Antivirus y el manejo de las expectativas


A una señora en Murcia que regenta un locutorio, le han realizado una
transferencia de 2800 euros hacia la cuenta de un desconocido sin su
consentimiento. El banco se niega a devolverle el dinero. Ha sido víctima de una variante de Citadel, el de la transferencia ficticia.
Entre lágrimas por haber perdido, pregunta desesperada:
“¿Pero cómo ha podido ocurrir? No lo entiendo, ¡tengo un antivirus! ¡No es pirata!”

Un bufete de arquitectos en Barcelona contacta a los expertos en seguridad.
Desde su proveedor han detectado un tráfico muy sospechoso que proviene de la red interna.
Es probable que se esté filtrando información. Preocupados, se ponen en contacto con un equipo de seguridad: “Estamos protegidos con un antivirus.
Hemos analizado cada pc incluso con otra marca y también nos dice que estamos limpios. ¿Qué demonios está pasando?”.

Estos son solo dos ejemplos reales de nuestro diario vivir. En ambos casos, los investigadores indicaron infecciones comunes en el sistema. Nada de amenazas dirigidas: malware común, del que infecta a millones de máquinas cada día. Se habían infectado a través de una vulnerabilidad en un plugin del navegador. En los dos casos se detectó el malware, y se eliminó. Y en los dos casos (y en cualquier forense realizado, disfrutaban de la protección de un antivirus reconocido, actualizado, activo y plenamente funcional.

¿Habrá crisis antivirus?

Los antivirus comenzaron (y siguen) usando tecnología de firmas. Mejoraron con la heurística, que se demostró insuficiente. Incorporaron análisis de comportamiento y además, reconocimiento en la nube con millones de ficheros en listas blancas y negras de reputación en tiempo real. ¿El resultado? Además de estos ejemplos comunes en el laboratorio de Hispasec, según el
estudio del Observatorio de INTECO, los niveles de malware encontrado en unos 3000 usuarios analizados mensualmente en España rondan desde hace años el 50% de equipos que alojan al menos una muestra. De ellos, el 95% suele usar antivirus. No parece muy alentador, ¿verdad?. Pero el antivirus no está en crisis.

Las expectativas 

La pregunta de los usuarios es normal. Me han vendido un producto que no ha cumplido su función, por tanto, en su lógica, el producto es el culpable. Y efectivamente, el antivirus ha fallado… pero el problema reside realmente en las expectativas. Cuando se adquiere un producto, se espera que cumpla la función que promete y se crean por tanto unas expectativas que, una vez incumplidas, se sienten como deudas. Pero quizás nosotros mismos (ayudados por supuesto por la publicidad) hemos generado esas expectativas exageradas.

Si bien no esperamos que al comprar determinada marca de desodorante, chicas espectaculares caigan a nuestros pies por el simple hecho de oler mejor y que un anuncio lo asegure, en el plano de la tecnología el usuario es más vulnerable en este aspecto: si la publicidad del antivirus dice que me protege, espero protección.
Protección total, y no a medias. Pero la realidad es diferente. El antivirus es un chaleco antibalas… pero hoy en día, los atacantes han aprendido tanto a disparar a la cabeza, como a atravesar el material del que están hechos.

Un cambio en las expectativas

Más que culpar a un producto, se debe generar un cambio de expectativas en el usuario medio. Los atacantes llevan ventaja. Desde (¿y para?) siempre. Actualmente, la fórmula por la que crean archivos únicos que solo funcionan en el equipo de la víctima, (cifrados exclusivamente para ese ordenador con criptografía simétrica basada en parámetros únicos del sistema), dificulta muchísimo tanto su detección, como la extrapolación a ningún tipo de lista para compartirla con otros usuarios. También complica el análisis, así que es más complejo crear una firma y que se detecten muestras similares. Para colmo, otros problemas más prosaicos como la escasez de personal en los laboratorios en épocas de crisis, ralentizan las investigaciones antivirus. Y aunque todo esto se  solucionara, los atacantes seguirán con ventaja y debemos afrontarlo.

El usuario debe aprender entonces a esperar lo que de verdad puede conseguir de cada tecnología.
Por ejemplo: El corrector ortográfico de Word no se hace llamar “antierrores ortográficos”, ni nos convierte automáticamente en un académico de la lengua. Solo nos ayuda a detectar fallos comunes. Para escribir bien y que no se cuelen errores en nuestros párrafos, es necesario usar otras “herramientas”: entender la gramática y mejorarla con la lectura de calidad. Jamás se inventará el corrector que consiga eso por nosotros. Probablemente, el antivirus debería llamarse “detector (de algunos tipos) de malware” para reforzar la idea de que es necesaria otro tipo de protección adicional y rebajar las expectativas en este
campo… pero probablemente los de marketing no estarían muy de acuerdo.
Y ustedes ya sebran por que lo digo.

¿Y qué tipo de protección adicional es necesaria?

Desde luego, superar el binomio clásico “antivirus y cortafuegos entrante” tan incompleto y obsoleto. Una buena medida es conocer y activar las opciones de seguridad de Windows, y otra muy interesante que ha aparecido últimamente, son los programas antiexploits. No me refiero a la detección de exploits que también intentan los antivirus (con éxito relativo, como ocurre con la detección de malware). Este tipo de software se preocupa del malware en otro plano: detectan las técnicas de intentos de explotación de vulnerabilidades que hacen que se instale el malware, no del malware en sí (para eso estaría el antivirus). Y dan buenos resultados. EMET, la herramienta de Microsoft es una buena prueba de ello, y personalmente estoy seguro de que acabará integrada de serie
en futuras ediciones de Windows. ExploitShield es otro gran programa aparecido recientemente. Intenta impedir que los exploits lleguen a ejecutar código, basado en su comportamiento esencial. Es muy efectivo.

Para hacernos una idea de que este es un problema que hay que atacar, de ese 50% de sistemas infectados del que hemos hablado, sí, un 95% usa antivirus… pero solo un 60% suele tener actualizados todos sus programas…

Debemos desprendernos de consejos obsoletos. Actualmente, los exploits y las vulnerabilidades en software no actualizado representan una buena parte del problema. No seamos víctimas de nuestras propias expectativas.

En resumen debemos mejorar nuestras expectativas usando software de protección pero tambien actualizar lo que tengamos instalado en nuestro equipo.

Publicado el noviembre 23, 2012 en Seguridad Informática y etiquetado en , , , , , , , , , , , . Guarda el enlace permanente. Deja un comentario.

Deja tu comentario:

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: