Microsoft AntiSpyware y el adware de Claria
Microsoft responde tras el aluvión de críticas y consultas a raíz de que su antispyware dejara de eliminar, por defecto, el adware de Claria.
Adware y spyware
Tal y como comentamos la pasada semana en Hispasec, a los rumores del interés de Microsoft por adquirir a Claria, más conocida anteriormente como Gator, se sumó a la polémica el hecho de que su AntiSpyware, aunque lo sigue detectando, haya dejado de eliminar el adware de Claria por defecto.
A efectos prácticos, cuando Microsoft AntiSpyware realiza un análisis del sistema presenta un informe de los componentes detectados junto a una serie de acciones recomendadas para cada uno de ellos, que podremos ejecutar de forma global con tan sólo pinchar un botón.
Entre las acciones encontramos “Remove” para eliminarlo, “Quarantine” para eliminarlo pero guardar una copia por si es necesario restaurarlo, e “Ignore” que no realiza ninguna acción, no lo elimina.
La mayoría de usuarios, al no tener los suficientes conocimientos para distinguir el grado de peligrosidad de cada componente detectado, o de si realmente se trata de archivos necesarios para su sistema, suelen ejecutar las acciones por defecto sin modificarlas, al fin y al cabo es la recomendación de Microsoft que se supone ha analizado cada espécimen.
Con las últimas modificaciones en sus firmas, en las que algunos especímenes detectados han pasado de “Remove” o “Quarantine” a “Ignore”, Microsoft AntiSpyware deja por defecto que adware y spyware continúen instalados en los sistemas de los usuarios.
La publicación de este hecho ha propiciado que Microsoft reciba cantidad de consultas al respecto, y finalmente ha decidido enviar una carta abierta en la que explica sus motivos.
El caso Claria
Básicamente, Microsoft afirma que no hay ningún tipo de trato de favor con Claria y que actúan de igual forma con el resto de empresas. Que Microsoft ofrece a todas las compañías de software la oportunidad de revisar la clasificación de sus productos respecto a como deben ser procesados por su AntiSpyware, atendiendo también a una serie de criterios y categorías preestablecidas. Que Claria pidió una revisión en enero y que Microsoft, tras estudiar las alegaciones de Claria, ha estimado oportuno modificar sus firmas para que por defecto no se eliminen sus componentes.
Recomendamos la lectura completa de la respuesta de Microsoft para que cada cual saque sus propias conclusiones, disponible en la siguiente dirección: Response to questions about Claria software http://www.microsoft.com/athome/security/spyware/software/claria_letter.mspx
Mi opinión al respecto es que la explicación de Microsoft no aclara el fondo de la cuestión y plantea más dudas.
Si hace unos meses los técnicos del laboratorio antispyware, tras analizar los componentes de Claria, decidieron que debía ser eliminado. ¿Qué ha cambiado ahora? Porque recordemos que el adware de Claria sigue ralentizando el sistema, sigue conectándose y enviado datos a los servidores de Claria sin avisar al usuario, sigue resultando complicado desinstalarlo por completo y deja huellas en el sistema, etc.
La respuesta de Microsoft debería haber zanjado este tema, sin embargo ha dado una explicación genérica sin ningún detalle técnico y concreto que permita contrastar su decisión.
Una cosa sí se puede constatar, en la que tengo que darle la razón a Microsoft, y es que Claria no es la única empresa de adware y spyware que ha conseguido modificar la política de su AntiSpyware. En pruebas realizadas en el laboratorio de Hispasec estamos comprobando cómo la lista de especímenes que pasa de “Remove” o “Quarantine” a “Ignore” es mayor. Lo cual, como es evidente, me preocupa aun más desde el punto de vista de los usuarios que ejecutan las recomendaciones por defecto de Microsoft AntiSpyware.
En estos momentos resulta irónico que algunos especímenes de adware y spyware tengan la recomendación de “Ignore” y otros menos dañinos la de “Remove”. Microsoft debería unificar de forma genérica sus criterios, sean cuales sean, de lo contrario da la impresión de que las empresas más potentes que lo soliciten pueden obtener el indulto de su solución antispyware.
Un detalle que me llama la atención de la respuesta de Microsoft es como en todo momento habla del “software de Claria”, de “productos de Claria”, y evita denominarlo “adware” o “spyware” aunque es algo obvio y su propio antispyware lo identifica como tal. Entiendo que es simple estrategia desde el punto de vista de comunicación para defender el nuevo criterio adoptado al respecto por su solución, pero sería preocupante que fuera tomado por un intento de legitimar el adware de Claria.
Por último creo que es importante hacer una lectura correcta de todo lo anterior, sobre todo leído los comentarios extremistas a raíz de la primera noticia sobre este tema. Por un lado hubo quién (pro-Microsoft) puso en entredicho la noticia de Hispasec y afirmó que Microsoft AntiSpyware eliminaba por defecto el adware de Claria, evidentemente Hispasec realizó las comprobaciones oportunas antes de afirmarlo y Microsoft con su nota lo acaba de corroborar por si quedaban dudas. Por otro lado nos encontramos a los detractores de Microsoft, los más recatados venían a decir que los usuarios debían desinstalar inmediatamente Microsoft AntiSpyware de sus sistemas.
Por norma general, mi recomendación es que desconfíe de las posturas extremistas y/o de las opiniones que siempre se inclinan del mismo lado.
Mi lectura es que el adware es un terreno farragoso, incluso en ocasiones es complicado delimitar que características debe tener una aplicación para ser denominada adware, y en muchas ocasiones entrará en conflicto con software desarrollado por empresas. No ocurre lo mismo con los virus o los gusanos, por ejemplo.
Ahora bien, una vez se establece una política al respecto, ésta debería ser aplicada de forma independiente y con criterios puramente técnicos, y no estar a merced de presiones e intereses de las empresas cuyos productos pudieran verse afectadas. El hecho de que algo sea legal no quiere decir que sea ético, y cualquier antispyware o antivirus no debería hacer diferencias de si un adware ha sido o no desarrollado por una empresa legítima (que no es sinónimo de que sus prácticas sean éticas), sino limitarse a defender los intereses de los usuarios. Caiga quién caiga.
Por otro lado, lo realmente crítico sería que Microsoft AntiSpyware dejara de detectar determinado adware de forma consciente e intencionada. Hasta el momento no se ha doblegado en ese sentido, o al menos no tenemos conocimiento de ello, y sigue detectando el adware de Claria y de otras empresas como tal. Este es un punto a su favor, y mi experiencia al respecto es que en el terreno de este tipo de soluciones su comportamiento es bueno, se encuentra en la gama alta de los productos específicos contra el adware y spyware.
Llegados a este punto podemos concluir que Microsoft AntiSpyware ha dado un paso atrás, especialmente para los usuarios que no pueden discernir entre qué es dañino o no para su sistema (la mayoría), pero sigue manteniendo su poder de detección intacto, en los que obtiene unos ratios notables, y los usuarios más experimentados no tendrán mayores problemas que modificar las opciones recomendadas por defecto para eliminar todo el software no deseado.
Sin embargo, si tenemos en cuenta que Microsoft AntiSpyware va dirigido a un público mayoritario, especialmente al usuario final, y que éste puede ser simplemente el principio de un largo número de excepciones a la hora de eliminar por defecto el adware comercial, el futuro se presenta incierto para la efectividad real de este producto.
En manos de Microsoft queda corregir el rumbo de su antispyware, por nuestra parte seguiremos atentos a su evolución.