De 1971 a 2026: la cronología completa del malware
Esta serie recorre la historia completa del malware desde 1971 hasta 2026. Cada capítulo analiza un hito que redefinió las amenazas informáticas: el contexto en que surgió, cómo funcionaba técnicamente, qué impacto tuvo y qué lecciones dejó.
Cada artículo funciona de forma independiente, pero están ordenados cronológicamente. Al completar la serie, se compilará como ebook descargable.
26 capítulos cubriendo desde el primer programa autorreplicante hasta el malware asistido por inteligencia artificial.
En 1971, un programa llamado Creeper se movió entre ordenadores conectados a ARPANET. Para eliminarlo, se creó Reaper: el primer antivirus de la historia. Análisis técnico del origen del malware.
En 1982, un adolescente de 15 años creó Elk Cloner para Apple II: el primer virus in the wild. En 1986, dos hermanos pakistaníes crearon Brain, el primer virus para IBM PC. Análisis de la era del disquete.
El 2 de noviembre de 1988, Robert Tappan Morris lanzó un gusano que infectó el 10% de Internet. Análisis técnico del Morris Worm: sendmail, fingerd, buffer overflows y el nacimiento del CERT.
Entre 1989 y 1995, miles de virus para DOS surgieron en una era sin protección de memoria ni antivirus efectivos. Cascade, Jerusalem, Dark Avenger, polimorfismo y el nacimiento de la industria antivirus.
En 1992, el virus Michelangelo generó una histeria mediática global. John McAfee predijo 5 millones de infectados; la realidad fue muy diferente. Análisis del virus, el pánico y el nacimiento del FUD en ciberseguridad.
En 1995, el virus Concept demostró que un documento de Word podía ser un arma. En 1999, Melissa colapsó servidores de email en todo el mundo. En 2000, ILOVEYOU infectó 45 millones de máquinas. La era de los macro virus cambió todo.
En 1999, Melissa colapsó servidores de email. En 2000, ILOVEYOU infectó 45 millones de máquinas en horas. En 2001, Code Red demostró que Internet era un campo de batalla. La era del email como arma.
Entre 2003 y 2004, SQL Slammer, Blaster y Sasser demostraron que un gusano podía paralizar internet en minutos sin intervención humana. Explotaban vulnerabilidades de Windows conocidas y parcheadas, pero millones de sistemas seguían expuestos. La respuesta de Microsoft fue Windows XP SP2, que cambió las reglas para siempre.
En 2005, Mark Russinovich descubrió que Sony BMG instalaba un rootkit oculto en los ordenadores de sus clientes a través de CDs de música. El escándalo que siguió cambió para siempre la industria del DRM, las leyes de protección al consumidor y la percepción pública de los rootkits.
En enero de 2007, un email sobre una tormenta mortal en Europa desató Storm Worm, el primer gran botnet peer-to-peer. Sin servidor central, con binarios polimórficos cada 30 minutos y hasta 50 millones de bots estimados, Storm redefinió el cibercrimen como industria.
En noviembre de 2008, Conficker explotó MS08-067 e infectó entre 9 y 15 millones de máquinas Windows. Sus técnicas (DGA, P2P, RSA-4096) redefinieron el malware moderno. La industria entera se unió para combatirlo y aun así no logró detenerlo.
En 2010, un gusano de 500 KB con cuatro zero-days y certificados robados destruyó mil centrifugadoras en la planta nuclear de Natanz. Stuxnet demostró que el malware podía causar destrucción física y abrió la era de las ciberarmas de estado.
Entre 2011 y 2015 se descubrieron las herramientas de ciberespionaje más sofisticadas jamás documentadas: Duqu, Flame y el arsenal completo del Equation Group. Reprogramación de firmware de disco duro, ataques de colisión MD5 contra Windows Update y saltos de air-gap mediante USB revelaron capacidades que la industria creía teóricas.
En septiembre de 2013, CryptoLocker combinó cifrado RSA-2048 con pagos en Bitcoin para crear el primer ransomware verdaderamente indestructible. Operado por Evgeniy Bogachev a través de la botnet Gameover Zeus, recaudó entre 3 y 27 millones de dólares antes de que Operation Tovar lo desmantelara en junio de 2014.
