El uso de antivirus sigue siendo fundamental hoy en día. El uso de Internet ha aumentado de forma exponencial en los últimos 15 años, tanto a nivel doméstico como a nivel empresarial, lo que de forma progresiva ha originado que haya aumentado el número de ataques e intrusiones en los sistemas informáticos de todo el mundo.
El término malware (malicious software) hace referencia a todo aquel software que perjudica a un dispositivo. Y se presenta en múltiples variedades: a modo de virus, de un troyano, como una puerta trasera (backdoor), un programa espía (spyware) o un gusano. Según Securelist, en el segundo trimestre de 2015 Kaspersky Lab solutions había ya detectado y repelido un total de… ¡379,972,834 ataques! Y, por si fuera poco, para esa fecha se habían detectado ya un total de 291,887 nuevas aplicaciones móviles maliciosas. Ahí es nada.
[responsive]
En 2005, tras 5 años de crecimiento sostenido, los virus fueron dando paso a gusanos y troyanos, centrados en formar redes de bots para obtener dinero. Y vieron que el entretenimiento que podía suponer la creación de malware se podía convertir en un negocio muy rentable.
La mejor prueba de ello son los denominados troyanos bancarios de los que existen miles de variantes. Los creadores, para dificultar su detección, modificaban permanente el código de los mismos, distribuyéndolos mediante exploits, spam o a través de otro malware que descarga el troyano bancario, encargado de robar información relacionada con las transacciones comerciales y/o datos bancarios del usuario infectado.
El famoso software espía: muchas empresas de software permiten al usuario descargar sus aplicaciones a cambio de que poder realizar un monitoreo de las actividades del usuario sin su consentimiento. Y en este sector, las aplicaciones que suponen amenazas para nuestros teléfonos móviles son una constante que cada vez es más difícil de controlar.
La llegada de las tecnologías móviles e inalámbricas, y su constante evolución, han revolucionado en los últimos años la forma en la que nos comunicamos y trabajamos. Y todo esto ha provocado que también se convierta en un objetivo clave de ataque para la industria del malware.
En el año 2004 se detectó el primer código malicioso para plataformas móviles, Cabir.A, siendo, junto al ComWar.A, los más conocidos. El ComWar.A presentaba ya la capacidad de replicarse a través de Bluetooth y a través de mensajes de texto con imágenes y sonido (MMS), enviando las direcciones y números de la agenda de sus víctimas. ¡Y ojo que estábamos en 2004!
Y, como podéis imaginar, a día de hoy la plataforma más atacada es Windows, que para eso representa el 90% del mercado. Y porque un obstáculo con el que chocan los creadores de malware para Linux y Macintosh tiene que ver con la capacitación media/alta de los usuarios de este tipo de plataformas.
El clásico “me ha entrado un virus que me achicharra el ordenador” hace mucho que pasó a la historia. Lo que antes atacaba nuestros equipos casi con el fin de bloquearlos o eliminar la información, ahora se dedica a captarla e importarla. Por supuesto, sin que nos demos cuenta. O a convertirlos en “zombies”, sin modificaciones en apariencia, pero con una operativa constante en beneficio del infractor.
Para evitar ser infectados por este software, que tiene como objetivo obtener recursos, información o dañar el dispositivo sin consentimiento del propietario, debemos proteger nuestros sistemas. Esto se ha ido haciendo a lo largo de estos años con los antivirus. Los anti-virus o anti-malware son aplicaciones que buscan prevenir, detectar y eliminar malware.
¿Cuál es el método más usado por los antivirus para identificar posibles virus? El método basado en firmas: para identificar los ficheros maliciosos, se compara su resumen o hash con una base de datos de firmas malware. Pero esto conlleva, como ha quedado sobradamente demostrado, dos grandes problemas. El primero es el de la escalabilidad: debido al exponencial crecimiento de los ataques, no es posible manejar tal cantidad de muestras únicas de malware. Y el segundo, mucho más importante e inquietante, es la detección del malware que no se encuentra recogido en ninguna base de datos de firmas.
Aquí podéis ver dos ejemplos de antivirus muy conocidos:
[responsive]
[responsive]
Obviamente nos encontramos ante un malware cada vez más sofisticado y difícil de detectar. Presenta desarrollos más complejos y capacidades avanzadas para pasar inadvertido. Y podemos observar una clara evolución de las estrategias de infección, en las que existe incluso una investigación previa sobre el objetivo. Los ataques son espaciados y coordinados, y utilizan varios vectores simultáneamente (lo que se denomina Advanced Persistent Threat)
Las propias motivaciones de los creadores de malware presentan una evolución clara, del reconocimiento personal hacia motivos económicos. Actividades como el espionaje industrial, robo de tarjetas, encriptación de archivos personales para solicitar “rescates”, etc, están a la orden del día actualmente.
[responsive]
Como la detección de este tipo de malware a partir de los sistemas “tradicionales” de antivirus es totalmente inviable, las compañías se han puesto las pilas. Han cambiado su forma de concebir sus programas, orientándolos hacia el estudio de los patrones de comportamiento del usuario (es decir, una monitorización minuciosa de cada una de las acciones que desencadenan los programas en los equipos), el análisis global de usuarios utilizando técnicas de inteligencia basadas en Data Mining y Big Data, y la fortificación y securización de los equipos, impidiendo la ejecución de cualquier proceso sospechoso o peligroso y alertando al administrador de la red.
Un claro ejemplo de esta sofisticación de los fabricantes es el de Panda, con su solución Adaptive Defense 360, servicio que combina una protección antivirus efectiva con la última tecnología de protección avanzada.
Esta herramienta integra las soluciones tradicionales de antivirus (Endpoint) y les suma la detección y respuesta automatizada, monitorización continua, y un análisis forense en tiempo real, permitiendo clasificar cada aplicación de la organización de forma precisa haciendo que se ejecute únicamente lo que es lícito. Es decir, cambia totalmente la concepción de la solución: elabora una base de datos de acciones y aplicaciones del usuario que son consideradas como buenas y, todo lo que se salga de ahí, entra en análisis.
Es capaz de detectar las amenazas en un entorno real independientemente de su procedencia, incluso de un USB. Incluye asimismo un módulo contra vulnerabilidades que emplea reglas contextuales y de comportamiento para que las empresas trabajen en un entorno seguro, aunque no tengan los sistemas actualizados. Y permite un seguimiento visual de lo que está desencadenando un malware dentro de la empresa, informando de las acciones que está realizando (creación o modificación de ficheros) y el destino de las comunicaciones (IPs extrañas y países de procedencia). En resumen, analiza de forma continua toda la actividad del equipo para clasificar cada proceso como goodware o malware, estableciendo las acciones y alertas precisas para corregir las amenazas.