Cultura VX: Orígenes del Underground del Virus Writing

El nacimiento de una subcultura

A finales de los años 80, cuando los ordenadores personales empezaban a poblar hogares y oficinas, surgió un fenómeno que la industria de la seguridad informática nunca anticipó: comunidades organizadas de personas dedicadas a escribir, estudiar y compartir virus informáticos. No eran criminales profesionales ni agentes de inteligencia. Eran, en su mayoría, adolescentes y jóvenes programadores fascinados por una pregunta técnica: ¿es posible crear un programa que se replique a sí mismo, evada la detección y sobreviva en entornos hostiles?

Esta pregunta, que hoy parece trivial para cualquier analista de malware, fue el motor de toda una cultura underground que se autodenominó la escena VX (Virus eXchange). Durante más de dos décadas, esta escena produjo algunas de las investigaciones más originales en informática, publicadas en revistas electrónicas (ezines) que circulaban por canales clandestinos.

El contexto tecnológico: MS-DOS y los BBS

Para entender cómo surgió la cultura VX hay que situarse en el ecosistema tecnológico de finales de los 80. El sistema operativo dominante en ordenadores personales era MS-DOS, un entorno sin protección de memoria, sin separación de privilegios y sin firmas digitales. Cualquier programa podía leer, escribir y modificar cualquier archivo del disco duro. Los ejecutables .COM y .EXE no tenían ningún mecanismo de integridad.

En este entorno, la autorreplicación era técnicamente sencilla: bastaba con localizar archivos ejecutables en el disco, abrir el archivo, insertar código al inicio o al final, ajustar el punto de entrada y cerrar. El programa infectado funcionaba con normalidad, pero cada vez que se ejecutaba, buscaba nuevos archivos para infectar.

La comunicación entre entusiastas se realizaba a través de BBS (Bulletin Board Systems): servidores a los que se conectaba por línea telefónica con un módem. Los BBS permitían dejar mensajes en foros, descargar archivos y mantener conversaciones asíncronas. Algunos BBS se especializaron en el intercambio de código fuente de virus, tutoriales de ensamblador x86 y herramientas de análisis.

Las primeras comunidades organizadas

NuKE (1992)

Uno de los primeros grupos VX organizados fue NuKE, fundado en 1992 en Canadá. NuKE publicó un generador de virus llamado VCL (Virus Creation Laboratory) que permitía a cualquier persona sin conocimientos de programación ensamblar un virus funcional seleccionando opciones en un menú. VCL fue polémico incluso dentro de la propia escena VX: los puristas lo consideraban una herramienta para "lamers" (personas sin habilidad técnica real), mientras que sus defensores argumentaban que democratizaba el conocimiento.

NuKE también publicó una ezine llamada NuKE InfoJournal que incluía tutoriales sobre programación en ensamblador, técnicas de infección de archivos y análisis de antivirus. La ezine tuvo varias entregas entre 1992 y 1994.

Phalcon/Skism (1990-1993)

Phalcon/Skism fue uno de los grupos VX más influyentes de la primera generación. Basado en Estados Unidos, el grupo publicó la ezine 40Hex, que se convirtió en lectura obligatoria para cualquier aspirante a virus writer. 40Hex incluía análisis detallados del formato de ejecutables DOS, técnicas de residencia en memoria (TSR), interceptación de interrupciones y las primeras técnicas de stealth (ocultación).

El nombre "40Hex" hacía referencia a la dirección hexadecimal 40h, que en la tabla de interrupciones de DOS apuntaba al timer tick, una interrupción frecuentemente utilizada por los virus para activarse periódicamente.

VLAD (1994-1997)

VLAD (Virus Labs and Distribution) fue un grupo australiano que publicó siete números de su ezine homónima. VLAD es especialmente notable por documentar las primeras técnicas de infección de archivos en Windows 95, un salto tecnológico significativo respecto a los virus de DOS. Quantum, uno de sus miembros, escribió Bizatch (también conocido como Boza), considerado el primer virus para Windows 95.

La ezine de VLAD se distinguía por su enfoque pedagógico. Cada artículo explicaba no solo el "qué" sino el "cómo" y el "por qué" de cada técnica, con código fuente completo comentado línea por línea.

Motivaciones: por qué escribir virus

Las motivaciones de los virus writers fueron diversas y evolucionaron con el tiempo. Un análisis de las ezines y foros de la época revela varias categorías principales.

