Flecos de las soluciones antivirus
En plena oleada de gusanos informáticos son más evidentes los problemas
que originan, como efecto colateral, algunas características de las
soluciones antivirus.
Aunque no dejan de ser incidentes que en teoría no afectan de forma
directa a la seguridad del sistema, la realidad es que pueden desembocar
en todo tipo de situaciones.
Uno de los problemas más comunes son
los avisos que originan algunas soluciones antivirus para alertar y
avisar a los remitentes de los mensajes infectados. En un principio
podía considerarse una función útil, pero hace ya tiempo que la mayoría
de los gusanos falsean la dirección de remite cuando se propagan. El
resultado es que estas soluciones antivirus envían un mensaje alertando
a una dirección de correo que en realidad no ha enviado el virus.
Muchos de nosotros habremos recibido algún que otro mensaje avisándonos
de que hemos enviado un virus y estamos infectados, cuando en realidad
lo único que ha sucedido es que el gusano ha enviado desde otro
ordenador infectado, que nada tiene que ver con nosotros, un mensaje con
nuestro e-mail como remite falseado.
A partir de aquí se originan
situaciones para todos los gustos. Desde aquellos usuarios que se creen
el aviso y optan por apagar el sistema y buscar ayuda, hasta aquellos
que escriben al destinatario para recomendarle que cambie de solución
antivirus y que deje de alertar a los usuarios.
Además, por si no
fuera poco con el spam y los propios gusanos, hemos de soportar el
tráfico de esta nueva plaga de mensajes no deseados, que bien podríamos
considerar también spam, no en vano los avisos suelen incluir el nombre
del antivirus y un enlace. Primero te dicen que estás infectado, y luego
te envían a la herramienta que lo detecta y desinfecta, no hay
publicidad más directa.
La solución más simple pasa por que las
soluciones antivirus no contemplen la funcionalidad de aviso a los
remitentes de mensajes infectados. Otra opción, más elegante, y que
permite mantener la utilidad de las notificaciones, es que los antivirus
no realicen el aviso de forma indiscriminada, como hasta ahora, sino que
sólo lo hagan en el caso de virus, troyanos, o gusanos que no realizan
la falsificación del remitente, algo muy fácil para ellos, ya que les
basta con incluir una simple marca en las firmas de detección para
reconocer en que casos no deben avisar.
Otro de los efectos
colaterales más comunes se detecta en aquellas soluciones antivirus de
servidor de correo que desinfectan el archivo adjunto infectado pero que
dejan pasar el mensaje del gusano, a veces con parte de los archivos
adjuntos incluido. Son muchos los usuarios que se alertan al recibir
este tipo de mensaje, ya que creen que se trata de mensajes infectados,
y reclaman a los administradores de sistemas.
Como anécdota, una
importante organización ha enviado recientemente un comunicado a todos
sus usuarios avisándoles que los mensajes en inglés que reciben ya han
sido desinfectados, en un intento de tranquilizarlos y evitar las
continuas alarmas. La realidad es que la solución puede ser peor que el
problema, ¿qué ocurrirá cuando de verdad se les cuele un gusano por el
antivirus perimetral? ¿los usuarios creerán que es inofensivo porque ya
ha sido desinfectado?
De nuevo la solución está en manos de las
casas antivirus, ya que es muy fácil mantener una lista o una marca en
las firmas de virus para reconocer los gusanos “puros”, especímenes que
crean todo el mensaje y se autoenvían. En estos casos de gusanos “puros”
la solución antivirus debería eliminar por completo, tanto el archivo
adjunto como el mensaje, y que el usuario (destinatario) no reciba
absolutamente nada, evitando cualquier tipo de confusión y un tráfico
totalmente innecesario.