Microsoft y el mercado antivirus
El pasado martes, 10 de junio, Microsoft distribuía una nota de prensa donde anunciaba la adquisición de la tecnología antivirus de GeCAD Software.
Esta compañía es un peso pluma en el mercado de la seguridad. La expectación ante este movimiento es máxima, sobre todo entre las casas antivirus, a la espera de conocer las intenciones y planificación de Microsoft en este terreno.
La nota de prensa de Microsoft es lo suficientemente ambigua como para mantener la incertidumbre. Por un lado habla de aprovechar los conocimientos y experiencia de GeCAD para dotar a la plataforma de Windows de nuevas funcionalidades que aumenten y faciliten la integración de soluciones antivirus de terceros, pero por otro lado no se descarta que Microsoft termine por ofrecer su propio motor antivirus basándose en el producto de GeCAD.
Si a esta última posibilidad se le une la tendencia de Microsoft a integrar en Windows los productos que pueden tener una competencia dominante en el mercado (recordar los casos de Internet Information Server o Internet Explorer), no es de extrañar el revuelo que la nota de prensa causó entre las firmas antivirus.
Experiencias anteriores
El escenario no sería nuevo, en 1993 Microsoft hizo una incursión en este mercado con MSAV (MicroSoft Anti-Virus) que distribuía junto a la versión 6.0 de MS-DOS. El antivirus de Microsoft era una versión de CPAV (Central Point Anti-Virus), un producto con solera en aquellos años que finalmente sería adquirido por Symantec.
El resultado fue nefasto, MSAV quedaba fuera de juego en poco tiempo por una mala política de actualizaciones que lo situó en clara desventaja respecto a sus competidores. En una comparativa realizada en enero de 1995, con la participación de más de 20 productos, MSAV quedaba en último lugar con resultados muy pobres en todos los apartados, incluyendo índices más que preocupantes en la detección de la colección In-The-Wild (los virus más extendidos).
En esa misma comparativa CPAV, que seguía su desarrollo y mantenimiento independiente a MSAV, consiguió resultados muy por encima a la solución de Microsoft. MSAV desapareció con la entrada en juego de Windows 95.
Extrapolando esta experiencia a la situación actual, Microsoft al menos puede estar seguro de que el antivirus de GeCAD no podrá superarle en ningún caso, ya que ha adquirido tanto el producto, RAV antivirus, como a su equipo de desarrollo y mantenimiento, incluyendo en el acuerdo cláusulas para impedir que puedan desarrollar otras soluciones antivirus. Con respecto a los problemas de actualización con que se toparon en MSAV, hoy día no sería mayor problema, teniendo en cuenta que Microsoft se ha convertido en el rey del parche con Windows Update y, además, ya cuentan con un público sumiso a la necesidad de las actualizaciones continuas.
RAV antivirus de GeCAD, ¿qué ha comprado Microsoft?
Definitivamente Microsoft no ha comprado tecnología de última generación, RAV es un antivirus clásico de detección por firmas, que no destaca por su innovación o funcionalidades proactivas. Eso sí, todo indica que en los últimos tiempos han inflado sus cifras incluyendo todo tipo de firmas, lo que en comparativas basadas en porcentajes de detección en colecciones zoo puede dar una falsa sensación de buen producto.
Particularmente no he evaluado RAV antivirus desde el año 2000, cuando participó en la comparativa de Hispasec de ese año, quedando fuera de la lista de los 10 mejores productos antivirus tras obtener un pésimo 17,32 por ciento de detección en la colección de troyanos.
Tras el anuncio de Microsoft he descargado e instalado la última versión de RAV, y lo que primero destaca es la cifra de más de 79.000 especímenes de malware que afirma identificar. Esta cifra tan elevada, muy por encima de productos destacados en el sector, apunta a que RAV es un claro exponente del “efecto zoo” (producto que artificialmente aumenta el número de virus detectados incluyendo firmas innecesarias con el único fin de alcanzar buenos resultados en comparativas, certificaciones y en la publicidad basada en números cuantitativos).
De las sospechas a las evidencias. Enfrentado contra una colección de falsos virus, RAV detecta muchas muestras que en realidad no pueden causar daño alguno, desde archivos dañados que no se pueden ejecutar, a los que RAV identifica con el sufijo “remnants”, pasando por la detección de simples magazines sobre virus, herramientas clientes de seguridad y hacking, o muestras que suelen formar parte de las colecciones ZOO no depuradas, pero que en realidad no pueden ser clasificadas como malware.
