El Legado de la Escena VX en la Ciberseguridad Moderna

El hilo invisible

Entre el código publicado en una ezine VX de 1997 y un ataque de ransomware en 2026 hay un hilo invisible pero continuo. Las técnicas que los virus writers adolescentes documentaron en sus revistas electrónicas underground no desaparecieron con la escena: evolucionaron, se profesionalizaron y se integraron tanto en el arsenal del malware moderno como en las defensas diseñadas para combatirlo.

Este artículo traza ese hilo. No como un ejercicio nostálgico, sino como un mapa de las conexiones técnicas y culturales que conectan la era dorada de la escena VX con la ciberseguridad del siglo XXI.

Técnicas VX en el malware de APTs

Polimorfismo y evasión de firmas

Las técnicas de polimorfismo documentadas en 29A Magazine y por Dark Avenger son los ancestros directos de los mecanismos de evasión que los grupos APT utilizan hoy. Los parallels son concretos:

Packers custom. Los grupos de APT como APT28 (Fancy Bear), APT29 (Cozy Bear) y Lazarus utilizan packers personalizados que cifran sus implantes con claves que cambian en cada deployment. El principio es idéntico al polimorfismo clásico: un stub de descifrado variable + un cuerpo cifrado. La diferencia es que los packers de APT están diseñados para evadir EDRs modernos, no antivirus de los 90.

Metamorfismo en la nube. Los implantes más sofisticados de grupos como Turla implementan lo que podríamos llamar metamorfismo a nivel de operación: cada instancia del implante tiene una estructura de código diferente, generada por un servidor de staging que aplica transformaciones automáticas. El concepto es idéntico al metamorfismo de Simile, implementado a escala industrial.

Ofuscación de scripts. Los loaders basados en PowerShell y JavaScript que los grupos de crimeware (Emotet, QakBot, IcedID) utilizan como primera fase de infección implementan ofuscación que es polimorfismo adaptado a lenguajes de scripting. Variables renombradas, funciones equivalentes sustituidas, encoding variable: los mismos principios que un motor polimórfico de los 90.

Rootkits y persistencia

Los artículos de Phrack y 29A sobre rootkits a nivel de kernel sentaron las bases teóricas para los rootkits que los APTs utilizan en operaciones modernas.

Bootkits. El concepto de infectar el proceso de arranque (que VLAD exploró con la infección del MBR en Windows 95) fue refinado por grupos como Equation Group (NSA) en implantes como DoubleFantasy/GrayFish, que persistían en el firmware del disco duro, sobreviviendo incluso a un formateo y reinstalación del sistema operativo.

Rootkits UEFI. La evolución de los rootkits de kernel documentados en Phrack llegó a su punto más sofisticado con rootkits que infectan el firmware UEFI. LoJax (APT28, 2018) fue el primer rootkit UEFI documentado in-the-wild, pero el concepto de persistencia en firmware fue discutido en publicaciones VX una década antes.

Hooking de API. Las técnicas de hooking de funciones del sistema operativo, documentadas extensamente en las ezines VX para implementar stealth, son la base de lo que los EDRs modernos hacen para monitorizar el comportamiento de los procesos. La ironía es notable: la misma técnica que los virus writers usaban para ocultarse es ahora utilizada por los defensores para detectar malware.

Inyección de código

Las técnicas de inyección de código (process injection) documentadas en Phrack y en las ezines VX son utilizadas casi textualmente por el malware moderno:

DLL injection. Documentada en múltiples ezines VX de los 90, es utilizada hoy por prácticamente todos los troyanos bancarios, infostealers y frameworks C2 (Cobalt Strike, Brute Ratel, Sliver).

Process hollowing. Una evolución de la inyección clásica: crear un proceso legítimo en estado suspendido, reemplazar su código con código malicioso y reanudar la ejecución. Documentada en la escena underground antes de ser formalizada en la taxonomía de MITRE ATT&CK como T1055.012.

APC injection. Inyección a través de Asynchronous Procedure Calls, una técnica que explota un mecanismo legítimo de Windows para ejecutar código en el contexto de otro proceso.

Técnicas VX en las defensas modernas

Emulación y sandboxing

La emulación de código, desarrollada por la industria antivirus como respuesta al polimorfismo, evolucionó en los sandboxes modernos que son un pilar de la detección de amenazas.

Los sandboxes de red (como Cuckoo Sandbox, Any.Run, Joe Sandbox) ejecutan muestras sospechosas en entornos virtuales para observar su comportamiento. El principio es el mismo que el de los emuladores anti-polimorfismo de los 90: "dejar que el código se ejecute y ver qué hace", pero aplicado a escala con virtualización completa del sistema operativo.

Heurística y machine learning

Las heurísticas genéricas que la industria antivirus desarrolló para detectar virus polimórficos (patrones de comportamiento en lugar de firmas de bytes) son los ancestros directos del machine learning aplicado a la detección de malware.

Los modelos de ML modernos no buscan firmas: clasifican archivos basándose en características (features) que incluyen estructura del archivo, flujo de control, llamadas a API, entropía de secciones y patrones estadísticos. Este enfoque es una evolución sofisticada de las heurísticas que los analistas antivirus desarrollaron manualmente en los 90 para lidiar con virus que no tenían firma detectable.

Análisis de comportamiento en EDR

Los EDRs (Endpoint Detection and Response) modernos monitorizan el comportamiento de los procesos en tiempo real: qué archivos abren, qué registros modifican, qué conexiones de red establecen, qué APIs llaman. Este enfoque de detección basado en comportamiento tiene raíces directas en las técnicas anti-stealth que la industria antivirus desarrolló para detectar virus residentes que ocultaban su presencia.

La transición cultural: de VX a infosec

Virus writers que se convirtieron en defensores

La migración de talento de la escena VX a la industria de seguridad fue un fenómeno significativo. Varios de los analistas de malware más respetados de la industria tienen raíces en la escena VX de los 90.

Esta migración fue lógica: nadie entiende mejor las técnicas de evasión que quien las inventó. Un ex-virus writer que se uniera a una empresa antivirus aportaba un conocimiento de primera mano sobre cómo piensan los creadores de malware, qué técnicas son más difíciles de detectar y dónde están las debilidades de los motores de detección.

La migración también fue pragmática. A medida que la legislación sobre malware se endurecía y la escena VX perdía su aura de rebeldía inocente, la industria de seguridad ofrecía una vía para aplicar las mismas habilidades de forma legal y remunerada.

El debate de la divulgación

El debate sobre la publicación de código ofensivo que la escena VX protagonizó en los 90 se reproduce hoy en múltiples contextos.

Exploits y zero-days. El debate entre full disclosure (publicar los detalles completos de una vulnerabilidad) y responsible disclosure (notificar al fabricante antes de publicar) tiene raíces directas en el debate VX sobre si publicar código fuente de virus era responsable.

Red teaming y pentesting. Las herramientas de pentesting como Metasploit, Cobalt Strike y Sliver reproducen la dualidad de las ezines VX: proporcionan capacidades ofensivas con propósito declaradamente defensivo. El debate sobre si estas herramientas facilitan el crimen o mejoran la seguridad es una reedición del debate sobre las ezines VX.

Investigación de seguridad. La publicación de técnicas de ataque en conferencias como Black Hat y DEF CON sigue el modelo establecido por Phrack y 29A: documentar técnicas ofensivas para que la comunidad de seguridad pueda defenderse contra ellas.

VX-Underground: el archivo vivo

Preservación del conocimiento

VX-Underground, fundado por smelly_vx, es el proyecto más importante de preservación del conocimiento de la escena VX. Mantiene la mayor colección pública accesible de:

Muestras de malware. Millones de muestras clasificadas por familia, tipo y fecha. Esta colección es utilizada por investigadores de amenazas, empresas de seguridad y académicos para análisis y training de modelos de detección.

Ezines VX históricas. Copias completas de 29A Magazine, 40Hex, VLAD, Phrack y decenas de otras publicaciones. Estos archivos son la documentación primaria de la evolución técnica de las técnicas de malware.

Papers y documentación. Investigaciones, tutoriales y análisis técnicos de la escena VX y de investigadores de seguridad.

El papel actual de VX-Underground

VX-Underground ocupa un espacio peculiar en el ecosistema de seguridad actual. No crea malware. No distribuye herramientas de ataque. Pero mantiene un archivo que contiene código malicioso real y documentación sobre cómo crearlo.

Su valor para la industria de seguridad es reconocido: VX-Underground es citado como fuente por investigadores de empresas como CrowdStrike, Mandiant, Kaspersky y Microsoft. Los datos de VX-Underground alimentan investigaciones sobre amenazas emergentes y proporcionan contexto histórico para entender la evolución de las familias de malware.

VX-Underground también actúa como una especie de "servicio de inteligencia" informal: frecuentemente publica información sobre leaks de herramientas de grupos de amenaza (como los leaks de Conti y LockBit), data breaches significativos y nuevas muestras de malware antes de que la industria formal los analice.

El malware moderno como industria

De hobby a crimen organizado

La transición más significativa entre la era de las ezines VX y el presente es la profesionalización del malware. Lo que en los 90 era una actividad recreativa de adolescentes y jóvenes programadores es hoy una industria criminal que genera miles de millones de dólares anuales.

Ransomware-as-a-Service (RaaS). El modelo de negocio del RaaS (un grupo desarrolla el ransomware y lo alquila a "afiliados" que realizan las infecciones) es una evolución del concepto del MtE de Dark Avenger: proporcionar herramientas ofensivas automatizadas que otros pueden usar sin necesidad de entender los mecanismos internos.

