SQL Slammer: el gusano de 376 bytes que colapsó Internet en minutos

SQL Slammer fue uno de esos incidentes que cambiaron la forma de entender la seguridad en redes corporativas. No robaba contraseñas, no cifraba archivos, no mostraba una nota de rescate y ni siquiera necesitaba escribir un archivo en disco para causar daños. Le bastó con explotar una vulnerabilidad en Microsoft SQL Server y propagarse a una velocidad que, en enero de 2003, dejó a buena parte de Internet sin capacidad de reacción.

El gusano apareció el 25 de enero de 2003 y atacaba sistemas con Microsoft SQL Server 2000 y Microsoft Desktop Engine (MSDE) vulnerables. Microsoft ya había publicado meses antes el boletín de seguridad MS02-039, con un parche eficaz contra la vulnerabilidad que aprovechó Slammer, pero muchas organizaciones no lo habían aplicado. Esa combinación, fallo crítico conocido y sistemas sin actualizar, fue suficiente para provocar uno de los brotes más rápidos de la historia de Internet.

La cifra que mejor resume el caso sigue impresionando: SQL Slammer infectó la mayoría de sus aproximadamente 75.000 víctimas en unos 10 minutos, según el análisis clásico de CAIDA sobre el gusano Sapphire/Slammer. Su código tenía solo 376 bytes, pero generó tal volumen de tráfico UDP que degradó redes, saturó enlaces y afectó a servicios críticos en todo el mundo.

Cómo funcionaba SQL Slammer

SQL Slammer explotaba un desbordamiento de búfer en el servicio SQL Server Resolution Service, utilizado por SQL Server 2000 y MSDE 2000. El ataque se lanzaba mediante paquetes UDP dirigidos al puerto 1434. Al recibir el paquete malicioso, el sistema vulnerable ejecutaba el código del gusano en memoria y comenzaba inmediatamente a buscar nuevas víctimas de forma aleatoria.

Su mecanismo era simple y devastador: encontrar un servidor vulnerable, explotarlo, copiarse en memoria y empezar a enviar paquetes a direcciones IP aleatorias. Al usar UDP, no necesitaba establecer una conexión previa como ocurre con TCP. Esa ausencia de “apretón de manos” reducía la latencia del ataque y permitía que cada máquina infectada disparase tráfico a gran velocidad.

La consecuencia fue un crecimiento explosivo. Cada servidor comprometido se convertía en una nueva fuente de tráfico que buscaba más servidores vulnerables. En pocos minutos, el problema dejó de ser “unos servidores SQL infectados” y pasó a ser congestión generalizada de red. El gusano no necesitaba destruir datos para causar daño: bastaba con saturar el ancho de banda.

Dato claveSQL Slammer
Año de aparición2003
TipoGusano informático
Plataforma afectadaMicrosoft SQL Server 2000 y MSDE 2000
Puerto usadoUDP 1434
VulnerabilidadDesbordamiento de búfer en SQL Server Resolution Service
Tamaño aproximado376 bytes
PropagaciónMayoría de 75.000 víctimas en unos 10 minutos
CreadorDesconocido

El incidente afectó a proveedores de Internet, empresas, bancos, aerolíneas y redes corporativas. Wired relató cómo el gusano provocó una degradación global en cuestión de minutos y cómo algunos grandes operadores tuvieron que reaccionar bloqueando o filtrando tráfico para contener la propagación.

Por qué fue tan rápido

La velocidad de SQL Slammer no fue casual. Su tamaño minúsculo le permitía viajar en un único paquete UDP. No tenía funciones complejas, no llevaba una carga destructiva tradicional y no necesitaba escribir ficheros. Estaba diseñado para una sola tarea: propagarse lo más rápido posible.

Esa eficiencia maliciosa dejó una lección incómoda. Un malware no necesita ser grande ni sofisticado en apariencia para provocar una crisis. A veces basta con encontrar un servicio expuesto, una vulnerabilidad crítica y una población suficiente de sistemas sin parchear.

