo «LOVE-LETTER-FOR-YOU.TXT.vbs». Los fabricantes de antivirus actualizaron sus bases de datos y ofrecieron herramientas gratuitas para eliminar el gusano de los ordenadores infectados.
¿Quiénes fueron los responsables? El día 8 de mayo, Reonel Ramones, un empleado bancario de 27 años, fue detenido en Manila por la Oficina Nacional de Investigaciones (NBI) de la policía de Filipinas y acusado preliminarmente de vulnerar la Ley Normativa sobre Instrumentos de Acceso, cuyo principal objetivo es proteger las contraseñas para las tarjetas de crédito. Sin embargo, fue liberado al día siguiente por orden de la justicia filipina, al carecer de pruebas suficientes para mantenerlo bajo custodia. La acusación se había fundamentado en una queja de un proveedor de servicios de Internet de que el virus se había originado en la vivienda en que Ramones vivía con su compañera, Irene de Guzmán, y el hermano de esta, Onel de Guzmán. Todos ellos habían estudiado en el Colegio de Computación AMA de Manila (AMACC).
Tres días más tarde Onel de Guzmán, un estudiante filipino de 24, se presentó con su abogado en conferencia de prensa para reconocer que pudo haber trasmitido el virus «accidentalmente».
Tomando como base los programas encontrados en la vivienda de Guzmán y Ramones por la policía, se dijo en un primer momento que el virus había sido elaborado por un grupo de estudiantes del Colegio de Computación AMA denominado «GRAMMERSoft», grupo al cual pertenecía Guzmán.
Sin embargo, este luego confesaría que había creado el virus por sí solo, y que correspondía a la aplicación de sus tesis: una guía sobre cómo robar códigos secretos a través de Internet o cómo introducirse en un ordenador ajeno y tomar su control.
Pese a que en un principio la Oficina Nacional de Investigaciones (NBI) imputó cargos a Guzmán tomando como base la Ley Normativa sobre Instrumentos de Acceso, el 21 de agosto la justicia de Filipinas los desestimó todos, puesto que esta Ley no se aplicaba a la intrusión en las computadoras. De hecho, en ese momento Filipinas carecía de leyes sobre delitos informáticos, y por lo mismo, a Guzmán se le retiraron todos los cargos.
Su caso impulsó la creación de la Ley contra la Cibercriminalidad de 2012, que tipifica como delito la creación y distribución de malware
¿Qué podemos aprender? El virus ILOVEYOU fue uno de los primeros ejemplos de cómo un simple programa malicioso podía causar un enorme impacto en la sociedad y la economía global. El virus demostró la importancia de mantener actualizados los sistemas operativos y los programas antivirus, así como de educar a los usuarios sobre los riesgos y las buenas prácticas en el uso del correo electrónico y otras herramientas online.
Este virus también mostró la necesidad de contar con una legislación adecuada y una cooperación internacional para prevenir y perseguir los delitos informáticos.
