Manzanas y gusanos

¿Está siendo atacado el sistema operativo más elegante? No es un ataque propiamente dicho y a uno de ellos, incluso, ni siquiera se le puede llamar virus. Por ahora los usuarios de Mac pueden respirar tranquilos: los virus de difusión masiva siguen siendo una parcela reservada para Microsoft y Windows, pero quizás se debería reflexionar sobre esta posibilidad en un futuro.

El día 13 de febrero, un usuario anónimo (no podía ser de otra forma) dejaba un mensaje en uno de los foros más populares para usuarios de Mac, MacRumors. En él se ofrecía a través de un enlace a un servidor externo, un archivo comprimido que se supone contenía imágenes de la nueva versión de Mac (la OS X 10.5, llamada Leopard). El fichero se llama latestpics.tgz y con él, llegó la polémica.

Aunque lo aparentase, no contenía imágenes. Eran simples ejecutables UNIX compilados y camuflados… un programa. A partir de aquí, podríamos calificar a este engendro de troyano, por ocultarse como algo que realmente no era. Estas denominaciones han provocado profundas discusiones, pues las connotaciones implícitas que conlleva calificar de troyano a un código no son las mismas que calificarlo de virus o gusano. Esta última nomenclatura denota más vulnerabilidad por parte del sistema operativo (virus y gusanos pueden ejecutarse con mínima interacción del usuario, a escondidas, y pueden replicarse hábilmente entre los sistemas) mientras que un troyano es habitualmente ejecutado consciente o inconscientemente por un usuario, lo que deja caer la balanza de la culpa y la responsabilidad más hacia este último. Los defensores de Mac, en este punto, quieren dejar muy claro que el sistema operativo es seguro, pero no puede hacerse responsables de las intenciones o consecuencias de la utilización por parte de un usuario incauto e irresponsable.

Al archivo, una vez analizado se le podían reconocer rutinas destinadas a autorreplicarse e infectar otros sistemas Mac. Aprovechaba la lista de contactos de iChat para enviarse a sí mismo e intentar contagiar a otros usuarios. Sobre esto, los usuarios de Mac han rechazado igualmente la denominación de “virus”, pues necesita de bastantes acciones irresponsables por aparte del usuario para poder replicarse. En primer lugar el usuario de iChat debe aceptar la transferencia de las supuestas imágenes, descomprimirlas y ejecutar el archivo en su interior. Si el usuario pertenece al grupo de administradores se infectará, si no, el sistema operativo le pedirá las credenciales porque el malware intenta escribir en zonas reservadas. Esto es como en cualquier otro sistema operativo, aunque entre usuarios Mac sea más habitual relegar la cuenta de root a labores administrativas. Necesitar de tanta ayuda para infectar, debilita enormemente las posibilidades de contagio masivo.

Parece ser que también es capaz de infectar otros archivos en el sistema, aunque su código no resulte demasiado sofisticado. Además, cabe destacar que no aprovecha ninguna vulnerabilidad conocida o desconocida del sistema para ejecutarse. Su “modus operandi” para infectar un sistema que lo aloje, resulta completamente manual.

En todo caso, el código ha llegado al estatus de malware, pues varias casas antivirus lo han incluido en sus firmas bajo el nombre de OSX/Leap (otros como OSX/Oomp-A), cosa que no ocurre a menudo aunque, a tenor de lo acontecido estos últimos días, cabría preguntarse si está cambiando esta tendencia. Sólo una semana después de la aparición de este troyano, se hacía público la existencia de un segundo código indeseado para Mac OS X. Igual de minoritario (puede ser considerado una prueba de concepto), Inqtana-A sí puede ser llamado virus pues aprovecha una vulnerabilidad en el componente Bluetooth de este sistema operativo para ejecutarse y, teóricamente, la necesidad de una mano que lo ejecute es mínima. Se replica de sistema vulnerable a sistema vulnerable a través de Bluetooth, pero es casi seguro que encuentre pocos huéspedes que puedan alojarlo, pues Apple publicó un parche para ese problema en mayo de 2005, con lo que la mayoría de sistemas hoy día serán inmunes.

Los usuarios de Mac han permanecido durante muchos años ajenos a la amenaza del malware, son confiados y la historia les avala. Desde que en 1982 apareciese Elk Cloner (creado por un quinceañero) e infectase a sistemas Apple II (nada que ver con los Mac OS X actuales) a través de disquetes, pocas han sido las oportunidades de bautizar a un virus. El problema es que en dos semanas, han tenido que hacerlo en dos ocasiones.

Aunque Mac OS X es un excelente sistema operativo, seguro por diseño, son siempre los usuarios que manejan cualquier máquina los que pueden resultar realmente peligrosos. Si no ejecutan código no confiable y se mantienen actualizados, no sufrirán a estos dos nuevos especímenes encontrados. Aun así, no conviene bajar la guardia ante posibles amenazas futuras más sofisticadas y propagadas que ocurrirán, según las tendencias actuales, sólo y exclusivamente cuando la creación de malware para este sistema operativo proporcione algún tipo de rentabilidad significativa a sus creadores.

De hecho, de una encuesta promocionada por Sophos sobre 600 usuarios, el 79% pensaba que Apple será objetivo del malware en el futuro, aunque la mitad pensara que nunca llegaría a suponer el problema que representa para usuarios de Microsoft. Lo curioso de la encuesta, quizás, es ese 21% que se muestra confiado y no cree que el malware vaya a suponer nunca un problema para su sistema operativo.

Esa confianza, se use el sistema operativo que se use, resulta mala compañera y es bastante probable que haya impulsado, por ejemplo, a muchos usuarios de Mac a ejecutar alegremente las supuestas y esperadas imágenes del nuevo sistema operativo, sin preguntarse si eran realmente imágenes, quién las enviaba y por qué. Esta prudencia básica, por experiencia, es algo que ya muchos usuarios de Windows se plantean antes de lanzar su ratón sobre archivos desconocidos, mientras que a usuarios de Mac, también por propia experiencia, es probable que ni se les pase por la cabeza.

Además de este debate abierto sobre el futuro del malware para Mac, habrá que estar atento al potencial impacto que tendrá en la seguridad la posibilidad de ejecutar el sistema operativo bajo microprocesadores Intel.