Los antivirus son programas cuyo objetivo es detectar o eliminar virus informáticos.

Con el
transcurso del tiempo, la aparición de sistemas operativos más avanzados e internet, los
antivirus han evolucionado hacia programas más avanzados que además de buscar y detectar
virus informáticos consiguen bloquearlos, desinfectar archivos y prevenir una infección de los
mismos. Actualmente son capaces de reconocer otros tipos de malware como spyware,
gusanos, troyanos, rootkits, y el virus zombie etc.

Métodos de funcionamiento
De acuerdo a la tecnología empleada, un motor de antivirus puede funcionar de diversas
formas, pero ninguno es totalmente efectivo, según lo demostrado por Frederick Cohen, quien
en 1987 determinó que no existe un algoritmoperfecto para identificar virus.1
Algunos de los mecanismos que usan los antivirus para detectar virus son:

Firma digital: consiste en comparar una marca única del archivo con una base de datos de
virus para identificar coincidencias.

Detección heurística: consiste en el escaneo de los archivos buscando patrones de código que
se asemejan a los que se usan en los virus.

Detección por comportamiento: consiste en escanear el sistema tras detectar un fallo o mal
funcionamiento. Por lo general, mediante este mecanismo se pueden detectar software ya
identificado o no, pero es una medida que se usa tras la infección.

Detección por caja de arena (o sandbox): consiste en ejecutar el software en máquinas

virtuales y determinar si el software ejecuta instrucciones maliciosas o no. A pesar de que este
mecanismo es seguro, toma bastante tiempo ejecutar las pruebas antes de ejecutar el software
en la máquina real.

Un virus es un software que tiene por objetivo de alterar el funcionamiento normal de

cualquier tipo de dispositivo informático, sin el permiso o el conocimiento del usuario,
principalmente para lograr fines maliciosos sobre el dispositivo. Los virus, habitualmente,
reemplazan archivos ejecutables por otros infectados con el código de este. Los virus pueden
destruir, de manera intencionada, los datos almacenados en una computadora, aunque
también existen otros más inofensivos, que solo producen molestias.

Los virus informáticos tienen básicamente la función de propagarse a través de un software,

son muy nocivos y algunos contienen además una carga dañina (payload) con distintos
objetivos, desde una simple broma hasta realizar daños importantes en los sistemas, o
bloquear las redes informáticasgenerando tráfico inútil. El funcionamiento de un virus
informático es conceptualmente simple. Se ejecuta un programa que está infectado, en la
mayoría de las ocasiones, por desconocimiento del usuario. El código del virus queda residente
(alojado) en la memoria RAM de la computadora, incluso cuando el programa que lo contenía
haya terminado de ejecutar. El virus toma entonces el control de los servicios básicos
del sistema operativo, infectando, de manera posterior, archivos ejecutables que sean llamados
para su ejecución. Finalmente se añade el código del virus al programa infectado y se graba en
el disco, con lo cual el proceso de replicado se completa.

Tipos de virus
Existen diversos tipos de virus, varían según su función o la manera en que este se ejecuta en
nuestra computadora alterando la actividad de la misma, entre los más comunes están:

Recycler: Consiste en crear un acceso directo de un programa y eliminar su aplicación original,

además al infectar un pendrive convierte a toda la información en acceso directo y oculta el
original de modo que los archivos no puedan ser vistos, pero con la creación de un
archivo batch que modifique los atributos de los archivos contenidos en el pendrive, estos
podrían ser recuperados.

Troyano: Consiste en robar información o alterar el sistema del hardware o en un caso extremo
permite que un usuario externo pueda controlar el equipo.
Bombas lógicas o de tiempo: Son programas que se activan al producirse un acontecimiento
determinado. La condición suele ser una fecha (bombas de tiempo), una combinación de
teclas, o ciertas condiciones técnicas (bombas lógicas). Si no se produce la condición
permanece oculto al usuario.

Gusano: Tiene la propiedad de duplicarse a sí mismo.