Curiosidad técnica

La motivación más frecuentemente citada era la curiosidad técnica pura. Los virus representaban un desafío de programación de bajo nivel que requería dominar ensamblador, entender la arquitectura del procesador, conocer las estructuras internas del sistema operativo y resolver problemas de optimización extrema (los virus debían ser pequeños para pasar desapercibidos).

En los editoriales de 29A Magazine, los miembros del grupo describían repetidamente su trabajo como "investigación de código autorreplicante", no como "creación de malware". Establecían una analogía con los virólogos biológicos: estudiar cómo funcionan los virus no implica querer causar una pandemia.

Competición y reconocimiento

La escena VX tenía una estructura meritocrática informal. El prestigio se ganaba publicando técnicas novedosas, no por la destrucción causada. Un virus writer que descubriera una nueva técnica de polimorfismo o una forma de evadir un antivirus específico ganaba reconocimiento en la comunidad. Los virus con payloads destructivos (borrar archivos, formatear discos) eran frecuentemente criticados dentro de la propia escena como "trabajo de lamers".

Esta dinámica de competición técnica produjo avances genuinos. Técnicas como el polimorfismo avanzado, el metamorfismo, la evasión de emuladores y la infección de nuevos formatos de archivo nacieron de esta competición informal.

Rebeldía y antiautoritarismo

Una parte de la escena VX se identificaba con la cultura cypherpunk y la ética hacker original: la información quiere ser libre, el conocimiento técnico no debe tener barreras y los intentos de la industria antivirus por ocultar las técnicas de los virus eran una forma de censura.

Esta posición generaba tensiones. La industria antivirus argumentaba que publicar código fuente de virus facilitaba que personas sin conocimiento técnico los utilizaran con fines destructivos. Los virus writers respondían que la seguridad por oscuridad era una falacia y que la única defensa real pasaba por entender las técnicas de ataque.

Nacionalismo y política

En algunos casos, la escena VX tenía componentes nacionalistas. La escena búlgara fue particularmente prolífica (Dark Avenger, el grupo Demoralized Youth), en parte como reacción al aislamiento tecnológico de la era comunista. Escribir virus que infectaran sistemas occidentales tenía una carga simbólica de rebeldía y demostración de capacidad técnica.

En Sudamérica, grupos como Misdirected Youth (Argentina) y virus writers brasileños también expresaban motivaciones vinculadas a la identidad local y al deseo de demostrar que la excelencia técnica no era exclusiva del primer mundo.

La ética del virus writing: un debate permanente

El debate ético dentro de la escena VX fue constante y nunca se resolvió. Las posiciones iban desde el absolutismo ("publicar código fuente es educación, no crimen") hasta posiciones más matizadas.

El argumento de la investigación

Los defensores de la publicación abierta argumentaban que los virus eran objetos de estudio legítimos. Citaban el precedente de la investigación en criptografía, donde la publicación de algoritmos (incluyendo los que podían usarse para ocultar comunicaciones criminales) era aceptada como necesaria para avanzar la ciencia. También señalaban que las empresas antivirus se beneficiaban directamente del trabajo de los virus writers: sin nuevas técnicas que detectar, no habría negocio antivirus.

El argumento del daño

Los críticos, incluyendo investigadores de seguridad como Sarah Gordon (que realizó estudios sociológicos de la escena VX para IBM Research) y Peter Szor (Symantec), argumentaban que la intención no eliminaba las consecuencias. Un virus publicado con fines "educativos" podía ser modificado mínimamente y distribuido por terceros con intención destructiva. El código era neutral, pero el contexto de distribución no lo era.

La posición intermedia

Algunos grupos adoptaron posiciones intermedias. 29A, por ejemplo, publicaba código fuente completo pero incluía un disclaimer explícito: el código se publicaba con fines educativos y de investigación, y los autores no se hacían responsables del uso que terceros pudieran darle. Además, muchos virus publicados en ezines incluían bugs intencionales o limitaciones que impedían su propagación masiva sin modificaciones.

La geografía de la escena VX

La escena VX no fue un fenómeno exclusivamente anglosajón. Los principales centros de actividad estuvieron distribuidos globalmente.

