Los ciberataques que superan el antivirus tradicional

El primer virus informático del que se tuvo conocimiento fue Creeper , creado en 1971 en un entorno académico para demostrar la capacidad de un archivo para transmitir información a través de una red. Pasaron seis meses hasta que los programadores informáticos lograron desarrollar Reaper,  la solución que lo bloqueaba. Así fue como se produjo el primer desfase entre los ataques y los mecanismos de defensa.

Desde entonces, los profesionales en ciberseguridad y los programadores no han dejado de actualizarse tratando de anular la ventaja del ciberdelincuente, y ahora que es conocido que hay un tipo de ataques para los que un antivirus tradicional ya no es suficiente para mantener la seguridad de los sitemas, se recomienda que las organizaciones revisen y actulicen sus sistemas de seguridad.

¿Por qué el antivirus tradicional no puede ser la única medida de seguridad instalada?

La práctica totalidad de los antivirus tradicionales funcionan con una estructura de firmas. Cuando un nuevo virus es conocido, el antivirus agrega a su base de datos la firma (identificador) que lo describe. Si un archivo de esas características es descubierto por el antivirus, éste lo aísla en cuarentena o lo elimina por su seguridad.

Un escenario que sobre el papel parece estable y confiable, pero el problema es que actualmente se estima con alarma, que 350.000 nuevas amenazas son lanzadas cada día. No hay antivirus que por si solo pueda hacer frente a semejante necesidad de constante actualización y el resultado es que la vulnerabilidad de los equipos crece día tras día.

Pero las limitaciones de los antivirus tradicionales no son el único factor que expone los sistemas a merced de los ciberdelincuentes; la crisis sanitaria provocada por la Covid-19 provocó que muchas organizaciones adoptaran el teletrabajo sin contemplar los riesgos de seguridad que supone utilizar equipos informáticos desde fuera de la red corporativa securizada, y sin haber dado unas nociones básicas a los usuarios para unas buenas prácticas. La seguridad es una responsabilidad compartida y el usuario es una pieza fundamental.

5 tipo de ciberataques que superan el antivirus tradicional

1. Malware polimórfico

El sistema de firmas de los antivirus compara todos los archivos buscando coincidencias con su lista de archivos tipificados como virus. Pero desde que un nuevo virus es detectado, tipificado y actualizado en la base de datos de firmas, pasa un tiempo. Eso de por si ya es una brecha; pero es el malware polimórfico lo que hace es mutar algunas de sus características cuando es detectado y contrastado contra las firmas. De esta manera trata de escapar al control de los antivirus.

2. Documentos armados

Los delicuentes a menudo aprovechan determinados fallos en los formatos de algunos documentos para insertar malware en nuestros sistemas mediante la ocultación de código malicioso en documentos aparentemente inofensivos incluso para el ojo experto. El antivirus analiza únicamente el documento inicial pero cuando este se ejecuta lanza los comandos ocultos tras haber pasado ya la barrera del antivirus. Se puede ver código oculto en PDF’s de Adobe, en HTML e incluso Office.

3. Descargas ilícitas

Las descargas no autorizadas son archivos que se descargan en el equipo utilizando vulnerabilidades del navegador o alguno de sus complementos. Estas descargas pueden ejecutarse desde sitios web legítimos que hayan sigo vulnerados y con alguno de sus scripts comprometidos. El antivirus no es efectivo en este caso, con lo que dejamos la puerta abierta a cualquier tipo de ataque del estilo troyano, critominer o ransomware.

4. Ataques fileless

Para lograr que un código malicioso se ejecute en un equipo, no es necesario que la infección tenga lugar a través de un archivo, y por lo general logran ejecutarse en la memoria del equipo utilizando PowerShell, rundl32.exe u otros recursos del sistema. Hay otras formas de ser infectado sin archivos; por ejemplo cuando se habilita un protocolo de escritorio remoto (RDP) se deja abierto un puerto en el equipo que alguien podría aprovechar para infectar nuestros sistemas.

5. Código oculto

De la misma manera que los expertos en seguridad se esfuerzan en desarrollar medidas de protección para los sistemas, los delicuentes también han hallado el modo de proteger su código. Para que el sistema de firmas determine que un código es malicioso, lo testea en un entorno sandbox (banco de pruebas). Algunos malware están preparados para detectar que están siendo ejecutados en este tipo de entornos y no ejecutar su código ilicito, mostrando solo su mejor cara y superando el control del antivirus.

Tal vez también te puede interesar…