Hoax: Los hoax no son virus ni tienen capacidad de reproducirse por sí solos. Son mensajes
de contenido falso que incitan al usuario a hacer copias y enviarla a sus contactos. Suelen
apelar a los sentimientos morales («Ayuda a un niño enfermo de cáncer») o al espíritu de
solidaridad («Aviso de un nuevo virus peligrosísimo») y, en cualquier caso, tratan de
aprovecharse de la falta de experiencia de los internautas novatos.

Joke: Al igual que los hoax, no son virus, pero son molestos, un ejemplo: una página
pornográfica que se mueve de un lado a otro, y si se le llega a dar a cerrar es posible que salga
una ventana que diga error.

Otros tipos por distintas características son los que se relacionan a continuación:

Virus residentes:
La característica principal de estos virus es que se ocultan en la memoria RAM de forma
permanente o residente. De este modo, pueden controlar e interceptar todas las operaciones
llevadas a cabo por el sistema operativo, infectando todos aquellos ficheros y/o programas que
sean ejecutados, abiertos, cerrados, renombrados, copiados. Algunos ejemplos de este tipo de
virus son: Randex, CMJ, Meve, MrKlunky.

Virus de acción directa:

Al contrario que los residentes, estos virus no permanecen en memoria. Por tanto, su objetivo
prioritario es reproducirse y actuar en el mismo momento de ser ejecutados. Al cumplirse una
determinada condición, se activan y buscan los ficheros ubicados dentro de su mismo directorio
para contagiarlos.

Virus de sobreescritura:
Estos virus se caracterizan por destruir la información contenida en los ficheros que infectan.
Cuando infectan un fichero, escriben dentro de su contenido, haciendo que queden total o
parcialmente inservibles.

Virus de boot (bot_kill) o de arranque:

Los términos boot o sector de arranque hacen referencia a una sección muy importante de un
disco o unidad de almacenamiento CD, DVD, memorias USB, etc. En ella se guarda la
información esencial sobre las características del disco y se encuentra un programa que
permite arrancar el ordenador. Este tipo de virus no infecta ficheros, sino los discos que los
contienen. Actúan infectando en primer lugar el sector de arranque de los dispositivos de
almacenamiento. Cuando un ordenador se pone en marcha con un dispositivo de
almacenamiento, el virus de boot infectará a su vez el disco duro.
Los virus de boot no pueden afectar al ordenador mientras no se intente poner en marcha a
este último con un disco infectado. Por tanto, el mejor modo de defenderse contra ellos es
proteger los dispositivos de almacenamiento contra escritura y no arrancar nunca el ordenador
con uno de estos dispositivos desconocido en el ordenador.

Algunos ejemplos de este tipo de virus son: Polyboot.B, AntiEXE.

Virus de enlace o directorio:

Los ficheros se ubican en determinadas direcciones (compuestas básicamente por unidad de

disco y directorio), que el sistema operativo conoce para poder localizarlos y trabajar con ellos.

Los virus de enlace o directorio alteran las direcciones que indican donde se almacenan los
ficheros. De este modo, al intentar ejecutar un programa (fichero con extensión EXE o COM)
infectado por un virus de enlace, lo que se hace en realidad es ejecutar el virus, ya que éste
habrá modificado la dirección donde se encontraba originalmente el programa, colocándose en
su lugar.

Una vez producida la infección, resulta imposible localizar y trabajar con los ficheros originales.

Virus cifrados:
Más que un tipo de virus, se trata de una técnica utilizada por algunos de ellos, que a su vez
pueden pertenecer a otras clasificaciones. Estos virus se cifran a sí mismos para no ser
detectados por los programas antivirus. Para realizar sus actividades, el virus se descifra a sí
mismo y, cuando ha finalizado, se vuelve a cifrar.

Virus polimórficos:
Son virus que en cada infección que realizan se cifran de una forma distinta (utilizando
diferentes algoritmos y claves de cifrado). De esta forma, generan una elevada cantidad de
copias de sí mismos e impiden que los antivirus los localicen a través de la búsqueda de
cadenas o firmas, por lo que suelen ser los virus más costosos de detectar.

Virus multipartitos
Virus muy avanzados, que pueden realizar múltiples infecciones, combinando diferentes
técnicas para ello. Su objetivo es cualquier elemento que pueda ser infectado: archivos,
programas, macros, discos, etc.

