¿Son eficaces las soluciones antivirus? (I)

Hoy en día la tasa de detección inicial de un virus de reciente creación es de menos del 5% y, aunque las empresas fabricantes hacen lo posible por modernizar sus mecanismos, los productos disponibles en el mercado parecen incapaces de competir con la velocidad de propagación de los virus en Internet. A algunos les lleva un mes o más actualizarse tras la primera exploración, mientras que los proveedores con las mejores capacidades de alerta son los que distribuyen sus creaciones de manera gratuita. Al menos ésas son las principales conclusiones a las que llega “Assessing the Effectiveness of Antivirus Solutions”, algo así como “Evaluando la eficacia de las soluciones antivirus”, un estudio publicado hace unas semanas por la compañía especializada en protección de datos Imperva y un grupo de estudiantes de The Technion (Instituto Israelí de Tecnología).

El mismo estudio que ha levantado ampollas entre las firmas de seguridad analizadas porque, entre otras cosas, asegura que el gasto de corporaciones y clientes individuales en antivirus no es proporcional a su efectividad y que ambos tipos de usuarios deberían plantearse la exploración de nuevas medidas de cara a la protección de sus sistemas, como el modelo freeware. “En 2011, Gartner informó que los consumidores gastaron 4.500 millones de dólares en antivirus, mientras que las empresas invirtieron 2.900 millones, lo que hace un total de 7.400 millones. Esto representa más de un tercio de los 17.700 millones destinados en conjunto a software de seguridad”, señala la investigación, que añade que se deberían aprovechar cada vez más las tecnologías que detectan un comportamiento aberrante “como la velocidad de acceso inusualmente rápida o un gran volumen de descargas”, en vez de seguir por los mismo derroteros.

La metodología utilizada

Para armar este razonamiento, Imperva enfrentó 82 muestras de malware con un total de 40 productos antivirus, entre los que se encuentran ofertas tan conocidas como las de Microsoft, Symantec, McAfee o Kaspersky, tal y como os explicábamos al poco tiempo de su publicación. ¿Cómo se seleccionaron dichas muestras? Primero, se realizaron búsquedas en Google “con términos que nos acercaban a repositorios de malware esporádicos en páginas web de acceso público”, explica ahora Amichai Shulman, CTO de la compañía. “Complementamos esto con algunos enlaces que obtuvimos a través de búsquedas esporádicas en foros de hackers soft-core. Nos centramos en foros de idioma ruso, sí, pero no creo que esto sea controvertido”. Aunque el conjunto de mayor peso fue suministrado por algunos enlaces “que tomamos de tráfico obtenido a través de servidores proxy anónimos”, continúa describiendo el directivo. Todo este trabajo fue acometido por personas “imparciales”, no relacionadas con el negocio antivirus ni con el de la piratería.

¿Y cómo se rastreó todo este mejunje de malware? Imperva necesitaba una infraestructura para confrontarlo con el mayor número de productos antivirus posible, de forma repetida a lo largo del tiempo. Y esa infraestructura no fue otra que VirusTotal, el conocido servicio (online y gratuito) de escaneo de archivos y URLs, que permite identificar virus (como su nombre bien indica), gusanos, troyanos y demás categorías de contenido malicioso desde el punto de vista de las soluciones de protección.  El experimento se repitió durante seis semanas, hasta almacenar un total de 13.000 entradas en una base de datos relacional para su posterior análisis. Cada una de estas entradas representa el resultado de analizar un archivo específico por un producto antivirus también específico, donde se indica si la muestra se identificó como malware y, en caso afirmativo, qué malware concreto fue detectado.

La opinión de los fabricantes

Precisamente, optar por VirusTotal como herramienta base ha sido uno de los principales flancos de ataque de los fabricantes de soluciones antivirus hacia un informe que ha recibido duros calificativos como “broma de mal gusto” (avast!), “sesgado” (Kaspersky) o “insuficiente” (Symantec), entre otras lindezas. “El estudio patrocinado por Imperva no evalúa ninguno de los productos en la forma en la que se utilizarían en situaciones reales en el ordenador de un usuario”, señala César Cid, responsable de Tecnología para España y Portugal de la propia Symantec, una de las compañías más críticas en este asunto. “De hecho, la prueba está limitada en su alcance hasta el punto de proporcionar evaluaciones erróneas. El principal problema es que sólo examina uno de los aspectos de protección de los productos de seguridad -la basada en huellas dactilares- sin tener en cuenta todas las demás tecnologías de protección disponibles. En concreto, VirusTotal sólo explora cada archivo sometido al escáner de huellas dactilares de cada producto de seguridad”.

“En un laboratorio podemos simular escenarios que creemos pueden ser similares a los reales pero, en realidad, difieren mucho de los entornos a los que usuarios domésticos y corporativos se enfrentan”, añade María Ramírez, ingeniera de ventas sénior de Trend Micro, rechazando la validez de datos tan cerrados. “Las soluciones de protección frente a amenazas no pueden medirse en entornos simulados, ya que el máximo potencial de nuestras soluciones está en la nube, con nuestros servicios de reputación y detección en tiempo real”. Y es que cuando un usuario tiene instalado un antivirus “cuenta con un gran número de medidas de seguridad adicionales”, recuerda otro experto en la materia, Vicente Díaz, analista sénior de malware en Kaspersky Lab. “Esto es fácil de entender con una analogía: en Virus Total digamos que sólo se detecta un virus en caso que conozcamos su nombre y apellidos, mientras que en un sistema donde tengamos el antivirus instalado, a pesar de no conocerlo, lo detendremos cuando intente realizar una acción maliciosa”.

Desde Fortinet también tiran de comparaciones: “testar antivirus basándonos en esta metodología es como esquiar en ropa interior para probar si ésta es efectiva. Sin llevar más capas, está claro que la ropa interior no va a mantenernos a salvo del frío. Lo que no implica que no sea útil”, razona el gerente sénior de su Equipo de Respuesta ante Amenazas para la región EMEA, Guillaume Lovet. “El objetivo de VirusTotal es ayudar a los usuarios a formarse una idea de si un archivo es o no malicioso, sometiéndole a uno de los filtros utilizados en productos antivirus, conocido como motor de análisis estático. Pero la superación de este filtro no significa que el archivo no pueda ser detectado por otro filtro de un antivirus real”, concluye. O, dicho de otro modo, “actualmente los antivirus cuentan con múltiples capas de protección y el uso únicamente de las bases de firmas no muestra la protección real de la que disponen los usuarios”, apunta Josep Albors, director del laboratorio de ESET España.

“Los antivirus utilizados hoy en día son mucho más que un motor anti-malware y medir su efectividad sólo en función de este elemento implica un enfoque muy limitado”, opina por su parte Eddy Willems, portavoz de G Data. “Que una amenaza no fuera detectada por VirusTotal no implica que otro módulo de ese mismo antivirus no lo hiciera. Ningún fabricante de soluciones antivirus ofrece a sus clientes una solución basada exclusivamente en el escáner antivirus”, sino que ésta se suele combinar con tecnologías anti-phising y anti-spam, sistemas IPS de prevención de intrusiones, heurísticas, cortafuegos y otros complementos no recogidos con dicha metodología. Y es que “los antivirus son una capa importante, pero deben ser complementados con otro tipo de soluciones de seguridad y, sobre todo, con la formación de los usuarios”, observa David Ávila, manager de ecrime en S21sec.

[Página 2]