código malicioso, el uso de antivirus

virus

Es inevitable no escuchar en alguna ocasión, la típica pregunta: “¿Cuál es el mejor antivirus?”, al escuchar esta pregunta pienso dos cosas, la primera: preocupación y lo importante que la información es para la persona o empresa, por lo que puede estar en la fase de prevención; la segunda, puede tener en este momento problemas con virus y/o malware (código malicioso), y estar en la fase de corrección o pánico 😉 .

Para ahorrar tiempo responderé con lo siguiente: “Ningún antivirus es el mejor”, pero como es esto, ¿acaso vivimos en un mundo caótico y en el cuál nadie puede salvarnos?, ¿dónde esta jarvis cuándo se le necesita?, aunque navegando en la web, puede uno leer experiencias de usuarios y en la misma aseguran estar usando el mejor antivirus del mundo, no es así.

Lo anterior, es resultado de algunos (por no decir, muchos) factores, en el cual los antivirus, saben que un archivo o binario, es, puede ser o no es, peligroso para el sistema o el usuario, para ello hacen uso de diferentes técnicas, que afectan el rendimiento del sistema y en ocasiones, es necesario ajustar la configuración, sacrificando funciones del antivirus, dependiendo nuestro uso y recursos disponibles.

Una de las técnicas es: “la firma”; una firma representa una parte del código que es especifico de un código malicioso y puede ayudarnos a identificarlo, así como también en ocasiones sus posibles variantes, por ejemplo, supongamos que estamos en un evento intercolegial, podemos saber que alumnos son de una escuela en particular, eso podemos saberlo por el uniforme mismo o el logotipo que traen en el, ¿fácil no?, en ocasiones, esto no es tan sencillo, en nuestro ejemplo puede suceder que el uniforme o el logotipo puedan ser parecidos a otros, es aquí en donde tenemos la posibilidad de detectar “falsos positivos”, esto es, el código que creíamos solo se puede encontrar en un código malicioso, también se encuentra en archivos o binarios que no lo son.

Aunque parece “la firma” una técnica fácil, esto no lo es en la práctica y solo es la punta del iceberg, hay técnicas que se utilizan de todos los niveles y complejidad posible, por ejemplo, detección de patrones, análisis del comportamiento e inspección de la información que se intercambia con el exterior, etc., para realizar este tipo de análisis de un posible código malicioso, se tiene que ejecutar en lo que se conoce como “caja de arena” o “sandbox”, la cual se crea utilizando la virtualización, con los avances actuales, los antivirus se apoyan en su propia nube, esto les permite realizar múltiples análisis a las muestras en paralelo, para saber si son o no son código malicioso en el menor tiempo (si es posible), en ocasiones un código malicioso puede pasar todas las pruebas e infectar un sistema.

No olvidemos, los códigos maliciosos están evolucionando constantemente de igual forma que los antivirus, por ejemplo, utilizan técnicas de polimorfismo, ya sea parcial o total, cifrado para protegerse así mismos, detección del ambiente en donde son ejecutados, para evitar ser analizados en “cajas de arenas” o “sandbox”, etc., y por último nuevas técnicas que les ayudarán a pasar sin ser detectados por un antivirus, para infectar de manera exitosa un sistema.

También la motivación que tienen los programadores que crean este tipo de código malicioso a evolucionado, anteriormente era con fines educativos, diversión y demostración de conocimiento de programadores, actualmente, se realiza con fines políticos, económicos, empresariales, etc.

Se puede ver actualmente, código malicioso tan variado, desde imprimir un simple y molesto “hola”, espiar al usuario, agotar los recursos del sistema, destrucción de información, cifrado de información, hasta los cuales pueden alterar el propio firmware del hardware, utilizando siempre que sea posible vulnerabilidades del propio sistema para la infección y/o propagación.

Hace tiempo un buen amigo (es posible que él lea esto), me platico que era posible trabajar en un ambiente Windows sin utilizar un antivirus, a lo cual le comente que si era posible, pero el problema viene cuando se necesita intercambiar información, lo que hace necesario visitar paginas web, descargar archivos de internet, utilizar dispositivos de almacenamiento secundario, etc.; paso el tiempo, volví a platicar con él sobre el experimento que estaba realizando, me comento que al trabajar con la computadora que utilizaba, se comportaba de manera extraña, hasta que llego un momento en el que tuvo que realizar un análisis a todo el sistema, el resultado, encontró que estaba infectado, por la premura del trabajo, tuvo que formatear el equipo.

En ocasiones es posible que un equipo este infectado desde hace tiempo, sin que nosotros tengamos conocimiento de la infección, solo será posible saberlo cuando nosotros mismos, detectemos un funcionamiento anormal que llame nuestra atención o cuando un antivirus en una actualización de su base datos, pueda detectar nuestra infección en particular, cosa que ha sucedido en el mundo real a usuarios y empresas.

Por lo cual, es importante tomar medidas de prevención, por ejemplo, seguridad de la red y de la información, mediante el uso de “muros de fuego” (firewalls), sistemas de detección de intrusos (IDS), protocolos que utilicen cifrado (cuando sea posible), contraseñas (donde se falla, al tener contraseñas de poca calidad, algo como “empresa2016” no es seguro), sistemas debidamente actualizados (se comete el error de no aplicar actualizaciones, dado que el software que se usa no es legal), realización de respaldos (backups), tener instalado y al día un software antivirus, descargar archivos en lo posible de fuentes confiables, y por último no olvidar que la seguridad de un sistema también depende en gran medida del sentido común del usuario.

