Besitos para ellas y abracitos para ellos.
-------------------------------------------------------------------
Hispasec -
una-al-día
20/10/2012Todos los días una noticia de seguridad www.hispasec.com
Síguenos en Twitter: http://twitter.com/unaaldia
Noticia en formato HTML: http://www.hispasec.com/unaaldia/5110
-------------------------------------------------------------------
Antivirus y el
manejo de las expectativas
-----------------------------------------
A una señora en Murcia que regenta un locutorio, le han
realizado una transferencia de 2800 euros hacia la cuenta de un desconocido sin
su consentimiento. El banco se niega a devolverle el dinero. Ha sido víctima de
una variante de Citadel, el de la transferencia ficticia.
Entre lágrimas por haber perdido la recaudación del mes,
nos pregunta
desesperada: "¿Pero cómo ha podido ocurrir? No lo
entiendo, ¡tengo un antivirus! ¡No es pirata!"
Un bufete de arquitectos en Barcelona nos contacta. Desde
su proveedor han detectado un tráfico muy sospechoso que proviene de la red
interna.
Es probable que se esté filtrando información.
Preocupados, se ponen en contacto con nosotros: "Estamos protegidos con un
antivirus. Hemos analizado cada máquina incluso con otra marca y también nos
dice que estamos limpios. ¿Qué demonios está pasando?".
Estos son solo dos ejemplos reales de nuestro día a día.
En ambos casos, los forenses indicaron infecciones comunes en el sistema. Nada
de amenazas dirigidas: malware común, del que infecta a millones de máquinas
cada día. Se habían infectado a través de una vulnerabilidad en un plugin del
navegador. En los dos casos se detectó el malware, y se eliminó. Y en los dos
casos (y en cualquier forense realizado, en general), efectivamente disfrutaban
de la protección de un antivirus reconocido, actualizado, activo y plenamente
funcional que ofrecía todo tipo de protección.
¿Crisis antivirus?
Los antivirus comenzaron (y siguen) usando tecnología de
firmas.
Mejoraron con la heurística, que se demostró
insuficiente. Incorporaron incluso análisis de comportamiento y además,
reconocimiento en la nube con millones de ficheros en listas blancas y negras
de reputación en tiempo real. ¿El resultado? Además de estos ejemplos comunes
en nuestro laboratorio, según el estudio del Observatorio de INTECO con el que
colaboramos, los niveles de malware encontrado en unos 3000 usuarios analizados
mensualmente en España rondan desde hace años el 50% de equipos que alojan al menos
una muestra. De ellos, el 95% suele usar antivirus. No parece muy alentador.
Pero el antivirus no está en crisis.
Las expectativas
Protección total, y no a medias. Pero la realidad es
diferente. Como hemos mencionado en otra ocasión, el antivirus es un chaleco
antibalas... pero hoy en día, los atacantes han aprendido tanto a disparar a la
cabeza, como a atravesar el material del que están hechos.
Si un coche cae por un barranco, explota y se consume en
llamas, ningún testigo gritaría ante el cuerpo calcinado del conductor:
"¡¿Pero si usaba un cinturón de seguridad, cómo ha podido ocurrir!?".
Un cambio en las expectativas
El usuario debe aprender entonces a esperar lo que de
verdad puede conseguir de cada tecnología. El corrector ortográfico de Word no
se hace llamar "antierrores ortográficos", ni nos convierte
automáticamente en un académico de la lengua. Solo nos ayuda a detectar fallos
comunes.
Para escribir bien y que no se cuelen errores en nuestros
párrafos, es necesario usar otras "herramientas": entender la
gramática y mejorarla con la lectura de calidad. Jamás se inventará el
corrector que consiga eso por nosotros. Probablemente, el antivirus debería
llamarse "detector (de algunos tipos) de malware" para reforzar la
idea de que es necesaria otro tipo de protección adicional y rebajar las
expectativas en este campo... pero probablemente los de marketing no estarían
muy de acuerdo.
Por supuesto, si se popularizan los programas
antiexploit, no serán la solución definitiva y tendrán que evolucionar... Pero
parecen un buen camino, hoy. Desprendámonos de consejos obsoletos. Actualmente,
los exploits y las vulnerabilidades en software no actualizado representan una
buena parte del problema. No seamos víctimas de nuestras propias expectativas.
Opina sobre esta noticia:
Sergio de los Santos
ssantos@hispasec.comTwitter: @ssantosv
No hay comentarios:
Publicar un comentario