¿Cómo se debe probar la efectividad de los antivirus?
¿Nunca se han preguntado de qué manera se prueban los antivirus antes de que estos estén disponibles en el mercado? Lo cierto es que, a pesar de lo que en un primer momento se pueda pensar, estas aplicaciones pasan una serie de test que tienen la misión, obviamente, de comprobar la efectividad de las mismas. Pues bien, para la mayoría de los fabricantes de seguridad informática estas evaluaciones se han quedado ya obsoletas.
Probar un antivirus antes de su lanzamiento es algo que se realiza habitualmente. Así, los AV Test (denominación por la que se conoce a las mencionadas pruebas) permiten a los usuarios poder elegir qué antivirus quieren instalar en sus ordenadores conociendo cuáles son las principales características de los mismos y contra que protegen.
Hasta aquí todo normal. Entonces ¿cuál es el problema? Algunos fabricantes de soluciones de seguridad han levantado la voz contra el hecho de que estos test “no se modernicen”. ¿En qué sentido? Algunas compañías afirman que, aunque la complejidad de las aplicaciones de seguridad ha crecido considerablemente en los últimos tiempos, a la hora de realizar las evaluaciones éstas no prueban las nuevas tecnologías con las que se desarrollan.
¿Quejas escuchadas?
Pues bien, parece que las quejas no han caído en saco roto. Los principales responsables de realizar los test han llegado a la conclusión de que, a medida que pasa el tiempo, que las amenazas son cada vez más dañinas, más novedosas y más difíciles de detectar, y que las soluciones de seguridad intentan proteger contra esas nuevas amenazas, es necesario cambiar el modo de evaluar las aplicaciones e incorporar nuevas fórmulas.
Así, directivos de Symantec, F-Secure y Panda Software llegaron a un acuerdo para desarrollar un nuevo plan de evaluación que tiene la misión de reflejar las nuevas capacidades que incorporan las soluciones que se están lanzando al mercado.
Aunque en un primer momento, este nuevo test evaluará los productos de las tres firmas, éstas confían en que poco a poco el resto de los jugadores del mercado de antivirus se unan a la iniciativa y se desarrollen estándares de evaluación conjunta.
Una de las pruebas más comunes consiste en “infectar” un PC con numerosas aplicaciones malignas para comprobar si el motor del antivirus es capaz de detectar todas las amenazas. De esta forma, el mencionado motor contiene una serie de indicadores, conocidos con el pseudónimo de “firmas”, que permite identificar el software perjudicial.
Esta prueba, que en su momento se consideró de gran fiabilidad, es una de las que más controversia ha creado. La razón es que, para los fabricantes, sus soluciones incorporan otros métodos de identificación ya no sólo de virus, sino de otras amenazas como el malware, más efectivos si atendemos a la importancia y a la magnitud de las amenazas.
De esta forma, Toraly Dirro, ingeniero de seguridad de McAfee, destacó que “este test es importante, pero ya no es infalible. La razón no es otra que el hecho de que se ha producido una explosión en el número de programas de virus únicos creados por los hackers que han tenido, como consecuencia, la reducción de la efectividad de la misma. El resultado es que los fabricantes hemos tenido que incorporar otro tipo de defensa para detectar otro tipo de amenazas, y en algunas ocasiones se solapa con la detección a través de firmas”.
Qué se está utilizando
Y, como la tecnología avanza, los fabricantes están empleando sistemas de detección de análisis de conducta que identifican si una determinada aplicación es dañina dependiendo de la acción que realice en el PC. Es decir, un usuario puede descargarse en su ordenador, sin que tenga conocimiento, un virus o malware, y que éste no sea detectado por aquellas aplicaciones de seguridad que basan su funcionamiento en el análisis a través de las firmas. En cambio, si el programa en cuestión comienza a enviar spam, gracias al sistema de detección de análisis de conducta se puede neutralizar la acción del virus.
Pero no sólo se detecta en el caso de spam. Las acciones de las amenazas también se pueden neutralizar en el caso, por ejemplo, de que éstas intenten explotar una vulnerabilidad del buffer, donde un fallo en la memoria interna puede significar que el virus funcione sin problemas.
Los fabricantes también quieren que se realicen evaluaciones de otro tipo de sistemas, como pueden ser los sistemas basados en host, o los de intrusión o prevención (entre los que se engloban los cortafuegos y las técnicas de inspección) ya que estos también pueden parar los ataques.
Las formas también cuentan
Otro de los factores clave a la hora de cambiar los modos de evaluación reside en la manera en que un ordenador pueda ser infectado. Por ejemplo, hace años lo más común era que un virus recabara en un PC si el usuario había introducido un disquete. En cambio, hoy en día, las formas son diferentes, y más complejas. La infección se puede producir a través de un mensaje de correo electrónico, o visitando páginas web que han sido diseñadas para explotar las vulnerabilidades del web browser.
Así, cabe señalar que, continuando con el razonamiento, los diversos modos del ataque también implican que existan diversas defensas, “las cuales deberían de ser evaluadas de una forma exhaustiva. Los test que se realizan basándose en el análisis de las firmas tardan menos de cinco minutos en analizar el sistema, tiempo insuficiente si lo que se quiere es conocer la eficacia de una determinada solución”, destaca Andreas Marx, directivo de AV-Test.org. “La razón por la que todavía se realizan este tipo de pruebas es que es fácil y es barato”, continua el responsable.