Initial Access Brokers. Los brokers de acceso inicial (que venden acceso comprometido a redes empresariales) son el equivalente profesional de los BBS de intercambio de virus: mercados especializados donde se intercambian capacidades ofensivas.

Malware-as-a-Service. Los infostealers como RedLine, Raccoon y Lumma se venden como suscripciones con panel de administración, soporte técnico y actualizaciones periódicas. El virus writer solitario de los 90 ha sido reemplazado por equipos de desarrollo con estructuras empresariales.

Lo que se perdió

La profesionalización del malware también significó la pérdida de algo que la escena VX original tenía: la curiosidad técnica como motivación primaria. Los virus writers de los 90, con todas sus contradicciones éticas, estaban motivados principalmente por el desafío técnico. El crimeware moderno está motivado exclusivamente por el beneficio económico.

Esta diferencia de motivación se refleja en el código. Los virus de 29A eran obras de ingeniería cuidadosamente diseñadas, documentadas y optimizadas. El malware moderno de commodity es frecuentemente código de baja calidad, empaquetado con protectores comerciales y diseñado para cumplir una función específica (robar credenciales, cifrar archivos) con la mínima inversión de desarrollo.

Las excepciones son los implantes de APTs de estado-nación, que a veces exhiben un nivel de sofisticación técnica comparable al de los mejores virus de la era VX. Los implantes de Equation Group, Turla y Lazarus son, en cierto sentido, los herederos legítimos de la tradición de excelencia técnica de 29A, aunque operan en un contexto radicalmente diferente.

Lecciones para la ciberseguridad actual

La publicación abierta beneficia a los defensores

La historia de la escena VX demuestra que la publicación abierta de técnicas ofensivas, aunque controversial, beneficia a largo plazo a los defensores. Las técnicas que se publican se pueden estudiar, entender y contrarrestar. Las técnicas que se mantienen secretas solo benefician a quienes las poseen.

La industria de seguridad moderna ha adoptado este principio: la divulgación de vulnerabilidades (con plazo para que el fabricante parchee), la publicación de análisis de malware, los frameworks de ATT&CK y los feeds de IOCs abiertos son todos manifestaciones del mismo principio que las ezines VX defendían.

La importancia de entender al adversario

Sun Tzu escribió que "conoce a tu enemigo y conócete a ti mismo". Las ezines VX proporcionaban exactamente ese conocimiento: entender cómo piensan los creadores de malware, qué técnicas priorizan y qué debilidades explotan.

Para los analistas de malware y threat hunters modernos, leer las ezines VX históricas no es un ejercicio de historia: es formación profesional. Los principios de polimorfismo, metamorfismo, evasión, persistencia y anti-análisis documentados en esas publicaciones son la base conceptual sobre la que se construye el malware del siglo XXI.

La carrera armamentista no termina

La historia de la escena VX es, en su esencia, la historia de una carrera armamentista entre creadores de malware y defensores. Cada nueva técnica ofensiva generaba una nueva técnica defensiva, que a su vez generaba una nueva técnica ofensiva.

Esta carrera no ha terminado. Los defensores utilizan machine learning para detectar malware; los atacantes utilizan técnicas adversariales para engañar al ML. Los defensores implementan sandboxes; los atacantes implementan evasión de sandboxes. Los defensores despliegan EDRs con hooking de kernel; los atacantes implementan direct syscalls para evadir los hooks.

La única constante es el cambio. Y la mejor preparación para la próxima generación de técnicas ofensivas es entender la historia completa de las que vinieron antes.

VX-Underground y el futuro del archivo

La preservación del conocimiento de la escena VX es un servicio invaluable para la comunidad de seguridad. Las ezines VX son documentos históricos primarios que capturan la evolución de las técnicas de malware desde sus orígenes más básicos hasta su forma más sofisticada.

Proyectos como VX-Underground, el archivo de Phrack y las colecciones de tmp.out garantizan que este conocimiento no se pierda. Para las nuevas generaciones de investigadores de seguridad, estos archivos son una biblioteca técnica que complementa la formación formal y proporciona un contexto histórico que los cursos universitarios raramente ofrecen.

La escena VX original ha desaparecido. Pero su legado, codificado en miles de páginas de documentación técnica, sigue vivo en cada motor de detección, en cada técnica de análisis y en cada defensa que la industria de seguridad despliega hoy para proteger los sistemas de los que dependemos.

Fuentes y lecturas recomendadas

• VX-Underground: vx-underground.org (archivo de muestras, ezines y papers).
• Szor, Peter. "The Art of Computer Virus Research and Defense". Addison-Wesley, 2005.
• Gordon, Sarah. "Virus Writers: The End of the Innocence?". IBM Research, 2000.
• MITRE ATT&CK: framework de técnicas de adversarios basado en observaciones reales.
• tmp.out: tmpout.sh (investigación VX moderna).
• Phrack Magazine: phrack.org (archivo completo).