El caso también mostró el riesgo de los componentes instalados sin plena conciencia. Muchos sistemas vulnerables ejecutaban MSDE como parte de otras aplicaciones, y algunos administradores ni siquiera sabían que tenían un servicio SQL escuchando. Esa falta de inventario convirtió el parcheo en un problema mucho más difícil: no se puede actualizar lo que no se sabe que existe.

La lección para los equipos de sistemas

La lectura de SQL Slammer en 2026 sigue siendo muy actual. Cambian las tecnologías, pero el patrón se repite: vulnerabilidad conocida, parche disponible, servicios expuestos, inventario incompleto y redes sin segmentar. La diferencia es que hoy el radio de impacto puede ser aún mayor por la dependencia de cloud, APIs, SaaS, VPN, escritorios remotos, Kubernetes, bases de datos gestionadas y servicios conectados.

SQL Slammer dejó varias lecciones que siguen vigentes. La primera es que el parcheo no puede depender solo de buena voluntad. Necesita inventario, criticidad, responsables, ventanas de mantenimiento y verificación. Microsoft había publicado correcciones antes del brote, pero demasiadas organizaciones no las habían aplicado.

La segunda es que los servicios no deben estar expuestos si no es necesario. CERT/CC ya recomendaba bloquear el puerto UDP 1434 en fronteras de red como medida de mitigación. Ese principio sigue siendo básico: reducir superficie expuesta, filtrar tráfico, segmentar y limitar quién puede hablar con qué servicio.

La tercera es que la red debe diseñarse pensando en fallos. Un gusano de propagación rápida no solo compromete máquinas; también satura enlaces, routers, firewalls y sistemas de monitorización. Si la red no está segmentada y no existen controles de tasa, filtrado y contención, una infección local puede convertirse en un problema de toda la organización.

Un gusano pequeño con una enseñanza enorme

SQL Slammer no es solo una pieza de historia del malware. Es un recordatorio de que la seguridad básica mal ejecutada puede tener consecuencias globales. El parche existía. La vulnerabilidad era conocida. La mitigación de red era posible. Aun así, el gusano logró colapsar redes en minutos.

Ese es el punto que lo hace tan relevante: no fue una historia de ciencia ficción técnica, sino de operación. Inventario incompleto, retrasos en parches, servicios expuestos y poca preparación ante propagación rápida.

Hoy se habla mucho de ransomware, ataques a la cadena de suministro, inteligencia artificial ofensiva y amenazas persistentes avanzadas. Todo eso importa. Pero SQL Slammer demuestra que un fallo antiguo, una superficie mal controlada y una actualización pendiente pueden bastar para tumbar servicios críticos.

La ciberseguridad no siempre falla por falta de herramientas avanzadas. Muchas veces falla porque lo básico no está cerrado a tiempo.

Preguntas frecuentes

¿Qué fue SQL Slammer?
Fue un gusano informático aparecido en 2003 que explotaba una vulnerabilidad en Microsoft SQL Server 2000 y MSDE 2000 para propagarse a gran velocidad.

¿Por qué se propagó tan rápido?
Porque usaba paquetes UDP en el puerto 1434, no necesitaba establecer conexión previa y su código era extremadamente pequeño, de unos 376 bytes.

¿Cuántos sistemas infectó?
Los análisis más citados estiman que infectó la mayoría de unas 75.000 víctimas en aproximadamente 10 minutos.

¿Había parche disponible?
Sí. Microsoft había publicado meses antes el boletín MS02-039, aunque muchas organizaciones no lo habían aplicado.

¿Cuál es la principal lección de SQL Slammer?
Mantener inventario, aplicar parches críticos a tiempo, cerrar servicios expuestos y segmentar redes puede evitar que una vulnerabilidad conocida se convierta en una crisis.

Scroll al inicio