Virus del fichero

Infectan programas o ficheros ejecutables (ficheros con extensiones EXE y COM). Al
ejecutarse el programa infectado, el virus se activa, produciendo diferentes efectos.

Virus de FAT:
La tabla de asignación de ficheros o FAT (del inglés File Allocation Table) es la sección de un
disco utilizada para enlazar la información contenida en éste. Se trata de un elemento
fundamental en el sistema. Los virus que atacan a este elemento son especialmente
peligrosos, ya que impedirán el acceso a ciertas partes del disco, donde se almacenan los
ficheros críticos para el normal funcionamiento del ordenador.

Virus hijackers:
Son programas que secuestran navegadores de internet principalmente el explorer. Los
hijackers alteran las páginas iniciales del navegador e impide que el usuario pueda cambiarla,
muestra publicidad en pops ups. Instala nuevas herramientas en la barra del navegador y a
veces impiden al usuario acceder a ciertas páginas web. Un ejemplo puede ser no poder
acceder a una página de antivirus.

Virus Zombie:
Son programas que secuestran computadoras de forma que es controlada por terceros. Se
utiliza para diseminar virus, keyloggers y procedimientos invasivos en general. Esto puede
ocurrir cuando la computadora tiene el firewall y su sistema operativo desactualizado.

Virus Keylogger:
Este virus se encarga de registrar cada tecla que sea pulsada, en algunos casos también
registran los clics. Son virus que quedan escondidos en el sistema operativo de manera que la
víctima no tiene como saber que está siendo monitorizada. Los keyloggers se utilizan
usualmente para robar contraseñas de cuentas bancarias, obtener contraseñas personales
como las del E-mail, Facebook, etc.
Acciones de los virus
 Algunas de las acciones de algunos virus son:
 Unirse a cualquier programa permitiendo su propagación y siendo más costoso
liberarse de él.
 Ralentizar el dispositivo.
 Reduciendo el espacio en el disco.
 Mostrando ventanas de forma constante.
 Corrompiendo archivos del dispositivo, en algunos casos archivos vitales para el
funcionamiento del dispositivo.
 Descargando archivos o programas basura
 Apagando o reiniciando su dispositivo
 Haciendo llamadas a tus contactos u otros números con mayor costo
 Eliminar todos los datos guardados en el disco duro

1) ¿Quien creo los virus?

La palabra virus proviene del latín y significa veneno.
Los inicios de lo que conocemos como virus informático se remontan a 1949, cuando
el pionero de la computación John von Neumann presentó un artículo denominado
"Theory and Organization of Complicated Automata" en el cual postula que un
programa de computadora se puede replicar. Los empleados de los Laboratorios Bell
le dieron vida a esa fascinante teoría en los años 50 en un juego denominado "Core
Wars"; en ese juego, dos programadores creaban "organismos" de software y
esperaban a que tomaran control del computador