Y las preocupaciones no quedan aquí. La cantidad de virus que existen en la red, o el hecho de que los muestreos que se realizan “ya son viejos”, son factores que también preocupan al sector de la seguridad informática, que abogan por “un sistema de evaluaciones que compruebe de qué manera las aplicaciones son capaces de neutralizar a las amenazas, ya que, si los análisis son excesivos pueden afectar al funcionamiento de los ordenadores, mientras que si son escasos, los virus pueden crear verdaderos estragos”.
Hasta aquí todo normal. Entonces ¿cuál es el problema? Algunos fabricantes de soluciones de seguridad han levantado la voz contra el hecho de que estos test “no se modernicen”. ¿En qué sentido? Algunas compañías afirman que, aunque la complejidad de las aplicaciones de seguridad ha crecido considerablemente en los últimos tiempos, a la hora de realizar las evaluaciones éstas no prueban las nuevas tecnologías con las que se desarrollan.
¿Quejas escuchadas?
Pues bien, parece que las quejas no han caído en saco roto. Los principales responsables de realizar los test han llegado a la conclusión de que, a medida que pasa el tiempo, que las amenazas son cada vez más dañinas, más novedosas y más difíciles de detectar, y que las soluciones de seguridad intentan proteger contra esas nuevas amenazas, es necesario cambiar el modo de evaluar las aplicaciones e incorporar nuevas fórmulas.
Así, directivos de Symantec, F-Secure y Panda Software llegaron a un acuerdo para desarrollar un nuevo plan de evaluación que tiene la misión de reflejar las nuevas capacidades que incorporan las soluciones que se están lanzando al mercado.
Aunque en un primer momento, este nuevo test evaluará los productos de las tres firmas, éstas confían en que poco a poco el resto de los jugadores del mercado de antivirus se unan a la iniciativa y se desarrollen estándares de evaluación conjunta.
Una de las pruebas más comunes consiste en “infectar” un PC con numerosas aplicaciones malignas para comprobar si el motor del antivirus es capaz de detectar todas las amenazas. De esta forma, el mencionado motor contiene una serie de indicadores, conocidos con el pseudónimo de “firmas”, que permite identificar el software perjudicial.
Esta prueba, que en su momento se consideró de gran fiabilidad, es una de las que más controversia ha creado. La razón es que, para los fabricantes, sus soluciones incorporan otros métodos de identificación ya no sólo de virus, sino de otras amenazas como el malware, más efectivos si atendemos a la importancia y a la magnitud de las amenazas.
De esta forma, Toraly Dirro, ingeniero de seguridad de McAfee, destacó que “este test es importante, pero ya no es infalible. La razón no es otra que el hecho de que se ha producido una explosión en el número de programas de virus únicos creados por los hackers que han tenido, como consecuencia, la reducción de la efectividad de la misma. El resultado es que los fabricantes hemos tenido que incorporar otro tipo de defensa para detectar otro tipo de amenazas, y en algunas ocasiones se solapa con la detección a través de firmas”.
Qué se está utilizando
Y, como la tecnología avanza, los fabricantes están empleando sistemas de detección de análisis de conducta que identifican si una determinada aplicación es dañina dependiendo de la acción que realice en el PC. Es decir, un usuario puede descargarse en su ordenador, sin que tenga conocimiento, un virus o malware, y que éste no sea detectado por aquellas aplicaciones de seguridad que basan su funcionamiento en el análisis a través de las firmas. En cambio, si el programa en cuestión comienza a enviar spam, gracias al sistema de detección de análisis de conducta se puede neutralizar la acción del virus.
Pero no sólo se detecta en el caso de spam. Las acciones de las amenazas también se pueden neutralizar en el caso, por ejemplo, de que éstas intenten explotar una vulnerabilidad del buffer, donde un fallo en la memoria interna puede significar que el virus funcione sin problemas.
Los fabricantes también quieren que se realicen evaluaciones de otro tipo de sistemas, como pueden ser los sistemas basados en host, o los de intrusión o prevención (entre los que se engloban los cortafuegos y las técnicas de inspección) ya que estos también pueden parar los ataques.
Las formas también cuentan
Otro de los factores clave a la hora de cambiar los modos de evaluación reside en la manera en que un ordenador pueda ser infectado. Por ejemplo, hace años lo más común era que un virus recabara en un PC si el usuario había introducido un disquete. En cambio, hoy en día, las formas son diferentes, y más complejas. La infección se puede producir a través de un mensaje de correo electrónico, o visitando páginas web que han sido diseñadas para explotar las vulnerabilidades del web browser.
Así, cabe señalar que, continuando con el razonamiento, los diversos modos del ataque también implican que existan diversas defensas, “las cuales deberían de ser evaluadas de una forma exhaustiva. Los test que se realizan basándose en el análisis de las firmas tardan menos de cinco minutos en analizar el sistema, tiempo insuficiente si lo que se quiere es conocer la eficacia de una determinada solución”, destaca Andreas Marx, directivo de AV-Test.org. “La razón por la que todavía se realizan este tipo de pruebas es que es fácil y es barato”, continua el responsable.
Y las preocupaciones no quedan aquí. La cantidad de virus que existen en la red, o el hecho de que los muestreos que se realizan “ya son viejos”, son factores que también preocupan al sector de la seguridad informática, que abogan por “un sistema de evaluaciones que compruebe de qué manera las aplicaciones son capaces de neutralizar a las amenazas, ya que, si los análisis son excesivos pueden afectar al funcionamiento de los ordenadores, mientras que si son escasos, los virus pueden crear verdaderos estragos”.
