Pese a que el aprovechamiento de vulnerabilidades de software pueda parecer algo muy reciente, en realidad comenzaron a emplearse en 1998. De ello se encargó el troyano Back Orifice, que utilizaba puertos de comunicaciones desprotegidos para introducirse en los sistemas y dejarlos a merced de hackers que podían controlar los equipos de forma remota. Pero muy poco tiempo después comenzaron a utilizarse vulnerabilidades como las que conocemos ahora. Así, en 1999 apareció el gusano Bubble Boy que, aprovechando un agujero de seguridad de Internet Explorer, se activaba de forma automática simplemente con visualizar el mensaje de correo en el que llegaba al equipo. Esto mismo también lo hacía el gusano Kak, cuyo código se ocultaba en la autofirma de los mensajes generados con Microsoft Outlook Express. Los exploits Casi siempre, el aprovechamiento de una vulnerabilidad de software por parte de un virus se hace a través de un exploit que ha sido previamente programado por otros usuarios o, raramente, por el propio autor del código malicioso. Técnicamente, un exploit es un bloque de código que se ejecuta únicamente si en la máquina objeto del ataque se produce un error esperado y muy concreto, es decir, en caso de que la máquina presente la vulnerabilidad que el exploit trata de
utilizar. La creación de un exploit es una tarea compleja, no apta para cualquier usuario, ya que para ello -casi siempre- debe utilizarse lenguaje ensamblador. El problema es que, en muchas ocasiones, el autor del exploit lo pone a disposición de otros usuarios maliciosos que, a su vez, lo incorporan a programas escritos con lenguajes de alto nivel. Esos programas pueden ser, obviamente, virus informáticos que gracias a la incorporación del exploit, pueden infectar