2) No fue hasta hasta el 10 de noviembre de 1983, durante la celebración de un

seminario de seguridad en la Universidad de Lehigh en Pensilvania (EE.UU.), cuando
se empleó el término virus informático por primera vez.
El estudiante Fred Cohen presentó durante el curso un programa experimental capaz
de infectar computadoras, hacer copias de sí mismo y propagarse de un equipo a otro.
Este modo de funcionamiento hizo que el profesor de Cohen, Len Adleman, lo
comparase con el de un virus que ataca el cuerpo humano.
3) Core War: El pionero de los malware
En realidad, Core War no fue un virus informático, sino más bien un juego mediante el
cual se propagó uno de los primeros software con características maliciosas que
afectaba la memoria de las computadoras y podía auto replicarse.
Este juego fue desarrollado por un grupo de programadores de la compañía Bell
Computer, quienes en la década del 60 crearon una sencilla aplicación que competía
con el resto de los programas que se ejecutaban en una computadora con el fin de
obtener el control absoluto de la memoria del equipo.
De esta manera, Core War se convirtió en el primer programa capaz de lograr auto
replicarse, ocasionando así trastornos en la ejecución de otras aplicaciones. Es por
ello, que suele ser considerado como uno de los precursores de los virus informáticos
de la historia de la computación.
4) Creeper: El primer virus de la historia
A pesar de que Core War seguramente marcó el comienzo de la era de los virus
informáticos, lo cierto es que el famoso Creeper fue el primer virus que incluía las
características típicas de un verdadero malware.
Creeper fue creado por Bob Thomas en el año 1971, y fue especialmente escrito para
atacar al sistema operativo Tenex.
Cuando Creeper llegaba a una computadora, por lo general por intermedio de los
nodos de la ARPANET, el malware se autoejecutaba y comenzaba a mostrar el
siguiente mensaje: "I'm the creeper, catch me if you can!", que en español sería algo
así como "Soy la enredadera, atrápame si puedes!".
5) Reaper: El primer antivirus
Después de varios estragos por parte de Creeper, que dejó varias computadoras en
desuso temporal, como forma de terminar con este malware surgió otro virus
denominado Reaper (o “Segadora”), el cual se propagaba a través de la red en busca
de las máquinas infectadas con Creeper para eliminarlo.
De esta manera, la historia de la computación y la informática presenciaba el
nacimiento del primer antivirus, ya que a pesar de haber sido diseñado con
características de malware, Reaper cumplió en definitiva una función de antídoto, ante
la propagación de Creeper.
6) Fue en el año 1985 cuando comenzaron a aparecer los denominados primeros
caballos de Troya o Troyanos, los cuales por lo general se presentaban disfrazados,
por un lado el virus que se escondía bajo una imagen de programa de mejora de
gráficos llamado EGABTR, y por el otro el famoso juego llamado NUKE-LA.
7) Brain: El primer virus masivo
En el año 1986 llegó el que fue considerado el primer virus masivo de la historia de la
informática, ya que el denominado Brain había sido escrito para atacar el sistema MS-
DOS y era totalmente compatible con IBM PC.
Fue creado por un grupo de amigos oriundos de la ciudad de Lahore, Paquistán,
quienes se encargaron de distribuirlo vendiendo copias del mismo insertadas
en diskettes pirateados de programas comerciales, entre los que se encontraban los
populares Lotus, SuperCalc y Wordstar. De esta manera, Brain llegó rápidamente a los
Estados Unidos, donde se infectaron más de 20.000 computadoras en pocos meses.
La llegada de Brain dio el puntapié inicial para la creación de malware más sofisticado,
no sólo por sus métodos de propagación sino también por su metodología de
ataque. Cuando Brain llegaba a una computadora se autoejecutaba y comenzaba
a infectar el sector de BIOS correspondiente al arranque de los discos del equipo.
Para evitar ser identificado, se ocultaba interceptando y modificando todas las ordenes
que ejecutaba el sistema operativo para la detección de virus, respondiendo con
valores que señalaban que la máquina se encontraba en orden. Muchos usuarios no
comprendían porqué su computadora no funcionaba normalmente, ya que al parecer
éstas no habían sido infectadas.
Tal fue la popularidad que alcanzó este malware, que los códigos de Brain fueron
alterados en innumerables ocasiones por distintos programadores, dando así origen al
nacimiento de infinidad de versiones del virus Brian.
El fenómeno se tornó realmente peligroso cuando el virus atacó los sistemas de correo
electrónico de la compañía IBM, luego de lo cual el Centro de Investigación Thomas J.
Watson, de Yorktown Heights, NY, comenzó a trabajar en el campo de los virus.
8) Melissa: El virus ofimático
Continuando con la retrospectiva en la historia de los virus informáticos más famosos
de la historia, en el mes de marzo de 1999 hizo su debut el virus denominado Melissa,
que llegó a infectar más de 100.000 computadoras en sólo tres días, logrando un
nuevo récord en cuanto a propagación de malware.
Básicamente, Melissa fue un virus perteneciente a los malware del tipo macro, los
cuales se caracterizan por ocultar el código fuente malicioso dentro de la macro de un
documento. De esta manera, el virus Melissa logró propagarse a través de
documentos de texto creados en Microsoft Word o planillas de cálculos de Microsoft
Excel.
Creado por David L. Smith, para su propagación el virus se encontraba oculto en el
interior de documentos de Office, es decir que debía ser leído con aplicaciones
pertenecientes a la suite ofimática de Microsoft Office, el cual prometía contener una
infinidad de contraseñas para ingresar a una larga lista de páginas webs eróticas de
pago.
Cada vez que un usuario abría el documento que contenía Melissa, el virus lograba
infectar la plantilla de documento por defecto de la suite ofimática, y a partir de allí
todos los archivos creados con esa suite contenían la macro con el código del virus.
En su importante capacidad de replicación y su método de infección radicó el éxito de
la proliferación de Melissa.
9) I Love You: El gusano del amor en el correo electrónico
Cuando la década de los noventa nos dejaba, precisamente en el mes de mayo de
2000 se produjo una infección de virus masiva de computadoras que afectó a más de
50 millones de PCs en todo el mundo, ocasionando pérdidas de aproximadamente
5.500 millones de dólares.
El virus que produjo tales daños fue denominado I Love You, el cual fue creado por un
hacker filipino que se hacía llamar Spyder, quien había diseñado un simple gusano
escrito en lenguaje VBScript.
I Love You se propagaba a través del correo electrónico. En distintas partes del
mundo, los usuarios recibían un email, cuyo remitente era conocido por el receptor del
mensaje, el cual llevaba por asunto “ILOVEYOU”.
El correo incluía un archivo adjunto con formato VBScript titulado “LOVE-LETTER-
FOR-YOU.TXT.vbs“, y por supuesto un mensaje en el cual se le pedía al destinatario
que leyera la carta de amor adjunta.
Cuando el usuario ejecutaba el script, el virus comenzaba a hacer de las
suyas, propagándose a través de mensajes reenviados a todos los
contactos pertenecientes a la libreta de direcciones del usuario, y utilizando la
dirección de correo electrónico de éste.
El daño provocado por este virus consistía en instalar un troyano en las
computadoras para destruir todos los archivos con extensión doc, vbs, vbe, js, jse, css,
wsh, sct, hta, jpg y jpeg que se encontraban almacenados en los equipos infectados,
reemplazando estos documentos por una copia del script.
I Love You se convirtió en una verdadera epidemia, que incluso en sólo una semana
llegó a infectar al Pentágono, la CIA y el parlamento británico.

