¿Son eficaces las soluciones antivirus? (II)

En la primera parte de este reportaje tratamos a fondo la controversia generada a raíz de la publicación de “Assessing the Effectiveness of Antivirus Solutions”, un estudio patrocinado por la firma de seguridad Imperva. Os acercamos la opinión de sus investigadores, la de los proveedores implicados e incluso la de la propia herramienta VirusTotal, plataforma empleada para medir la eficacia de distintas soluciones antivirus actualmente disponibles en el mercado. Ahora nos adentraremos en los entresijos de estos productos y la actividad creciente de los ciberdelincuentes.

El funcionamiento de la industria

¿En qué consiste el proceso que lleva a las empresas de seguridad a reconocer, catalogar y detectar virus de nueva creación? “Para hacer frente a un entorno con cientos de millones de nuevas amenazas que están en constante cambio, las defensas basadas en firmas y heurística deben completarse con defensas eficaces basadas en el contexto, que utilizan una definición mucho más amplia que simples listas blancas y negras”, relata César Cid, de Symantec. En este sentido, el primer paso consistiría en analizar y clasificar todos los archivos ejecutables accesibles en Internet, asignándoles una calificación de confianza. En segundo lugar, hay que determinar los datos de prevalencia y emergencia para cada archivo único. El tercer requisito para mantener la seguridad a raya es determinar su origen y conexiones. Mientras que el cuarto consiste en aplicar tecnologías de capas de detección en redes empresariales y dispositivos de consumo.

Posteriormente, se lleva a cabo la entrega de datos procesables. “Los administradores y los usuarios necesitan entender los riesgos implícitos en los ejecutables que descargan y gestionan, y este enfoque proporciona la información que necesitan con el contexto completo, de modo que puedan tomar decisiones informadas”, comenta el ejecutivo. Es necesario también establecer políticas basadas en la tolerancia al riesgo, con una aplicación coherente en toda la organización y la producción de informes que documenten el cumplimiento a auditores internos y reguladores externos. “Con cada archivo incluido, la base de datos será más potente, más rápida y más útil” nos cuenta Cid. Y debido a que la base de datos es global, no habría enclaves en los que el malware pudiese ocultarse o propagarse.

Kaspersky Lab y Panda Security destacan la importancia de recibir muestras a partir de su comunidad de usuarios y mediante acuerdos con otros vendedores de antivirus, además de utilizar sus propios medios para la detección de código malicioso. La empresa vasca, por ejemplo, ha ideado un sistema denominado Inteligencia Colectiva que recoge y almacena de forma centralizada trazas de comportamiento de programas y nuevos ejemplares de malware, entre otra información, que proceden de terceros y aportan una mayor visibilidad de las nuevas técnicas de infección. Tras analizar y clasificar automáticamente “cientos de miles” de ficheros nuevos al día, contrastándolos con la amplia base de su laboratorio de investigación, el sistema de Panda emite veredictos de malware o goodware. Por su parte, Kaspersky somete más del 90% de las muestras a sistemas expertos que crean firmas para aquellas detectadas como maliciosas y marca las otras que necesitarán un análisis manual. A este análisis se dedica un grupo de analistas que trabajan las 24 horas del días, los 7 días de la semana, con los ejemplares más complicados o delicados.

El equipo especializado de Trend Micro se llama TrendLabs y consiste en una serie de laboratorios repartidos en una docena de localizaciones mundiales que despliegan distintos procedimientos para analizar la información, optimizar la proactividad e ir actualizando en tiempo real sus bases de detección. “Mediante colaboraciones con nuestros clientes, gracias a los feedbacks automáticos que disponen los productos, redes cepo repartidas por distintas y variadas localizaciones web o análisis de tráfico, estos equipos se encargan de ir prácticamente a la par de la evolución de las amenazas que van surgiendo” asegura la ingeniera de ventas sénior de la compañía, María Ramírez. Mientras  Symantec ha implementado Insight y SONAR, y la tecnología de ESET Live Grid se combina con el propio motor heurístico del antivirus para detectar malware de reciente creación analizando su comportamiento y bloqueándolo antes de que infecte equipos en todo el mundo. Y es que todo este proceso, independientemente del proveedor que lo realice, debería comunicarse al instante con el sistema de actualizaciones de los usuarios.

La actividad de los ciberdelincuentes

Todo lo que sea necesario para sosegar la frenética actividad de los delincuentes cibernéticos, que cada año se superan en volumen de producción de malware y también en creatividad. El último Informe sobre las Amenazas a la Seguridad en Internet de Symantec habla de más de 5.500 millones de ataques maliciosos a lo largo de un 2012 que acaba de terminar, lo cual representa un aumento de nada menos que el 81%  respecto a las cifras del curso anterior. Y ése no es el único dato significativo en la evolución del malware mundial. El número de variantes únicas de software malo aumentó hasta los 403 millones de enero a diciembre y la cantidad de ataques web bloqueados por día se incrementó en un 36%. Por su parte, PandaLabs ha contabilizado 27 millones de muestras de malware nuevo en todo 2012 o unas 74.000 piezas nuevas al día.

Frente a esta velocidad de reproducción y la capacidad de mutación que presentan las amenazas informáticas a estas alturas, es difícil cuantificar el número de muestras registradas con las que cuentan las diferentes firmas de seguridad para proteger a los usuarios. La propia PandaLabs, por ejemplo, estima su base de datos en 115 millones de muestras, a las que hay que añadir otros cientos de millones, porque junto al malware se archiva toda la información de ficheros legítimos. Gracias al uso de la nube, además, la frecuencia de actualización para los usuarios desde que se detecta una muestra hasta que se lanza la protección es de entre medio minuto hasta 5 minutos como máximo, en infraestructuras como las de Kaspersky Lab.

[Página 2]