Hace poco, recibo una llamada en mi celular, por parte de un cliente, quien me solicita revisar su equipo, el servidor del sistema POS (Punto de Venta), no funciona adecuadamente, en ese momento no tenía carga de trabajo, así que decidí ir personalmente en lugar de revisar vía remota, una vez analizando el equipo, puedo notar que se trata de una infección y no un mal funcionamiento, el equipo estaba infectado con un nuevo código malicioso del tipo ransomware, este tipo en particular, lo que hace es cifrar la información contenida en el equipo, buscando en ubicaciones especificas, una vez que la información se cifra, procede a pedir un pago en bitcoin, para poder devolver la información a su estado original, lo interesante, es lo rápido que este tipo de código malicioso se propago, ya que días antes estaba leyendo sobre el, en la versión corta de la historia, hice lo posible para analizar los binarios o ejecutables, para saber como funciona, y así realizar las correcciones al sistema, envíe todas las muestras a las casas antivirus, lamentablemente, el virus realizó un cambio en el sistema que no pude ver en los “sandbox”, al final el sistema no me dio confianza, por lo que opte en re-instalar el software.

En otro local o negocio (no de un cliente), el virus si afecto la información que la computadora tenia almacenada, por lo que decidieron cambiar de antivirus y comprar una licencia; es lamentable, que se tomen estas acciones una vez que la información se a comprometido, costando horas de trabajo a la persona que utilizaba esa computadora y dinero a la empresa, si esto no fuera todo, el colmo es que solo decidieron proteger unos cuantos (por no decir, solamente a dos) equipos y no todos con los que cuentan (a veces me preocupo de más creo 🙁 ).

Pero, ¿fue lo correcto cambiar de antivirus?.

En las primeras ocasiones que tuve contacto con código malicioso, como alguien normal (tal vez), me di a la tarea de leer todo acerca de los antivirus que existen en el mercado, funcionamiento, ventajas, desventajas, costos, puntos fuertes, débiles, etc., en base a eso seleccione algunos antivirus, teniendo una muestra más pequeña, el último paso fue y más importante, ver que tan rápido procesaban, analizaban, y actualizaban sus base de datos, en base a una muestra (real), que yo les enviará, así es, el último punto que me ayudo a elegir es el soporte y velocidad de reacción.

Dado lo anterior, para quienes son mis clientes, habrán notado que en particular uso un antivirus (no quiere decir que sea el mejor, si, exacto, ya lo dije: “no existe el mejor”), pero, dependiendo de las necesidades y recursos del equipo, puedo cambiar de opción, tomando como base la lista de antivirus que hice tiempo atrás.

Cuando pienso en un antivirus, lo hago principalmente como una herramienta de software adicional para la prevención y no solo para la corrección, dado que el deshacer los cambios realizados por un código malicioso en un sistema, en ocasiones es imposible, hace que el formatear para realizar la re-instalación del software la única solución.

Desde aquel día, que seleccione que antivirus utilizaría, también concluí que para ayudarme a mí mismo, debería reportar toda muestra de código malicioso con el que tuviera contacto, dado que puedo fortalecer al antivirus para protegerme del código malicioso que hay en mi alrededor, no tan solo eso, ese tipo de código malicioso ya no me afectaría, como un efecto indirecto, protejo a mis clientes y personas que utilicen el mismo antivirus en algún otro lugar y realmente funciona, los clientes me hablaban menos cuando un código malicioso los afectaba, así es, solo cuando se encuentran infectados ante versiones nuevas o desconocidas de código malicioso, mi celular suena 😉 .

Para reportar muestras, tenemos al tradicional e-mail a cada casa antivirus, otras opciones, al ya famoso virustotal, el cual fue comprado por google y otro que utilizo es uploadmalware.

Para el análisis de muestras en “sandbox”, existen en internet varios servicios, los cuales recomiendo verificar, uno muy bueno era “anubis“, muchas gracias a sus creadores mientras este servicio fue gratuito.

Hay que darle importancia a la prevención, por lo que es necesario invertir en las herramientas adecuadas y no utilizar herramientas hechas para el hogar en una empresa, los ambientes no son los mismos, y pensemos antes de cambiar de antivirus ante la primer señal de pánico.

Actualmente, con el uso que tengo de software libre, las infecciones pasan a segundo termino, así es, el uso de sistemas operativos libres, nos permiten ya no preocuparnos de este tipo de problemas, dado que las infecciones en estos sistemas es mucho menor, casi nulo, por lo que, los recursos que utilizaríamos en un antivirus, los podemos utilizar para otro tipo de tareas.

Siempre recomendaré, el uso de software libre y si es posible migrar que mejor, dejemos de usar software ilegal si no tenemos los recursos para comprar licencias de software, en el caso de que una migración no sea posible por los sistemas que utilizamos, y que sea necesario que se conviva entre sistemas libres y propietarios, podemos utilizar herramientas existentes en el software libre, muy interesantes, que nos permitirán la detección de código malicioso.

 


Deja un comentario