En julio de 2015, un hacktivista filtró 400 GB de datos de Hacking Team, la empresa italiana que vendía spyware a gobiernos de todo el mundo. La filtración reveló clientes con historial de abusos, zero-days de Flash y el código fuente de RCS. Fue el primer gran destape de la industria de vigilancia comercial.
En 2016, tres estudiantes universitarios de 21 años crearon Mirai para atacar servidores de Minecraft. Su botnet de dispositivos IoT con credenciales por defecto generó el DDoS más devastador de la historia: 1,2 Tbps contra Dyn, dejando sin servicio a Twitter, Netflix, Reddit y GitHub durante horas.
En 2017, dos ciberataques separados por 45 días sacudieron el mundo. WannaCry paralizó 200.000 máquinas en 150 países explotando un exploit filtrado de la NSA. NotPetya, disfrazado de ransomware, causó más de 10.000 millones de dólares en daños como arma de destrucción digital del GRU ruso.
Entre 2018 y 2020, Emotet, TrickBot y Ryuk formaron la cadena de infección más devastadora de la historia del cibercrimen. Un email robado, un documento con macros, tres capas de malware y un rescate millonario: así funcionaba la triple amenaza que definió el modelo de ataque moderno.
En diciembre de 2020, FireEye descubrió que el software Orion de SolarWinds había sido comprometido por APT29. 18.000 organizaciones descargaron la actualización troyanizada. El ataque a la cadena de suministro que cambió la ciberseguridad.
El 7 de mayo de 2021, el grupo DarkSide paralizó el oleoducto más grande de Estados Unidos con un ataque de ransomware. Colonial Pipeline pagó 4,4 millones de dólares en Bitcoin, provocó escasez de gasolina en toda la costa este y desencadenó una respuesta sin precedentes del gobierno federal. Ese mismo verano, JBS Foods y Kaseya sufrieron ataques devastadores que consolidaron el ransomware como amenaza de seguridad nacional.
CVE-2021-44228, conocida como Log4Shell, fue una vulnerabilidad crítica en Apache Log4j 2 con puntuación CVSS 10.0 que afectó a miles de millones de dispositivos. Descubierta en noviembre de 2021, su explotación trivial y la ubicuidad de la librería convirtieron el parcheado en una pesadilla global.
En 2022, la invasión rusa de Ucrania fue precedida y acompañada por una ofensiva cibernética sin precedentes. Al menos nueve variantes de malware destructivo (wipers) fueron desplegadas contra infraestructura ucraniana, desde WhisperGate en enero hasta AcidPour en 2024, en la mayor campaña de ciberguerra documentada.
2023 consolidó los ataques de cadena de suministro como el vector dominante. El compromiso de 3CX por Lazarus Group fue el primer ataque de doble supply chain documentado, y la explotación masiva de MOVEit Transfer por Cl0p afectó a más de 2.700 organizaciones y 90 millones de personas sin necesidad de desplegar ransomware.
En marzo de 2024, Andres Freund descubrió que XZ Utils, una utilidad de compresión presente en casi todas las distribuciones Linux, contenía un backdoor inyectado por un atacante que había pasado más de dos años ganándose la confianza de los mantenedores del proyecto. CVE-2024-3094 (CVSS 10.0) estuvo a días de comprometer millones de servidores SSH.
La inteligencia artificial ha transformado el panorama de amenazas entre 2025 y 2026. Desde phishing generado por LLMs y deepfakes para fraude CEO hasta malware polimórfico que se reescribe en cada ejecución, analizamos con datos reales cómo la IA amplifica a los atacantes humanos, qué herramientas underground existen y cómo la IA defensiva responde en una carrera armamentística sin precedentes.
Cronología completa de 55 años de malware organizada en 7 eras. De Creeper (1971) a los ataques asistidos por IA (2026). Tabla con más de 50 hitos, estadísticas de daño económico, evolución de técnicas y motivaciones. El artículo capstone que conecta los 25 capítulos de la serie Historia del Malware.