Saber crear virus amplía currículum
Un curso de la Universidad de Calgary para enseñar cómo hacer virus desata la ira de los fabricantes de antivirus
El día 8 de septiembre comienza en la Universidad de Calgary (Canadá) uno de los cursos más polémicos del año lectivo. El Departamento de Ciencias de la Informática ha incluido una clase para alumnos de cuarto curso bajo el título de Computer virus & malware (Virus informáticos y malware -por oposición a software-). En esta clase, los alumnos diseñarán y probarán virus de su creación.
El plan de estudios no ha dejado indiferente a nadie. La corriente de críticas y adhesiones que ha movido ha aconsejado a los promotores de la universidad a no entrar más en el asunto. 'Ya no hablamos más', decía uno de los profesores del departamento, Dan Seneker, a este periódico. Este profesor quiso, sin embargo, dejar claro que todo sigue como estaba planeado, hasta el punto de que en este momento se está produciendo la selección de los estudiantes que quieren optar a esta nueva clase. Seneker afirma que 60 alumnos han mostrado interés en el curso.
En la página en Internet de la universidad se explica que este curso 'no trata de crear nuevos virus, sino de entender cómo funcionan con el objetivo claro de combatirlos. Un paso necesario para parar virus es que el profesional de la programación pueda diseñar uno, por lo que usamos el diseño de los virus de los ordenadores como método de enseñanza'.
La Universidad de Calgary ha establecido unas medidas de seguridad muy estrictas para que los virus no dejen nunca su laboratorio
Según John Aycock, profesor de esta materia, 'un elemento crítico para la educación completa de un profesional de la ciencia de los ordenadores incluye el conocimiento de los virus, su naturaleza y su destrucción'. Aycock quiere dejar claro en la presentación de su curso que una de las cosas únicas del mismo es que, además de cubrir los aspectos legales, éticos y de seguridad -para lo que se cuenta con una educación especial por profesores de ética, abogados y empresarios-, ' se centrará en el desarrollo de software malintencionado como virus, gusanos o caballos de Troya.
Para los promotores de este curso está claro. Con una enseñanza de este tipo se conoce al enemigo, uno que ha costado millones a las empresas y contra el que, según el profesor Ken Barker, no se ha luchado de forma contundente. 'Es infantil pensar que se pude detener la actividad de los diseñadores de virus si no se tiene un mejor conocimiento de cómo operan'. Para este profesor, los críticos a este programa tienen un aproximación al problema muy similar al del avestruz: esconder la cabeza bajo la tierra.
No todos aceptan esta crítica fácilmente. Ejecutivos de empresas especializadas en el desarrollo de antivirus como David Perry, director de educación global para el fabricante Trend Micro, aseguraba a una publicación especializada que 'animar a que la gente diseñe más virus es una mala idea'. Según Perry, esta clase no conduce a que se formen mejores luchadores contra estos problemas, 'no veo ningún valor educacional en todo esto, no pedimos que la gente dispare a alguien para entender qué pasa cuando alguien recibe un tiro', explica.
Uno de los portavoces de Sophos, otro fabricante de antivirus, explicaba al foro de discusión celebrado en Silicon.com que 'con 80.000 virus existentes no puede haber excusa para enseñar a los estudiantes cómo crear ninguno más'. 'No estamos de acuerdo con la Universidad de Calgary en la necesidad de diseñar nuevos virus, en nuestra opinión no dicen nada de cómo luchar contra ellos' .
Menos crítico ha sido uno de los más reconocidos expertos en seguridad, Fred Cohen, quien en los años setenta ya diseñó una red de protocolos y ha impartido cursos en seguridad a más de 10.000 estudiantes en todo el mundo, además de escribir varios libros. Cohen asegura a Cinco Días que tiene sentido dejar que los alumnos interactúen de primera mano con los virus e incluso creando los suyos, pero tomando unas altísimas medidas de seguridad. 'Enseñar virus tras virus no tiene un gran valor educativo, pero sí creo que hay mucho valor en clases en las que se aprenda a diseñar y lidiar ejemplos de virus en un ambiente en el que haya un total control y no se produzcan abusos'. Cohen hizo algo parecido con alumnos suyos en la Universidad de New Haven el pasado semestre. 'En nuestras clases diseñamos ejemplos sencillos, detectores de virus y limpiadores de éstos en un ambiente seguro. Los alumnos aprenden mucho, pero porque también aprenden mucha teoría'.
Cohen desestima, no obstante, que no haya hasta ahora una forma efectiva de luchar contra los virus de los ordenadores: 'yo he escrito varios libros sobre ello'. Los consejos de Cohen sobre la seguridad no suenan a nuevos en la facultad canadiense. La Universidad de Calgary ha impuesto desde el inicio unas estrictas medidas de seguridad que llegan a la extrema seguridad del laboratorio, que estará permanentemente cerrado, 24 horas al día durante los siete de la semana. Sólo los estudiantes del curso accederán a esta sala y se les vigilará. Entre otras cosas no pueden sacar ningún tipo de soporte del laboratorio ni se permiten accesos a Internet sin hilos ni de cualquier tipo para que el virus no deje nunca ese laboratorio. Cuando el curso acabe, todo el material se limpiará.
Con la polémica servida empezará el curso, que va a ser seguido de cerca por fabricantes de software, aunque 'no tiene interés como fuente de recursos humanos', señalaba el ejecutivo de una empresa de antivirus. En uno de los diálogos virtuales en la Red sobre este particular curso, uno de los participantes recordaba una frase del escritor Michael Crichton en Parque jurásico: 'Sus científicos están demasiado preocupados en saber si pueden o no pueden hacer algo, no de si deben hacerlo'. El debate sobre el curso de la facultad canadiense no es en cualquier caso el primer debate científico sobre la conveniencia de saber crear al enemigo para luchar contra él.
Ataques cada vez más sofisticados
Los virus arrecian en su ataque a los ordenadores. En los seis primeros meses del año y de acuerdo con la empresa especializada en combatirlos, Sophos, estos ataques han crecido un 17,5% con respecto al mismo periodo del año anterior, 3.855 nuevos ataques. Y lo peor es que en este informe se evidencia, además, que éstos son cada vez más agresivos y más sofisticados. Para esta empresa y otras del sector, las cifras no dicen más que la cuestión es cada vez más seria.En los últimos meses se ha detectado que se ha llegado a más rincones del planeta y que, además, se ha hecho con virus que han tenido un especial objetivo en mercados verticales, según esta compañía. Objetivo selectivo y quirúrgico, nada que no se haya aprendido del lenguaje militar.Muchos de los virus están llegando a través del correo basura o spam, contra el que ya se ha iniciado en EE UU una batalla legislativa y judicial que aún tiene que rendir frutos, pero algunos, como el dañino Bugbear, se han transmitido a través del intercambio de ficheros de persona a persona (P2P), que es como se produce la mayor parte de las copias ilegales de música. Bugbear contenía una variante que hacía especialmente vulnerables a las empresas financieras.Sophos considera que se está estableciendo una tendencia entre los diseñadores de virus para atacar a ciertos segmentos de usuarios, especialmente las compañías.De acuerdo con esta sociedad, además de Bugbear, Sobig (que tiene una relación directa con el spam) ha estado en los primeros puestos de las listas de los más peligrosos. También se ha colocado otro con el nombre de una conocida artista, Avril Lavagne, que propagan sus fans al abrir mensajes y archivos adosados a los correos. En Sophos le llaman 'el virus de la celebridad'.El estudio afirma que es en el este de Europa y los países de la costa del Pacífico donde se fabrican la mayor parte de los virus.