Elk Cloner y Brain: La Era del Disquete (1982-1986)
En 1982, un adolescente de 15 años creó Elk Cloner para Apple II: el primer virus in the wild. En 1986, dos hermanos pakistaníes crearon Brain, el primer virus para IBM PC. Análisis de la era del disquete.
El contexto: la revolución del ordenador personal
Entre 1982 y 1986, el mundo vivió una transformación tecnológica sin precedentes. El Apple II, lanzado en 1977, había democratizado la informática personal. El IBM PC, presentado en agosto de 1981, abrió las puertas del mundo corporativo. Y el Macintosh de Apple, en 1984, introdujo la interfaz gráfica al gran público.
Pero toda esta revolución tenía un denominador común: el disquete. Los disquetes de 5,25 pulgadas eran el medio universal para distribuir software, intercambiar datos y arrancar ordenadores. No había Internet para el usuario común. No había tiendas de aplicaciones. Si querías un programa, alguien te lo pasaba en un disco.
Y ahí estaba el problema. Cada disquete que pasaba de mano en mano era un vector de infección potencial. No existían antivirus, no existía el concepto de "malware" como amenaza real, y la inmensa mayoría de usuarios no tenía formación técnica. El escenario perfecto para que los virus informáticos dieran el salto del laboratorio al mundo real.
Elk Cloner: un adolescente, un Apple II y un poema
Rich Skrenta y la broma que se fue de las manos
En el invierno de 1982, en Pittsburgh (Pensilvania), un estudiante de secundaria de 15 años llamado Rich Skrenta tenía fama entre sus amigos por una razón particular: les prestaba juegos para Apple II con modificaciones ocultas. A veces el juego se reiniciaba sin aviso. Otras veces mostraba mensajes burlescos en pantalla. Sus compañeros dejaron de aceptar sus discos.
Skrenta necesitaba un mecanismo que funcionara sin manipular directamente cada disco. La solución que encontró fue un programa que se copiara automáticamente de un disco a otro: un virus de boot sector para Apple DOS 3.3. Lo llamó Elk Cloner.
Cómo funcionaba Elk Cloner
Elk Cloner fue escrito en lenguaje ensamblador del procesador MOS 6502 del Apple II. Ocupaba aproximadamente 400 líneas de código, equivalentes a 1.536 bytes distribuidos en seis sectores del disco (cada sector en Apple DOS 3.3 tenía 256 bytes).
El mecanismo de infección seguía estos pasos:
- El usuario arrancaba su Apple II con un disquete infectado
- Elk Cloner se cargaba en memoria como parte del proceso de arranque
- El virus se instalaba como residente en memoria (lo que hoy llamaríamos TSR, Terminate and Stay Resident)
- Cuando el usuario insertaba un disquete limpio, Elk Cloner copiaba el DOS completo (incluido el virus) al nuevo disco
- El disquete recién infectado podía propagar el virus a otro ordenador
Para evitar reinfectar discos ya comprometidos, Elk Cloner utilizaba una técnica ingeniosa: modificaba bytes no utilizados en la Tabla de Contenidos de Volumen (VTOC) del disco, almacenando un identificador de versión y un contador de arranques. Esto le permitía saber si un disco ya estaba infectado y cuántas veces se había arrancado desde él.
El poema: cada 50 arranques
Elk Cloner no dañaba datos. Su payload era estético. En cada arranque cuyo número fuera múltiplo de 5, provocaba comportamientos extraños en el Apple II: pantalla invertida, texto parpadeante, clicks en el altavoz. Pero el evento principal llegaba cada 50 arranques, cuando la pantalla se vaciaba y mostraba este poema:
ELK CLONER:
THE PROGRAM WITH A PERSONALITY
IT WILL GET ON ALL YOUR DISKS
IT WILL INFILTRATE YOUR CHIPS
YES, IT'S CLONER!
IT WILL STICK TO YOU LIKE GLUE
IT WILL MODIFY RAM TOO
SEND IN THE CLONER!
Este poema es considerado el primer payload visible de un virus informático in the wild. Una firma de autor en forma de verso, algo que se convertiría en tradición entre los creadores de virus de las décadas siguientes.
El primer virus "in the wild"
La diferencia fundamental entre Elk Cloner y sus predecesores (como Creeper en ARPANET) es que Elk Cloner se propagó fuera de cualquier entorno controlado. Infectó ordenadores de personas que no tenían relación con Skrenta. Se movió por comunidades de usuarios de Apple II en toda Norteamérica a través del intercambio de disquetes de juegos.
