ElDiario.es

¿El antivirus del futuro? Engañar al enemigo contra ciberataques

17/12/2015 - 12:00 am

Dos investigadores españoles proponen una nueva forma de combatir la escalada de ciberataques que sufren empresas y particulares: hacer creer al malware que está siendo analizado para que se desactive.

Por David G. Ortiz

Foto Shutterstock
Foto Shutterstock

Ciudad de México, 17 de diciembre (SinEmbargo/ElDiario.es).- Si te gustan las series y películas de espías, seguro que te suena la estrategia: un solo hombre (excepcionalmente talentoso, claro) se enfrenta a todo un ejército y sale vencedor haciendo creer a su enemigo que cuenta con muchos más recursos de los que tiene en realidad. Se trata de engañar al oponente, de disuadirle. Si piensa que se está metiendo con el primo de Zumosol, se lo pensará dos veces antes de atacar o buscará un rival más débil.

Esto, que es de sentido común y se lleva aplicando toda la vida en escenarios tan diversos como la contienda bélica o la protección de los hogares (¿por qué tienes un perro y un sistema de alarma en la casa si no es para ahuyentar a los ladrones?), parece una defensa impensable ante la alarmante escalada de ciberataques que sufren en la actualidad empresas y particulares.

La industria de la seguridad y los antivirus hace justo lo contrario. Cuando un programa nuevo se cuela en tu ordenador, el software de seguridad trata de aislarlo y lo ejecuta en un entorno controlado en busca de “firmas”. Básicamente, consiste en comprobar si el código presuntamente malicioso responde a los comportamientos típicos de alguna de las amenazas conocidas.

Los atacantes ya se esperan este enfoque y lo combaten de dos formas: en primer lugar, modifican su «bicho» cada poco tiempo para asegurar que pase las pruebas; en segundo, lo programan para detectar el propio test y responder, ya sea desactivándose para resultar inofensivo o contraatacando (hay malware que borra el disco duro cuando sabe que está siendo analizado).

Al final, los buenos y los malos toman parte de una eterna carrera que más bien parece una persecución. Las mafias del cibercrimen saben cómo nos estamos defendiendo y se adelantan al siguiente paso. ¿Por qué no darle la vuelta como los espías al comienzo de estas líneas?

Cryptolocker Una De Las Amenazas Más Dañinas De Los últimos Tiempos Imagen Shutterstock
Cryptolocker Una De Las Amenazas Más Dañinas De Los últimos Tiempos Imagen Shutterstock

Es lo que proponen Pablo San Emeterio, experto en seguridad de Telefónica, y Román Ramírez, organizador del congreso Rooted Con, que han explicado en las IX Jornadas STIC del Centro Criptológico Nacional (CCN-CERT) su original enfoque para combatir el malware.

Según los investigadores, las compañías de antivirus malgastan incontables recursos en analizar el software malicioso que va surgiendo y “sacar firmas” para incorporarlas a sus bases de datos. En lugar de esto, Ramírez y San Emeterio proponen engañar al atacante, hacerle creer que su código está siendo analizado nada más pisar la máquina para que responda desactivándolo.

De acuerdo con su explicación, la mayoría de los programas maliciosos se vuelven benignos cuando descubren que han sido aislados (sandboxing, en la jerga del sector), así que los expertos han probado con éxito una solución que dispara a propósito todas las alarmas del intruso.

Se han metido en las botas de un cibercriminal para reproducir cada indicio capaz de levantar sus suspicacias. Por explicarlo de la forma más sencilla, han hecho todo lo que no se debe hacer cuando se monta una sandbox para ejecutar el malware de manera aislada.

Entonces, ¿los atacantes se marcharán sin más? San Emeterio y Ramírez creen que sí, al menos la mayoría y en un primer momento. Sin embargo, admiten que hay algunos riesgos asociados a esta técnica; por ejemplo, que el malware reaccione, como ya apuntábamos, eliminando toda la información del disco duro.

Además, el atacante podría percatarse del engaño al ver tantos indicios diferentes, o pensar que está lidiando con un novato incapaz de camuflar su «saco de arena». Para evitar que esto suceda, los investigadores proponen dar solo algunas pistas, es decir, activar o desactivar los indicios que se muestran en función de la amenaza.

Esta idea de engañar al enemigo para hacer que se retire ya se ha planteado en otras ocasiones (sin ir más lejos, el español Jordi Vázquez dio una charla al respecto en la Kaspersky Academy en 2013), pero hasta el momento, que Ramírez y San Emeterio sepan, no se ha incorporado a un antivirus u otra solución estándar de seguridad.

 

ESTE CONTENIDO ES PUBLICADO POR SINEMBARGO CON AUTORIZACIÓN EXPRESA DE ElDiario.es. Ver ORIGINAL aquí. Prohibida su reproducción.

author avatar
Redacción/SinEmbargo
Sed ullamcorper orci vitae dolor imperdiet, sit amet bibendum libero interdum. Nullam lobortis dolor at lorem aliquet mollis. Nullam fringilla dictum augue, ut efficitur tellus mattis condimentum. Nulla sed semper ex. Nulla interdum ligula eu ligula condimentum lacinia. Cras libero urna,
Redacción/SinEmbargo
Sed ullamcorper orci vitae dolor imperdiet, sit amet bibendum libero interdum. Nullam lobortis dolor at lorem aliquet mollis. Nullam fringilla dictum augue, ut efficitur tellus mattis condimentum. Nulla sed semper ex. Nulla interdum ligula eu ligula condimentum lacinia. Cras libero urna,
en Sinembargo al Aire

Opinión

más leídas

más leídas