Llegados a este punto, cabría preguntarse porqué Microsoft ha escogido a GeCAD. Bien porque se ha dejado llevar por los cantos de sirena de sus cerca de 80.000 virus que anuncia detectar, bien porque buscaba en la sección oportunidades y la empresa rumana era de las más baratas en comparación con otras que ya cuentan con un buen posicionamiento en el mercado, bien porque no quería irrumpir en el mercado como un elefante en una cacharrería y buscaba un peso pluma para no tener que elegir y decantarse por alguna de las grandes.
Si realmente lo único que quería era un antivirus clásico basado principalmente en la detección por firmas y su base de datos histórica, la elección en lo económico no es mala, ya que la tecnología es relativamente simple y similar en cualquiera de los productos y RAV/GeCAD debe ser con mucha diferencia la opción más barata que puede adquirir a día de hoy.
Si lo que pretendía era dar un vuelco a la seguridad de Windows con respecto a los virus y gusanos que les azotan, la compra del antivirus de GeCAD sirve de muy poco. Microsoft puede mejorar mucho en la lucha contra el malware si realiza modificaciones en la base, ya que presenta muchas debilidades por diseño. Pero integrar en Windows un antivirus basado en la detección de firmas supone un nuevo parche al ya de por sí parcheado sistema, y seguir un modelo de antivirus reactivo que día a día se muestra insuficiente para frenar a los especímenes que explotan el potencial de Internet para propagarse en cuestión de minutos.
¿Qué puede ocurrir?
Si finalmente la compra de GeCAD por parte de Microsoft sólo tiene como fin la investigación y desarrollo de nuevas funcionalidades en Windows que faciliten el trabajo de terceras casas antivirus, el mercado y los usuarios no deben de notar cambios bruscos. La vida seguirá igual.
Si por el contrario Microsoft pretende integrar el antivirus de GeCAD en Windows, queda claro que supondrá un duro varapalo para las firmas actuales. Bajo este escenario, las casas antivirus, en clara desventaja, sólo podrían competir (mejor dicho, adaptarse e intentar complementar al antivirus de Microsoft) innovando en nuevas técnicas antivirus más proactivas, productos especializados, y marcando diferencias en los servicios y tiempos de respuesta, donde a buen seguro serán mucho más ágiles y efectivos que Microsoft.
¿Mejoraría la seguridad del usuario?
Situándonos en el escenario más cambiante, la integración de un motor por detección de firmas en Windows, queda claro que supondrá la existencia de un antivirus en todos los sistemas Microsoft y que podría asegurarse su actualización con algún método agresivo (forzar la actualización automática, sin depender de la acción del usuario). En este punto la mejora parece evidente.
Pero si la entrada de un antivirus de Microsoft supone finalmente un claro predominio sobre el sector y la desaparición de la mayoría del resto de casas antivirus, el usuario está en peligro.
Por un lado la falta de competencia real, que hoy día está garantizada entre las diferentes firmas, supondría un relajamiento en la necesidad de ofrecer respuestas inmediatas y mejoras en los productos. Por otro lado, el escenario de un antivirus común en todos los sistemas Windows da lugar a un sistema de seguridad muy homogéneo, que facilita enormemente la vida a los creadores de virus y permitiría epidemias más globales.
Mientras que hoy día un creador de virus debe diseñar su espécimen para que pueda burlar a una veintena de productos antivirus, cada uno con sus funcionalidades, firmas genéricas y heurísticas (cosa fácil, como demostramos en e-gallaecia), el día que reine un único producto en la mayoría de los sistemas sólo deberá dedicar “esfuerzos” (cosa de niños) para burlar esa protección a sabiendas de que afectará al 90 por ciento del parque mundial.
¿Podría Microsoft vender su antivirus sin integrarlo en Windows?
La posibilidad siempre existe, aunque la historia y la razón no apuntan hacia esa vía. También plantearía un dilema ético, que por un lado las debilidades de diseño de sus plataformas facilitaran la vida a los virus y que por otro se dedicara a vender la protección a su propia incompetencia.
En definitiva, finalmente deberemos esperar la jugada de Microsoft para ver como puede afectar esta adquisición a la situación actual de los antivirus, de momento todo son conjeturas e hipótesis.