No había forma de pararlo. No existían antivirus. La mayoría de los infectados no entendían qué estaba pasando con sus ordenadores. Elk Cloner fue responsable del primer brote de virus informático a escala, años antes de que la palabra "virus" se aplicara formalmente al software.
Brain: el primer virus para IBM PC
Los hermanos Alvi de Lahore
Cuatro años después de Elk Cloner, en enero de 1986, dos hermanos de Lahore (Pakistán) crearon el primer virus para la plataforma IBM PC. Amjad Farooq Alvi (26 años) y Basit Farooq Alvi (19 años) operaban una tienda de informática llamada Brain Computer Services, cerca de la estación de tren de Lahore.
Los Alvi habían desarrollado un software médico para la gestión de registros de pacientes. Cuando descubrieron que sus clientes estaban pirateando y distribuyendo copias ilegales de su programa, decidieron tomar medidas. Su respuesta fue Brain: un virus de boot sector para disquetes de 5,25 pulgadas que infectaba el sector de arranque de los discos que contenían copias pirata de su software.
La tarjeta de visita más famosa del malware
Lo que hace a Brain único en la historia del malware es que incluía, dentro de su propio código, los datos de contacto completos de sus creadores:
Welcome to the Dungeon
(c) 1986 Basit & Amjads (pvt) Ltd.
BRAIN COMPUTER SERVICES
730 NIZAM BLOCK ALLAMA IQBAL TOWN
LAHORE-PAKISTAN
PHONE: 430791,443248,280530.
Beware of this VIRUS....
Contact us for vaccination...
Los hermanos Alvi nunca ocultaron su identidad. Su lógica era la siguiente: si alguien usaba software pirata y su disco se infectaba, podía llamar a Brain Computer Services para obtener una copia limpia. Era, en su concepción original, un mecanismo de protección antipiratería con una vía de contacto para la solución.
Lo que no anticiparon fue que Brain se propagaría mucho más allá de Pakistán. Entre 1986 y 1989, el virus infectó al menos 100.000 discos en Estados Unidos y se detectó en países desde Arabia Saudí hasta Indonesia.
Técnicas de sigilo: el primer virus stealth
Brain no solo fue el primer virus para IBM PC. También fue el primer virus en implementar técnicas de ocultación (stealth), un hito técnico que lo distingue de Elk Cloner.
Cuando Brain infectaba un disquete, realizaba las siguientes operaciones:
- Movía el boot sector original a una ubicación diferente del disco
- Marcaba los sectores donde se almacenaba como "sectores defectuosos" (bad sectors) para que el sistema operativo no los sobrescribiera
- Instalaba su código en el boot sector, de modo que se ejecutaba al arrancar
- Interceptaba la Interrupción 13h (INT 13h), la llamada del BIOS responsable de todas las operaciones de lectura y escritura en disco
La interceptación de INT 13h era la pieza clave del mecanismo stealth. Cuando cualquier programa (incluido el sistema operativo) intentaba leer el boot sector, Brain interceptaba la petición y redireccionaba la lectura al boot sector original que había guardado previamente. El resultado: el boot sector parecía limpio. El virus era invisible para cualquier inspección casual.
Esta técnica, conocida como "full stealth", se convertiría en la base de innumerables virus posteriores.
Comparación técnica: Elk Cloner vs Brain
| Característica | Elk Cloner (1982) | Brain (1986) |
|---|---|---|
| Creador(es) | Rich Skrenta, 15 años | Amjad y Basit Farooq Alvi |
| Plataforma | Apple II | IBM PC compatibles |
| Sistema operativo | Apple DOS 3.3 | MS-DOS |
| Medio de propagación | Disquetes 5,25" | Disquetes 5,25" |
| Tipo | Boot sector | Boot sector |
| Tamaño | ~1.536 bytes (6 sectores) | ~3.072 bytes (6 sectores) |
| Lenguaje | Ensamblador 6502 | Ensamblador x86 |
| Técnicas stealth | No | Sí (interceptación INT 13h) |
| Payload visible | Poema cada 50 arranques | Cambio de etiqueta de volumen a "(c)Brain" |
| Intención | Broma / prank | Antipiratería |
| Datos del autor en código | No | Sí (nombre, dirección, teléfono) |
| Daño a datos | No | No directo (podía causar pérdida de sectores) |
Cómo funciona un virus de boot sector: explicación técnica
Para entender por qué Elk Cloner y Brain fueron tan efectivos, es necesario comprender el proceso de arranque de los ordenadores de la época.
