Soluciones de protección antivirus: ¿aceite de serpiente moderno?
En la escena de la seguridad informática, el debate sobre la eficacia de los productos antivirus es un tema perenne. Más recientemente, se avivó con las declaraciones de Robert O'Callahan, antiguo desarrollador de Mozilla, y Justin Schuh, Director de Seguridad de Chrome en Google.
Afirmaban que las soluciones antivirus eran en muchos casos un obstáculo para el desarrollo de navegadores más seguros y que incluso podían reducir la seguridad efectiva. Se referían a Tavis Ormandy, investigador de seguridad de Google, que poco antes había descubierto lagunas de seguridad en algunas soluciones antivirus.
Sin embargo, los fabricantes afectados los solucionaron tan rápidamente que incluso Ormandy alabó la rapidez. No obstante, en una entrada de su blog, O'Callahan llegó a aconsejar a los usuarios que desinstalaran su solución antivirus.
Además, hay numerosos "estudios" en línea que pretenden demostrar que las soluciones basadas en firmas alcanzan tasas de detección de malware de sólo el 30-40% y extrapolan que la ganancia en seguridad es marginal en el mejor de los casos.
Es indiscutible entre los expertos en seguridad que la detección de malware basada únicamente en firmas no proporciona suficiente protección, especialmente en los sistemas de sobremesa de funcionamiento interactivo, en los que la navegación por Internet y el correo electrónico siguen siendo los vectores de infección más importantes.
El número y la volatilidad de los programas maliciosos que circulan por la red son, sencillamente, demasiado elevados. También es cierto que los métodos simples de comparación de patrones fallan conceptualmente cuando se trata de malware complejo con código mutante y polimórfico.
Sin embargo, también es un hecho que la mayoría del malware no muestra un grado tan alto de complejidad. Además, no se hace justicia a los fabricantes de seguridad si los modernos motores de análisis de virus se reducen a la mera coincidencia de patrones.
Todos los proveedores han ampliado desde hace tiempo el reconocimiento de patrones mediante heurística, numerosos descodificadores, listas blancas y detección de variantes hasta tal punto que cada vez es más difícil -aunque no imposible- que incluso el "malware personalizado" pase desapercibido.
Permítanme que utilice una comparación para demostrar que las declaraciones provocadoras y efectivas desde el punto de vista de las relaciones públicas como las de O'Callahan hacen un flaco favor a la gente corriente. Debe quedar claro que una cerradura de cilindro normal no impedirá que un ladrón avezado entre en una casa.
Si, desde el punto de vista del ladrón, la perspectiva del botín justifica el riesgo y el esfuerzo, dicha cerradura será un obstáculo, pero un obstáculo que se puede superar.
Sin embargo, este hecho no justifica prescindir de una cerradura de puerta. Esto reduce el esfuerzo del ladrón prácticamente a cero y desplaza el cálculo esfuerzo-beneficio para el ladrón a favor del robo.
Del mismo modo, los sistemas sin protección antivirus se convierten en el punto de menor resistencia para los atacantes y conjuran los ataques. Los fabricantes de seguridad cuyos productos no cumplen los requisitos del desarrollo de software seguro no deben ser tomados a guasa. En este caso, los clientes deben exigir responsabilidades a los fabricantes.
Con sus decisiones de compra, tienen una influencia considerable para exigir mejoras y calidad a los fabricantes que quieren asegurarse su cuota en el mercado de la seguridad de los puntos finales de las empresas (según Forrester, un volumen de mercado de 5.900 millones de dólares anuales para 2021).
Del mismo modo, no creo que la detección de malware basada en firmas sea adecuada por sí sola para proteger de forma exhaustiva cada tipo de endpoint contra el malware.
Sin embargo, creo que la protección antivirus moderna debe seguir siendo una parte integral de cualquier estrategia de seguridad seria y de múltiples capas en el futuro previsible. Estas soluciones son la única línea de defensa en la que el malware no se ejecuta, sino que simplemente se deja caer. Esto significa puntos de distribución centrales en la red de la empresa a los que acceden numerosos usuarios internos y externos, como el almacenamiento, la gestión de documentos y, por último pero no por ello menos importante, los sistemas SAP.