MIT Technology Review

La era del antivirus terminó

El software de seguridad convencional no tiene poder ante los sofisticados ataques actuales. Pero ya están surgiendo compañías con nuevas alternativas.




El último verano (boreal), laboratorios de seguridad en Irán, Rusia y Hungría anunciaron el descubrimiento de Flame, que el CrySyS Lab de Hungría calificó como “el malware más complejo jamás encontrado”.

Por al menos dos años, Flame ha estado copiando documentos, tomando capturas de pantallas y grabando audio, llamadas de Skype y lo que los usuarios tipeaban en sus teclados en computadoras infectadas. Posteriormente, transmitía la información a los servidores de sus creadores. Y, en todo este tiempo, ningún software de seguridad levantó una alarma.


 

El descubrimiento de Flame es sólo el último de una serie de incidentes que sugieren que los antivirus convencionales se quedaron atrás en la forma en la que protegen a las computadoras. “Flame fue una falla de toda la industria”, escribió Mikko Hypponen, fundador de la firma F-Secure. “Deberíamos haber sido capaces de hacer algo mejor. Pero no lo hicimos. Estamos fuera del juego en nuestro propio terreno”, agregó. Los programas de seguridad informática para negocios, gobiernos y consumidores operan todos de forma similar: las amenazas son detectadas por la comparación del código de los programas y sus actividades con una base de datos de “firmas” de malware conocido. Las compañías de seguridad como F-Secure y McAfee investigan constantemente por nuevo malware y actualizan sus listas de firmas. El resultado debería ser un muro impenetrable que mantenga a “los malos” afuera.

Sin embargo, en los últimos años, en los ataques a gobiernos y empresas se utilizó software que, si bien no es tan sofisticado como Flame, también logró pasar a través de los programas basados en firmas digitales. Algunos expertos y empresas ahora dicen que es tiempo de olvidarse de los sistemas de protección mediante antivirus. “Es una parte integral de la defensa, pero no es lo único necesario”, asegura Nicolas Christin, investigador de la Carnegie Mellon University. Y agrega: “Necesitamos dejar de tratar de construir la Línea de Maginot que se ve a prueba de balas pero que en realidad es sencillo rodearla”.

La nueva defensa

Christin y varios emprendimientos de seguridad están trabajando en nuevas estrategias de defensa para controlar los ataques y ayudar a quienes son atacados a defenderse. Un ejemplo es CrowdStrike, un start-up fundado por veteranos de la industria que ya recibió U$S 26 millones. Dmitri Alperovitch, CTO y cofundador de la firma, dice que tienen planes de ofrecer un sistema inteligente de alarma que puede detectar ataques completamente nuevos y rastrear sus orígenes.

Según Alperovitch esto es posible porque, a pesar de que un atacante podría fácilmente cambiar el código de un virus como Flame para evadir su identificación, sigue teniendo un mismo objetivo: acceder y extraer datos valiosos. CrowdStrike no revela datos de su tecnología, pero aparentemente analiza la actividad de los consumidores en un sistema para averiguar si alguno de ellos puede ser de un infiltrado.

La idea es impedir las tácticas más comunes y hacerles la vida más complicada a los atacantes, en lugar de enfocarse en sus herramientas específicas que son “muy cambiantes”, explica Alperovitch. “Necesitamos enfocarnos en el tirador, no en el arma”, completa el especialista.

Otras compañías están tomando caminos similares. “Tiene que ver con el eslógan de las fuerzas armadas que decía ‘El crimen no paga’”, señala Sumit Agarwal, cofundador de otro start- up: Shape Security. La compañía consiguió U$S 6 millones de inversores, incluido el presidente de Google, Eric Schmidt. Ellos también guardan los secretos sobre su tecnología, pero Agarwal desliza que apunta a aumentar el costo de los ciber ataques en comparación con el resultado económico, para que no valga la pena llevarlos a cabo.

Mykonos Software también apunta al aspecto económico de los ataques. Desarrolló una tecnología que ayuda a proteger a los sitios web al hacerles perder el tiempo a los hackers. Mykonos fue comprada por la firma de redes Juniper este año.

De acuerdo con Alperovitch, su compañía permitirá a las víctimas dar pelea en el terreno legal, al identificar la fuente de los ataques. “Hackear a los atacantes sería ilegal, pero hay medidas que se pueden tomar contra los que se benefician de los datos robados, lo que incrementa los costos del ataque”, afirma. Entre ellas figuran pedirles a los gobiernos que lleven el caso ante la Organización Mundial de Comercio y hacer público lo que sucede para avergonzar a quienes cometen espionaje industrial, agrega Alperovitch.

La investigación de Christin y otros académicos mostró que existen una serie de acciones que fácilmente neutralizarían las operaciones ilegales. Por ejemplo, buscaron ataques que manipulaban resultados de búsqueda para promover farmacias ilegales y concluyeron que la mayoría de ellos podrían ser detenidos por sólo un puñado de servicios que redirigieran a los visitantes de una Web a otra. En tanto, investigadores de la Universidad de California, en San Diego, demostraron que los ingresos por spam del año pasado pasaron sólo por tres bancos.

Pero Agarwal advierte que la retribución legal podría ser peligrosa. “Imagine que usted es una gran empresa y accidentalmente se mete en el camino de la mafia rusa. Podría tener un problema más grande del que imaginaba”, concluye.

La edición original de este artículo se publicó por primera vez en la revista Information Technology N°188 (mayo de 2013).
 

Temas relacionados
Más noticias de antivirus

Compartí tus comentarios

¿Querés dejar tu opinión? Registrate para comentar este artículo.
Nombre