En 1988 Internet no existía y, en su lugar, funcionaba –sólo en Estados Unidos- otra red denominada Arpanet que había sido creada por el Departamento de Defensa para conectar ordenadores de instituciones académicas y estatales estadounidenses. En total, los ordenadores conectados eran unos 60.000 y un 10% de ellos resultaron infectados por un el gusano de Morris, un virus que se convirtió (involuntariamente) en el protagonista del que se considera el primer ciberataque de la historia.
El autor
El gusano de Morris fue un creación de Robert Tappan Morris, un graduado de la Universidad de Cornell que, con su creación, pretendía (según dijo) medir el tamaño de la red Arpanet y cuantificar el número de ordenadores conectados. En sí, el después llamado Gusano de Morris eran un programa que se autorreplicaba y, por tanto, infectaba de manera automática a todos los ordenadores. El virus explotaba varias vulnerabilidades en los sistemas Unix, que eran comunes en las redes universitarias y de investigación de la época. Utilizaba tres vectores principales para infectar máquinas: la posibilidad de ejecutar comandos en sistemas remotos que brindaba sendmail (el sistema de correo electrónico más habitual entonces), la debilidad de las contraseñas habituales en la época y la escasa seguridad que ofrecía Fingerd, un programa de uso común para obtener información sobre usuarios en sistemas remotos que se podía usar fácilmente para ejecutarse en cualquier máquina conectada a la red. En origen, el virus no pretendía causar daño, pero al estar programado para autoreplicarse, sobrecargaba las máquinas infectadas, que no podían dedicarse a sus tareas.
Juicio y condena
El coste estimado de los daños y la recuperación posterior se calculó entre 0,1 y 10 millones de dólares. Los administradores de sistemas de todo el país se apresuraron a intentar detener la propagación del gusano y restaurar la funcionalidad de sus redes. Tras una investigación, Robert Tappan Morris fue identificado como el creador del gusano y en 1990, fue juzgado bajo la Computer Fraud and Abuse Act de 1986. Se le condenó a pagar una multa de 10.000 dólares, a tres años de libertad condicional y a 400 horas de servicios comunitarios.