El proceso de arranque en los años 80
Cuando un ordenador de los años 80 se encendía, el procesador no tenía sistema operativo cargado. El hardware ejecutaba una secuencia fija:
- POST (Power-On Self-Test): el hardware se auto-diagnostica
- BIOS/ROM: el firmware busca un dispositivo de arranque (disquetera primero, disco duro después)
- Lectura del boot sector: el BIOS lee los primeros 512 bytes del disco (sector 0, cilindro 0, cabeza 0) y los carga en la dirección de memoria 0000:7C00h
- Transferencia de control: el BIOS salta a 0000:7C00h y ejecuta lo que haya ahí
- Carga del SO: el código del boot sector carga el resto del sistema operativo
El punto crítico es el paso 4: el BIOS ejecuta ciegamente cualquier código que encuentre en el boot sector. No hay verificación de integridad, no hay firma digital, no hay validación. Si un virus reemplaza ese código, se ejecuta antes que cualquier otra cosa.
TSR: Terminate and Stay Resident
Una vez en memoria, los virus de boot sector utilizaban una técnica fundamental de MS-DOS llamada TSR (Terminate and Stay Resident). El virus reducía el tamaño de memoria convencional reportada al sistema operativo (modificando la palabra en la dirección 0040:0013h del BIOS Data Area), reservando un bloque al final de la memoria para sí mismo.
Desde esa posición privilegiada, el virus interceptaba interrupciones del sistema (especialmente INT 13h para operaciones de disco e INT 21h para llamadas DOS). Cada vez que se accedía a un disco nuevo, el virus comprobaba si estaba infectado y, si no lo estaba, copiaba su código al boot sector.
Todo esto ocurría de forma transparente. El usuario veía su sistema operativo cargarse normalmente. No había indicación visible de que un programa adicional se había instalado en memoria.
Por qué los disquetes eran el vector perfecto
Los disquetes de 5,25 pulgadas (y posteriormente los de 3,5 pulgadas) eran el vector ideal para virus de boot sector por varias razones:
- Medio removible: cada disquete pasaba de ordenador en ordenador
- Boot por defecto: muchos ordenadores intentaban arrancar desde la disquetera antes que desde el disco duro
- Sin protección de escritura por defecto: los disquetes de 5,25" tenían una muesca de protección que la mayoría de usuarios no utilizaba
- Cultura de intercambio: compartir software, juegos y datos vía disquete era la norma
- Sin verificación de integridad: no existía ningún mecanismo para verificar que el boot sector no había sido modificado
Otros virus notables de la era (1982-1986)
Elk Cloner y Brain son los más conocidos, pero no fueron los únicos desarrollos significativos de este periodo.
1983: Fred Cohen y la definición formal
El 10 de noviembre de 1983, Fred Cohen, estudiante de doctorado en la University of Southern California, demostró el primer virus controlado en un seminario de seguridad. Su experimento en un sistema VAX 11/750 mostró cómo un programa podía insertarse en otros programas y propagarse. Su mentor, Leonard Adleman (la "A" de RSA), sugirió el término "virus" para describir este tipo de software.
En 1986, Cohen publicó su tesis doctoral "Computer Viruses", estableciendo la definición formal: un programa que infecta otros programas insertando una copia de sí mismo, posiblemente modificada. También demostró matemáticamente que la detección perfecta de virus es un problema indecidible.
1986: Lehigh, el virus que no escapó
El virus Lehigh, descubierto en la Lehigh University (Pensilvania) en 1986, infectaba el archivo COMMAND.COM de MS-DOS. A diferencia de Elk Cloner y Brain, Lehigh fue contenido dentro del campus antes de propagarse al exterior. Nunca llegó a ser un virus "in the wild", pero su estudio contribuyó significativamente al conocimiento académico sobre virus informáticos.
1986: Cascade, el primer virus cifrado
Cascade (también conocido como 1701/1704) apareció en 1986 y fue el primer virus en utilizar cifrado para dificultar su análisis. Cuando se activaba, las letras de la pantalla "caían" hasta la parte inferior, un efecto visual memorable. El uso de cifrado representaba un salto cualitativo en la sofisticación del malware.
Línea temporal: del laboratorio al mundo real (1982-1986)
| Año | Evento | Importancia |
|---|---|---|
| 1982 | Rich Skrenta crea Elk Cloner para Apple II | Primer virus in the wild |
| 1983 | Fred Cohen demuestra virus en VAX 11/750 | Primera demostración académica controlada |
| 1983 | Cohen acuña el término "virus informático" | Nace la terminología formal |
| 1984 | Cohen publica "Computer Viruses: Theory and Experiments" | Primer paper académico sobre virus |
| 1986 (enero) | Hermanos Alvi crean Brain en Lahore | Primer virus para IBM PC |
| 1986 | Aparece el virus Lehigh en universidad homóloga | Contenido antes de propagarse |
| 1986 | Cascade: primer virus con cifrado | Salto en sofisticación técnica |
| 1986 | Fred Cohen publica tesis doctoral sobre virus | Definición formal matemática |
El impacto: nacimiento de una industria
La propagación de Brain en 1986 fue el punto de inflexión. Cuando miles de disquetes infectados aparecieron en universidades y empresas de Estados Unidos, la comunidad informática se dio cuenta de que los virus no eran un problema teórico ni una broma de adolescentes. Eran una amenaza real que necesitaba una respuesta organizada.
Entre 1987 y 1988, surgieron las primeras herramientas antivirus comerciales:
- 1987: Bernd Robert Fix crea uno de los primeros programas antivirus para neutralizar el virus Vienna
- 1987: McAfee Associates (John McAfee) lanza VirusScan
- 1987: G Data Software publica el primer antivirus comercial para Atari ST
- 1988: ESET lanza NOD (antecedente de NOD32)
- 1988: Dr. Solomon's Anti-Virus Toolkit aparece en el mercado
Brain, sin pretenderlo, catalizó el nacimiento de una industria multimillonaria. Los hermanos Alvi habían querido proteger su software; en su lugar, crearon el problema que justificaría la existencia de Norton, McAfee, Kaspersky y todo el ecosistema antivirus moderno.
Legado: por qué 1982-1986 importa en 2026
Esta era estableció patrones que persisten más de cuatro décadas después.
La infección pre-OS sigue siendo la más peligrosa. Los bootkits UEFI modernos como LoJax (2018, atribuido a APT28) o BlackLotus (2023) son descendientes directos de Brain. Infectar el proceso de arranque, antes de que el sistema operativo y sus defensas se carguen, sigue siendo una de las técnicas más temidas en ciberseguridad.
El vector físico no ha desaparecido. Los disquetes fueron reemplazados por USB. Stuxnet (2010), el arma cibernética que destruyó centrifugadoras nucleares iraníes, se propagó a través de memorias USB. La lógica es la misma que en 1982: un medio removible que pasa de máquina en máquina.
La intención del creador no predice el impacto. Skrenta quería gastar una broma. Los Alvi querían proteger su software. Ninguno de los tres imaginó la escala de propagación de sus creaciones. Este patrón se repite constantemente: herramientas creadas con un propósito limitado que escapan al control de sus creadores.
La ausencia de defensas amplifica el daño. En 1982 no existían antivirus. Hoy, los sistemas sin parchear o sin EDR moderno son el equivalente a los Apple II de Skrenta: blancos fáciles en los que el atacante opera sin resistencia.
Lo que viene después
La era del disquete demostró que los virus podían propagarse entre usuarios reales, fuera de laboratorios y universidades. Pero el alcance seguía siendo limitado: un disco infectado solo podía viajar tan lejos como lo llevara su propietario.
En noviembre de 1988, un estudiante de doctorado de Cornell llamado Robert Tappan Morris cambió las reglas del juego. Su gusano, conocido como el Morris Worm, se propagó a través de Internet (la antigua ARPANET expandida), infectando aproximadamente 6.000 ordenadores en cuestión de horas. El 10% de los sistemas conectados a Internet en ese momento.
El siguiente artículo de esta serie analiza cómo un experimento académico se convirtió en el primer incidente de seguridad a escala de Internet, y cómo sus consecuencias legales establecieron el marco jurídico que todavía rige los delitos informáticos.
Fuentes y referencias
- Skrenta, R. Entrevista con The Register: "The 30-year-old prank that became the first computer virus." The Register, 14 diciembre 2012.
- Cohen, F. "Computer Viruses: Theory and Experiments." DOD/NBS 7th Conference on Computer Security, 1984.
- Cohen, F. "Computer Viruses." PhD Thesis, University of Southern California, 1986.
- Elk Cloner - Wikipedia
- Brain (computer virus) - Wikipedia
- What Is Elk Cloner and How Did It Work? - TechTarget
- Malware of the 1980s: Brain Virus and Morris Worm - WeLiveSecurity
- Timeline of computer viruses and worms - Wikipedia
- Viruses of the 80s - cyberTAP, Purdue University
- Brain virus history - History of Information
- Apple II History: Viruses
Preguntas frecuentes
Artículos relacionados
Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.