10) Nimda: El supuesto ataque de Al Qaeda

Siguiendo con el desarrollo de la historia de los virus más famosos en el mundo
informático, no podemos dejar de mencionar el famoso Nimda, que en realidad se trató
de la palabra Admin escrita al revés, y que se propagó en el mes de septiembre de
2001 creando una verdadera paranoia a nivel mundial.
A pocos minutos de su distribución inicial a través de Internet, Nimda se convirtió en
uno de los virus de mayor propagación de la historia, ya que logró infectar a más de
medio millón de computadoras en un lapso de sólo 12 horas.
Su ataque virulento y su forma de propagación causó pánico en una gran porción de la
población, ya que se había difundido el rumor de que se trataba de un virus del tipo
gusano distribuido por terroristas pertenecientes al grupo de Al Qaeda.
Nimba utilizaba distintos métodos de infección, de ahí su rápida y voraz propagación
de PC a PC.
La primera técnica era a través del envío de un archivo titulado readme.exe que se
propagaba a través de correos electrónicos infectando los clientes de correo con
virus y utilizando la libreta de direcciones del usuario.
Además producía un desbordamiento de búfer, para lograr infectar servidores
webs que trabajaban con la plataforma Microsoft IIS, utilizando recursos compartidos
de la red desde la computadora infectada.
Dentro de los servidores webs, Nimba se encargaba de modificar los archivos con
extensión html, htm y asp, a los cuales les añadía un código malicioso escrito en
JavaScript, que descargaba y ejecutaba el gusano en las computadoras de los
clientes.
Asimismo, se aprovechaba de los daños causados por otros virus, tales como Code
Red II y Sadmind que creaban vulnerabilidad en los accesos de las PCs, dando lugar
al ingreso de Nimba.