Morris Worm: El Gusano Que Creó La Ciberseguridad
Hilo sobre el estudiante de Cornell que en 1988 liberó un programa de 99 líneas de código y desconectó el 10% de internet. 6.000 ordenadores caídos. Costes de hasta 10 millones de dólares. Fue condenado a libertad condi…
Lo Que No Te Cuentan: El estudiante de Cornell que "accidentalmente" desconectó 6.000 ordenadores —y creó la industria de la ciberseguridad
Robert Tappan Morris era estudiante de doctorado en Cornell cuando escribió un programa de 99 líneas de código. Lo liberó el 2 de noviembre de 1988 desde un ordenador del MIT. Su objetivo, según él, era "medir el tamaño de internet". El resultado: 6.000 ordenadores infectados —el 10% de internet en ese momento—, costes estimados entre 100.000 y 10 millones de dólares, y la primera condena bajo la Ley de Fraude y Abuso Informático de 1986. Morris no fue a prisión. Fue condenado a tres años de libertad condicional, 400 horas de servicio comunitario y una multa de 10.050 dólares. Hoy es profesor en el MIT. Y el gusano que creó, el Morris Worm, es considerado el primer malware de la historia moderna. La pregunta no es si fue un accidente. Es por qué un "accidente" de 99 líneas de código fundó una industria de miles de millones.
Robert Tappan Morris nació en 1965.
Su padre, Robert Morris Sr., era criptógrafo en la NSA. Su madre, Anne Farlow Morris, era programadora de computadoras. Creció en un mundo donde los ordenadores no eran máquinas de consumo. Eran instrumentos de poder estatal.
En 1988, Morris era estudiante de doctorado en Cornell. Programaba desde los años de secundaria. Conocía UNIX, el sistema operativo que dominaba las universidades y centros de investigación. Sabía que sendmail, el programa de correo electrónico, tenía una vulnerabilidad. Sabía que finger, el servicio de información de usuarios, tenía otra.
Escribió un programa de 99 líneas de código en C. Un gusano: un programa que se replica automáticamente de máquina en máquina. No destruía archivos. No robaba datos. Solo se copiaba. Y se copiaba. Y se copiaba.
Lo liberó el 2 de noviembre de 1988 desde un ordenador del MIT. Eligió el MIT porque Cornell tenía políticas contra experimentos no autorizados. Quería que el gusano se propagara lentamente, invisible, midiendo cuántas máquinas había en internet.
Pero cometió un error.
El error que desconectó internet
Morris programó una protección contra la detección.
Si una máquina ya estaba infectada, el gusano debía preguntar si había otra copia activa. Si la respuesta era sí, debía abortar la infección para no ser detectado.
Pero Morris temía que los administradores respondieran "sí" incluso cuando no había infección, para engañar al gusano. Así que añadió un mecanismo: una de cada siete veces, el gusano se infectaba de todos modos.
Ese 1/7 fue el detonante.
En una red pequeña, el gusano se infectaba una vez, preguntaba y se detenía. Pero en una red grande —como internet en 1988, con 60.000 ordenadores conectados— el 1/7 significaba que el gusano se replicaba exponencialmente. Cada copia infectaba a siete máquinas. Cada una de esas siete infectaba a otras siete. En horas, miles de máquinas estaban paralizadas no por daño, sino por saturación.
El gusano consumía recursos. Copias múltiples en la misma máquina. Procesos que se multiplicaban hasta que el sistema colapsaba.
000 ordenadores infectados. El 10% de internet. Universidades: Berkeley, Stanford, MIT, Harvard, NASA. Laboratorios militares. Centros de investigación. El propio MIT, donde Morris lo había liberado.
El coste: estimado entre 100.000 y 10 millones de dólares. En 1988, cuando un ordenador costaba 10.000 dólares y la hora de técnico era oro.
El juicio que no fue juicio
Morris fue arrestado en 1989.
No por Cornell. No por el MIT. Por el FBI.
La acusación: violación de la Ley de Fraude y Abuso Informático de 1986. La primera condena bajo esa ley. Un precedente que definiría décadas de jurisprudencia sobre ciberdelito.
El juicio fue un espectáculo. Su padre, el criptógrafo de la NSA, testificó. Expertos debatieron si el gusano era "dañino" o solo "ineficiente". Morris argumentó que nunca intentó causar daño. Que fue un experimento que se salió de control.
La defensa no convenció. O sí, parcialmente.
Morris fue condenado a tres años de libertad condicional. 400 horas de servicio comunitario. Una multa de 10.050 dólares.
No fue a prisión. No perdió su doctorado. No fue expulsado de Cornell.
En 1990, se graduó. En 1999, fue profesor en el MIT. Hoy enseña en el mismo lugar desde donde liberó el gusano.
La industria que nació del caos
El Morris Worm no destruyó internet. La transformó.
Antes de 1988, internet era una red de confianza. Universidades compartían recursos. Los administradores no se preocupaban por seguridad. Las contraseñas eran opcionales.
Después de 1988, todo cambió.
CERT/CC —el Centro de Coordinación de Equipos de Respuesta ante Emergencias Informáticas— fue creado por DARPA en respuesta al gusano. El primer organismo de respuesta a incidentes de ciberseguridad.
La cultura de seguridad en UNIX se reinventó. Sendmail y finger fueron parcheados. Los firewalls se volvieron estándar. Las contraseñas, obligatorias.
Y la industria de la ciberseguridad nació. Antivirus. Firewalls. IDS. IPS. Pentesting. Bug bounties. Una economía de miles de millones construida sobre el miedo a que 99 líneas de código vuelvan a desconectar todo.
La ironía definitiva: Morris creó el problema que luego la industria se encargó de vender. No intencionalmente. Pero efectivamente. El gusano de 1988 fue el marketing perfecto para una industria que en 2026 factura más de 200.000 millones de dólares anuales.
El giro polémico
Aquí está el truco que nadie menciona.
Morris no fue castigado porque el sistema no sabía cómo castigarlo. En 1988, no había marco legal para "daño informático sin intención". La Ley de Fraude y Abuso de 1986 había sido escrita para hackers que robaban datos, no para estudiantes que medían redes.
La condena —libertad condicional, servicio comunitario y multa simbólica— fue un mensaje: "esto es grave, pero no lo suficientemente grave como para arruinar tu vida". Un equilibrio entre el castigo ejemplarizante y el reconocimiento de que Morris no era un criminal. Era un curioso con acceso a herramientas que no entendía completamente.
Pero ese equilibrio no se repitió.
En 2026, un estudiante que liberara un gusano equivalente —que saturara el 10% de internet— enfrentaría cargos federales, extradición y potencialmente décadas de prisión. Aaron Swartz, que descargó artículos académicos de JSTOR, fue acusado de 13 cargos federales y enfrentaba 35 años de prisión. Se suicidó en 2013.
La escala ha cambiado. La intención ya no importa. El daño potencial, sí.
Y, sin embargo, la industria de ciberseguridad que nació del Morris Worm sigue vendiendo la misma promesa: protegerte de lo que Morris "accidentalmente" hizo. Aunque ahora los ataques no son accidentales. Son comerciales. Son estatales. Son ransomware que paraliza hospitales.
Traducción: Morris fundó una industria con un error. La industria, tres décadas después, sigue vendiendo protección contra ese error, mientras las verdaderas amenazas son corporaciones y gobiernos que no necesitan gusanos. Necesitan contratos.
La pregunta que no te dejará dormir
Si mañana un estudiante de doctorado liberara accidentalmente un programa que saturara el 10% de internet —sin dañar archivos, sin robar datos, solo replicándose— ¿lo llamarías terrorista?
¿O preferirías admitir que la única diferencia entre Robert Morris en 1988 y un hacker en 2026 es que el primero creó una industria con su error, y el segundo sería destruido por la misma industria que el primero fundó?