Tecnologia

¿Debo elegir un antivirus de próxima generación?

El problema para cualquier antivirus, es que el desafío cambia constantemente. Tan pronto como se ha desarrollado una solución para un ataque, los spammers están ocupados con el siguiente.

A medida que los ciberdelincuentes se vuelven más sofisticados, también producen ataques más difíciles de frustrar. Uno de estos ataques se presenta en forma de un virus ‘doppleganger’ que ha demostrado ser exitoso contra varios de los principales antivirus del mundo.

El Doppleganger

La investigación presentada en Black Hat Europe por la empresa de seguridad para puntos finales EnSilo reveló una nueva forma en que los ciberdelincuentes pueden pasar por alto los ataques cibernéticos convencionales haciendo pasar las acciones maliciosas por benignas. Conocido como Process Doppleganging, el ataque manipula la forma en que Windows procesa los archivos.

“El método de ataque ‘Process Doppelgänging’ que descubrimos aprovecha varios mecanismos complejos en los sistemas operativos de Windows y el conocimiento íntimo del funcionamiento interno de los motores de análisis de archivos de los antivirus. La combinación de todo esto permite hacer pasar un ejecutable malicioso por legítimo, pasando por alto todos los productos de seguridad probados”, dijo el coautor del informe, Tal Liberman.

Su compañero de investigación Eugen Kogan añadió que “este es otro ejemplo de cómo unas pocas manipulaciones sutiles de código, basadas en un profundo conocimiento del interior del sistema operativo, son todo lo que se necesita para derribar muchas capas de detección y las defensas de prevención tradicionales”. Nuestra investigación muestra que incluso las últimas protecciones pueden ser anuladas por la oferta creativa de un atacante de saltarse por completo una carga útil de archivos maliciosos e infiltrarse en contenidos peligrosos a través de las complejidades de Windows”.

Cómo funciona

El ataque reemplaza el código de un archivo abierto antes de realizar procesos maliciosos a partir de ese código. A continuación, revierte el archivo a su estado anterior para que nunca se escriba nada en el disco. Los investigadores dicen que el virus no puede ser parcheado porque explota características fundamentales del diseño del núcleo del software. Debido a que no explota una vulnerabilidad, no es algo que Windows pueda remediar fácilmente.

Los investigadores encontraron que el vector de ataque no fue detectado por varios de los principales proveedores de antivirus, cuando se ejecutaba en Windows 7. Sin embargo, no mencionan si la misma vulnerabilidad existe en Windows 10.

Sin embargo, hay dos rayos de luz. En primer lugar, el ataque es difícil de llevar a cabo; y en segundo lugar -como era de esperar- EnSilo dice que su propio software puede captar el ataque. Afirman que su capacidad para proporcionar protección antes y después de la infección con características como la caza de amenazas, la respuesta a incidentes y los parches virtuales le permite combatir los ataques que se hacen pasar por procesos legítimos de Windows.

¿Es hora de pasar a la siguiente generación?

Su mensaje -como el de muchos proveedores de la próxima generación- es que pueden proporcionar soluciones a los ataques que los sistemas antivirus más convencionales pasarán por alto. Pueden tener un precio más alto, dicen, pero el dinero extra valdrá la pena. Entonces, ¿es este el caso?

Los sistemas de próxima generación ofrecerán una gama de características avanzadas y sofisticadas, como el análisis forense de EDR, que utiliza un gran conjunto de datos recogidos en los puntos finales, como registros, paquetes y comportamiento de los procesos, para averiguar qué ha ocurrido con un virus. También puede ofrecer listas blancas de aplicaciones que establecen parámetros para todo lo que una aplicación está autorizada a hacer.

Estas aplicaciones también utilizan el aprendizaje automático y la inteligencia artificial para ofrecer una capa de defensa más proactiva e inteligente. Esto puede adaptarse a las amenazas de forma similar a un humano, ofreciendo un enfoque más ágil y con mayor capacidad de respuesta.

Este tipo de características avanzadas pueden ser útiles para protegerse contra ciberataques más sofisticados, que a su vez utilizan características como la IA para crear vectores de ataque más eficaces. Sin embargo, tienen un precio más elevado y, al ser más sofisticadas, requieren más memoria para funcionar.

Informes como estos también vienen con una advertencia. Debido a que provienen de un proveedor de software antivirus de última generación, tienen un interés personal en exponer los llamados defectos de los sistemas antivirus convencionales. La investigación, por lo tanto, viene con una agenda y no se puede decir que sea independiente.

Vale la pena hacer alguna investigación propia, leer las reseñas y averiguar lo que la gente dice sobre el software. Averigüe qué características necesita, cuántos datos almacena en su ordenador y cuántas aplicaciones suele descargar.

Lo que el informe hace es demostrar la importancia de mantenerse alerta. El entorno de amenaza está cambiando y los antivirus convencionales no siempre son suficientes, especialmente si utiliza una red de múltiples dispositivos conectados. Compartir datos a través de todas estas plataformas puede ser genial, pero aumenta el número de amenazas a las que estamos expuestos.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *