Un día en la lucha contra el malware

Raquel C. Pico,

En el parque tecnológico de Dublín, a las afueras de la capital irlandesa y en medio de la tranquila periferia residencial, se encuentra desde hace 3 años uno de los tres centros de Symantec que, durante 24 horas al día, filtran los contenidos dañinos que circulan por la red para los usuarios de su sistema de protección contra el malware.
Dublín concentra al equipo más grande de la compañía en la lucha contra los archivos maliciosos y trabaja, en colaboración con los centros de seguridad de Cuber (EEUU) y Tokio, en una cobertura 24 horas. La diferencia horaria permite que se escalonen las horas de trabajo y que no quede ni un único momento del día sin cubrir.
Esto obliga a una compleja coordinación del trabajo. “Tenemos que ser claros como el cristal con qué estamos trabajando”, explica el director de respuesta global de seguridad de la compañía, Kevin Hogan, “para que no se duplique en un mismo punto el trabajo”.
Los ingenieros de la compañía analizan durante toda la jornada los archivos que circulan por las redes de sus afiliados, para en un período de entre 3 y 10 minutos confirmar la naturaleza del elemento. Para ello, y tal como demuestra el supervisor de respuesta de seguridad de la compañía, Elia Flavio, emplean los sistemas de ‘caja blanca’ (la lectura analítica del código que forma el archivo) o de ‘caja negra’ (la ejecución virtual del archivo en WMware Workstation).
Gracias al bagaje de la experiencia previa y al perfeccionamiento de las técnicas, pueden llegar a una rápida conclusión de ante qué se encuentran. Al fin y al cabo, y como concluye Kevin Hogan, “es todo los días lo mismo”.
Y, así, en una atmósfera silenciosa, en un edificio con una estructura vista y con distracciones que ayuden a soportar las exigencias de seguridad del entorno de trabajo (el acceso a la zona de trabajo sólo está permitido al personal autorizado y nadie puede introducir en el entorno ‘contaminado’ dispositivos electrónicos del exterior), trabaja esta especie de ‘policía contra el malware’.
Nuevos males
“Los temas son siempre los mismos”, explica el director de repuesta global de seguridad de la compañía, Kevin Hogan, “lo interesante son las nuevas técnicas”.


Desde principios de década, los ataques se han multiplicado de forma exponencial, especialmente en los dos últimos años, y han perfeccionado su desarrollo hasta hacerlos cada vez más efectivos y letales. De hecho, si en el último semestre de 2002 se contabilizaban 6.260 ataques, en el mismo período de 2007 eran ya 499.811, algo más del doble que en el semestre inmediatamente anterior y unas seis veces más que en el mismo período de 2006, según las estadísticas de Symantec.
Esta mayor virulencia e incidencia se debe, según apunta Hogan, “a la organización profesional de la actividad”. “Con que una persona clicke en su link”, apostilla el ingeniero de respuesta de seguridad Liam O Murchu, “ellos ya hacen dinero”.
Virus, phishing y, sobre todo, troyanos atacan cada día los ordenadores de los ciudadanos. El número de troyanos ha crecido en más de un 10 por ciento entre 2006 y 2007 y los ‘back door’ en un 2 por ciento. A los ‘malos’ les interesa entrar en el sistema del usuario más que infectar, por lo que los virus se están quedando obsoletos.
Y, mientras, las autoridades no pueden realmente hacer nada para luchar contra estas redes delictivas. “Mi obligación es proteger a mis clientes”, señala Hogan cuando se le pregunta por su relación con la policía, al tiempo que explica que poco podrían conseguir las fuerzas de seguridad ya que los datos sobre los delincuentes que ordenan el ataque son bastante limitados.
La división del trabajo entre esta industria en la sombra hace que entre la orden de ataque y la recogida del fruto de la misma se atraviesen varios intermediarios que llevan a cabo una tarea determinada y limitada en beneficio del bien común. “No son sólo adolescentes que lo hacen por diversión”, reafirma Elia Flavio, “sino profesionales que buscan dinero”. 


“Lo más común es que las autoridades vengan a nosotros” reconoce Kevin Hogan, una vez que la investigación está en marcha.
Nuevas estrategias 
A pesar de todo, la sociedad está cada vez más tecnificada y el número de dispositivos informáticos en la vida cotidiana aumenta a buen ritmo. Teléfonos inteligentes, televisión digital o conexiones bluetooth (la más peligrosa de las últimas novedades, según Symantec) están por todas partes. “Entre el 95 y el 98 por ciento del malware se centra en una única plataforma y por lo de ahora todos estos dispositivos están tranquilos”, calma Hogan.
Pero, a pesar de todo, la amenaza sigue estando ahí en el caso de la red y de los ordenadores personales y continúa creciendo. “El malware creció más en los últimos 2 años que en los últimos 20”, recuerda Thomas Parsons, especialista de la compañía, que además reconoce la importancia de una problemática concreta, los falsos positivos. Las empresas de protección antimalware deben esforzarse para que sus filtros sean lo más infalibles posibles y para no tachar, por tanto, de ‘maligno’ a un archivo inocente.
“Dado el aumento de los archivos malos, ¿no será más fácil detectar a los buenos?”, se pregunta Parsons.
Symantec trabaja ya, de hecho, en lo que podría ser el cambio en el paradigma de la lucha antivirus, el de la lista blanca (whitelisting AV paradigm). Dado que todo el mundo conoce a los archivos buenos (el ‘clean data’), la nueva estrategia de lucha antivirus podría centrarse en listar a los no peligrosos para, por defecto, contar con un índice de malignos. “La clean data es usada en muchos procesos en la industria antivirus actual”, explica Parsons antes de recordar que, aunque se habla mucho de ello, no se puede saber hasta que punto la industria está haciendo algo “en serio” sobre la materia.
“No podemos decir al usuario que olvide todo lo que hemos estado haciendo los últimos 25 años”, concluye Thomas Parsons.
Bien mediante estas nuevas técnicas o bien mediante la tradicional lucha contra el malware, en la que Symantec acumula años de experiencia, la compañía seguirá luchando contra los archivos maliciosos y asumiendo los nuevos retos de este mercado. “Nosotros somos grandes, por eso vigilamos lo que ellos hacen”, recuerda  Kevin Hogan.