Bulgaria fue un epicentro en los años 1989-1993, produciendo virus writers influyentes como Dark Avenger y grupos como Demoralized Youth. La Universidad Técnica de Sofía fue un semillero involuntario de talento VX.

España tuvo una escena activa con el grupo 29A, fundado en 1996, que publicó la que muchos consideran la mejor ezine VX de la historia. Los miembros de 29A eran principalmente españoles, con contribuciones internacionales.

Australia aportó el grupo VLAD. Brasil tuvo una escena activa centrada en virus para DOS y Windows 9x. República Checa y Eslovaquia produjeron virus writers notables, incluido el autor del virus OneHalf (1994), uno de los primeros virus polimórficos parcialmente cifrados que infectaba el MBR.

Rusia y los países de la antigua URSS se convirtieron en centros de actividad VX a mediados de los 90, con grupos que eventualmente cruzarían la línea hacia el crimeware organizado en la década de 2000.

Los canales de distribución

BBS especializados

Los BBS dedicados al intercambio de virus fueron el primer canal de distribución. Nombres como Virus Exchange BBS (Bulgaria), Cybernetic Violence (Canadá) y Dark Node (Estados Unidos) aparecen repetidamente en las ezines de la época. Estos BBS operaban en una zona gris legal: algunos estaban en países donde no existía legislación específica sobre malware.

FTP y sitios web

Con la llegada de Internet comercial a mediados de los 90, la distribución migró a servidores FTP y sitios web. Sitios como vx.netlux.org y vxheaven.org (creado por herm1t) se convirtieron en archivos masivos de código fuente de virus, ezines y herramientas. VX Heavens llegó a albergar más de 80.000 muestras de malware y fue uno de los repositorios más completos de la historia de la escena VX hasta su cierre.

IRC y grupos de noticias

Los canales de IRC (Internet Relay Chat) como #virus en EFnet y los grupos de noticias como alt.comp.virus fueron espacios de discusión en tiempo real. Estos canales servían tanto para intercambio técnico como para reclutamiento de nuevos miembros de los grupos VX.

Del underground al mainstream

La escena VX nunca fue completamente underground. Existía una relación ambigua con la industria de la seguridad. Varios virus writers acabaron trabajando para empresas antivirus (algunos de los mejores analistas de malware de Kaspersky, ESET y F-Secure tienen raíces en la escena VX de los 90). Otros fueron contratados por agencias de inteligencia.

Esta transición no fue uniforme. Mientras algunos virus writers maduraron y aplicaron sus conocimientos de forma profesional, otros mantuvieron su actividad en la escena o evolucionaron hacia actividades más claramente criminales con la llegada del crimeware organizado en los 2000.

El legado en la ciberseguridad moderna

La escena VX dejó un legado técnico innegable. Conceptos que hoy son fundamentales en el análisis de malware (polimorfismo, metamorfismo, técnicas anti-debugging, inyección de código, hooking de API, rootkits a nivel de kernel) fueron documentados por primera vez en ezines VX.

Las metodologías de análisis de la industria antivirus se desarrollaron en gran medida como respuesta a las técnicas publicadas en estas ezines. La relación fue simbiótica: los virus writers forzaban a la industria a mejorar sus motores de detección, y la industria forzaba a los virus writers a desarrollar técnicas más sofisticadas.

Hoy, la escena VX original ha desaparecido como fenómeno cultural. El virus writing como actividad recreativa fue reemplazado por el crimeware profesional (ransomware, banking trojans, infostealers) motivado exclusivamente por el beneficio económico, y por las operaciones de ciberespionaje estatal. Sin embargo, proyectos como VX-Underground mantienen vivo el archivo histórico de la escena, y las técnicas documentadas en las ezines VX siguen apareciendo, refinadas y adaptadas, en el malware más sofisticado del siglo XXI.

Fuentes y lecturas recomendadas

• Gordon, Sarah. "The Generic Virus Writer". Proceedings of the 4th International Virus Bulletin Conference, 1994.
• Szor, Peter. "The Art of Computer Virus Research and Defense". Addison-Wesley, 2005.
• Ludwig, Mark. "The Giant Black Book of Computer Viruses". American Eagle Publications, 1995.
• Archivo histórico de VX-Underground: colecciones de ezines VX originales.
• Bontchev, Vesselin. "The Bulgarian and Soviet Virus Factories". Proceedings of the 1st International Virus Bulletin Conference, 1991.