El Gusano de Morris
Un programa de 99 líneas que paralizó la internet temprana y obligó a una cultura a enfrentar sus propias consecuencias.

El objeto
El gusano de Morris fue un programa autorreplicante liberado en internet la noche del 2 de noviembre de 1988 por Robert Tappan Morris, estudiante de posgrado de primer año en Cornell, de 23 años. No lo lanzó desde Cornell, sino desde una máquina del MIT, en un intento de disfrazar su origen. Explotaba debilidades conocidas de utilidades del Unix de Berkeley (un desbordamiento de búfer en fingerd, una puerta trasera en modo depuración del demonio de correo sendmail y las relaciones de confianza rexec/rsh) y llevaba un diccionario de unas 400 contraseñas comunes para colarse en otras cuentas. Luego se copiaba de máquina en máquina sin ayuda humana. Morris no era ajeno al medio: su padre, Robert Morris Sr., era científico jefe del centro de seguridad informática de la NSA.
Un fallo, no una bomba
El gusano no llevaba carga destructiva: no borraba nada ni robaba nada. Su daño vino de un defecto de su propio diseño. Morris había previsto que los defensores podrían inmunizar sus máquinas simulando una infección; por eso programó el gusano para que reinfectara un anfitrión aproximadamente una vez de cada siete, sin importar lo que encontrara. Esa proporción era demasiado agresiva: las máquinas acumulaban decenas de copias en ejecución, y la carga las detenía. En aproximadamente un día alcanzó unos 6.000 sistemas, cifra a menudo citada como cerca del diez por ciento de los 60.000 anfitriones que tenía entonces internet. Un equipo de Berkeley y Purdue lo desensambló en cuestión de días, y las propias notas de programación de Morris se leyeron más tarde en el juicio. Un informe de la General Accounting Office de 1990 estimó el coste de la limpieza entre 100.000 y 10 millones de dólares.
Por qué importa
Este fue el momento en que la cultura hacker perdió su inocencia en público. El gusano llegó a la portada del New York Times, que nombró a Morris en cuestión de días. Se convirtió en la primera persona juzgada y condenada bajo la Computer Fraud and Abuse Act de 1986: en 1990 fue sentenciado a tres años de libertad condicional, 400 horas de servicio comunitario y una multa de unos 10.050 dólares. Cornell lo expulsó. El incidente produjo directamente el CERT Coordination Center, financiado por DARPA y establecido en la Universidad Carnegie Mellon en noviembre de 1988, el primer equipo coordinado de respuesta a emergencias informáticas, e hizo de la «seguridad en internet» una profesión y no una ocurrencia tardía.
También impuso un ajuste de cuentas ético que la cultura había aplazado. La misma curiosidad que escribió ¡Spacewar! podía, a escala de internet, causar un daño real sin proponérselo. La exploración ya no estaba libre de consecuencias. El propio Morris siguió luego una carrera académica y empresarial, cofundando la startup que se convirtió en Viaweb y uniéndose más tarde al profesorado del MIT, una coda discreta al caso que dio nombre a una categoría de delito.
La lección que liberó
A gran escala, la intención deja de ser lo único que importa. Un experimento curioso y un ataque pueden ser el mismo código; la diferencia es el tamaño de la red en que se ejecuta. El gusano enseñó a los hackers que comprender un sistema conlleva ahora un deber de cuidado hacia todos los demás que están conectados a él.
Para saber más
Seguir explorando
Siguiente exposición
La Fundación de la EFF