Miércoles 22 de noviembre de 2017
Home / Seguridad / Informes & reviews / ¿Se acerca el fin de los antivirus?
itsitio_Endpoint-Detection-Response 00

¿Se acerca el fin de los antivirus?

Los ciberataques están aumentando exponencialmente. Si en 1990 se desarrollaba un virus cada una hora, hoy se crean tres virus cada segundo. En otras palabras, cada día alrededor de 315.000 nuevos códigos maliciosos nacen y están al acecho. Por ende, cada vez existe mayor riesgo a ser víctimas de un ataque informático en nuestras computadoras o dispositivos móviles.

Pese a todos los recursos y medidas de seguridad que existen, muchos de estos ataques no pueden ser detenidos como consecuencia de la evolución de los hackers y su lucrativa industria.

itsitio_Endpoint-Detection-Response 02

Las ciberamenazas son cada vez más sofisticadas e impredecibles, al punto de que se adaptan para explorar todo tipo de vulnerabilidades con el objetivo de aprovechar las mínimas brechas de las organizaciones. En este escenario los antivirus han dejado de ser tan efectivos como antes. Incluso John McAfee, creador de uno de los antivirus más reconocidos, aseguró que este tipo de programas ya dejaron de ser efectivos por estar basados en una tecnología antigua y utilizar mecanismos que no pueden mantenerse vigentes contra las nuevas amenazas.

David Alfaro, de Arkavia Networks, empresa especializada en soluciones de seguridad de la información, asegura que las tecnologías que sustituirán al antivirus están en la categoría llamada EndPoint Detection and Response (EDR).

Este tipo de herramientas permiten una avanzada protección que reacciona ante las diferentes amenazas, incluyendo aquellas que utilizan vulnerabilidades desconocidas de zero-day y todo tipo de malwares que se expandan muy rápido.

Es decir, a diferencia de los antivirus, que reaccionan ante ataques de características conocidas, las nuevas soluciones sirven para hacer frente a amenazas, aunque sean desconocidas, ya que lo que hacen es detectar anomalías de comportamiento y bloquear su ejecución.

itsitio_Endpoint-Detection-Response_David Alfaro, de Arkavia Networks,“En vez de inyectar vacunas para cada una de las enfermedades, mediante estas nuevas soluciones que reemplazan a los antivirus, lo que hacemos es poner una sola vacuna que detecta las anomalías de comportamiento de una aplicación o programa. Por ejemplo, si el antivirus es incapaz de detectar un ataque que ejecuta una lectura de todos los archivos de un equipo, las nuevas soluciones están capacitadas para reaccionar al detectar ese tipo de comportamientos, evitando ejecutar acciones maliciosas sobre el conjunto de archivos”, explica Alfaro.

Agrega que se trata de plataformas de tecnología reciente que pueden prevenir ataques sofisticados en cada etapa, mejorando la capacidad de la organización para responder rápidamente a las nuevas amenazas globales antes de que se produzca el éxito del ataque.

Alfaro describe que algunos de los ataque más avanzados y específicos pueden llegar en forma de archivos de datos aparentemente inofensivos que se abren mediante aplicaciones y/o programas legítimos. Por ejemplo, códigos maliciosos que se pueden implantar en documentos Word o PDF, en imágenes, y otros documentos de oficina. “Aunque existan millones de métodos, todos ellos dependen de un pequeño conjunto de técnicas de núcleo que cambian con poca frecuencia”, comenta el experto de Arkavia Networks al referirse a este tipo de soluciones.

El experto explica que hay ataques de malware que pueden ser descargados y ejecutados por los usuarios inadvertidamente y sin su conocimiento. Para estos efectos la solución EndPoint evita la ejecución de archivos en escenarios de alto riesgo como la ejecución de archivos de carpetas temporales, dispositivos externos o en los casos en que un programa está tratando de crear un proceso secundario.

“Si el archivo no cumple los criterios para ser bloqueado de todas maneras existen soportes de control de ejecución que someten estos archivos a análisis para determinar si es o no malicioso”, asevera. “Finalmente si el archivo fuese ejecutado de todas formas todavía puede ser bloqueado por un módulo de prevención de malware que impide las técnicas fundamentales.  Se debe además considerar que muchas descargas son ejecutadas a través de protocolos cifrados como SSL, por tanto, las herramientas de seguridad tradicionales que están en la ruta del tráfico, poco y nada pueden hacer”, agrega.

Acerca de Florencia Gomez Forti

Florencia Gomez Forti
Estudiante de Periodismo en TEA. Comenzó su camino en los medios y el mercado IT de la mano de ITSitio y hoy genera contenidos para toda la región. Realizó coberturas especiales para marcas como HP e IBM.

Un comentario

  1. Estas son consecuencias del patetismo con el cual se ha encarado la seguridad de los sistemas operativos como Windows. En primer lugar, en Windows tradicionalmente siempre se necesitaron privilegios de administrador para hacer tareas que no deberían requerirlo (como fue en una epoca el caso de directx, que los requería). En cambio, la manera como se manejó en linux, que fue educar a la gente para que use un usuario limitado para la interfaz gráfica y permitir elevar los privilegios en el momento que realmente se necesitaba, fue mucho mas acertada. Luego, ejecutar un archivo es un proceso de alto riesgo, pero los archivos en carpetas de sistema (windows, archivos de programa) deberían estar fuera de peligro, porque un usuario limitado no puede escribir en ellas. La forma en que se instalan programas en linux también es mas segura, ya que normalmente sale todo de un repositorio. Esto solo recientemente se fue teniendo en cuenta en Windows, y la implementación podría ser mejor.
    Luego hay algunas tecnologias que salta a la vista que son prácticamente suicidas, como los controles ActiveX, que directamente son archivos ejecutables que descarga y ejecuta el navegador web, o la capacidad de los macros de office para hacer operaciones de alto riesgo y difundir malware. Los instaladores siempre fueron de crear ejecutables en la carpeta de temporales, entonces cualquier aplicación puede poner un ejecutable ahí, con los riesgos que eso implica.
    En definitiva, el diseño mismo del sistema operativo y algunas aplicaciones contribuye muchísimo a la seguridad del sistema (o falta de ella), limitando la cantidad de archivos que sería necesario chequear, incluso podría llegarse al punto de pedir confirmación ante cualquier ejecución de archivos potencialmente peligrosos fuera de lo que son carpetas de sistema, o en caso de que un ejecutable sea modificado. O identificar qué aplicaciones pueden abrir que tipos de archivos, etc. Aunque igualmente, los usuarios son de dar confirmación cuando no deberían.
    En este punto tal vez sería mas fácil reconocer las aplicaciones legítimas que tratar de detectar todo lo que es malware con firmas de virus, como tradicionalmente se hizo. O detectar comportamientos extraños en aplicaciones desconocidas. Totalmente de acuerdo con eso.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *