Cuando Panda Software, desde Bilbao, creó su primer antivirus a finales de 1990 detectaba 62 patógenos; ahora hay más de 120.000. Actualmente la compañía tiene 700 trabajadores en España y otros 800 en más de 50 países, por los que se extiende con un sistema de franquicias. En los años noventa, los virus eran un mal local; Internet era desconocido y los programas maliciosos viajaban lentamente en los disquetes sobre programas ejecutables. Hoy, en la era de la globalización, ya no tiene lógica el antivirus local, sino que una empresa que fabrica software de protección tiene que estar experimentando constantemente para saber prevenir todo tipo de ataques en los ordenadores de sus usuarios. Luis Corrons desde PandaLabs, el laboratorio de software de Panda, se encarga de probar nuevos programas y diseñar estategias para proteger las redes en un entorno cada vez más abierto y sofisticado.
Los virus son programas que se reproducen infectando otros ficheros o aplicaciones, y su funcionamiento es muy similar al de los virus reales (de ahí su nombre). Del mismo modo que los virus biológicos se introducen en el cuerpo humano e infectan una célula, que a su vez infectará nuevas células al inyectar su contenido en ellas, los virus informáticos se introducen en los ordenadores e infectan ficheros insertando en ellos su ‘código’. Cuando el programa infectado se ejecuta, el código entra en funcionamiento y el virus sigue extendiéndose. Además, ambos tipos de virus presentan síntomas que avisan de su presencia y, mientras que los virus biológicos son micro-organismos, los virus informáticos son micro-programas.
“Realmente, pese a que el término virus es el más utilizado y conocido entre los usuarios, en muchas ocasiones se usa de forma incorrecta”Realmente, pese a que el término virus es el más utilizado y conocido entre los usuarios, en muchas ocasiones se usa de forma incorrecta. Hay muchos tipos de software malicioso que no son virus: hablamos de gusanos, troyanos, spyware, adware, dialers, etcétera. Todos ellos se aglutinan en el término ‘malware’ (de ‘malicious software’). En este sentido, es importante distinguir los diferentes tipos de amenazas que nos acechan, sobre todo ahora que todos tenemos acceso a Internet. En cualquier caso lo importante de verdad no es tanto saber distinguir entre las diferentes amenazas como tomar unas mínimas medidas de seguridad. Al igual que cada vez que subimos al coche nos ponemos el cinturón de seguridad, hay ciertas normas básicas que todos los usuarios deberíamos cumplir: tener siempre el sistema operativo actualizado, tener un firewall, un programa antimalware actualizado…
Sobre el primer virus hay muchas discrepancias, y en función del autor que se consulte pueden aparecer unos datos u otros. Aparte de teorías sobre la posibilidad de creación de programas informáticos que se copien a sí mismos, el primer virus como tal que tuvo una cierta difusión fue el virus ‘Pakistan’. Nació en Pakistán, de la mano de dos desarrolladores llamados Basit y Amjads, que crearon un programa llamado ‘Ashar’, no dañino, que más tarde evolucionó en el ‘Brain’, un virus que infectaba los antiguos disquetes de 5,25 pulgadas: sobreescribía el sector de arranque y desplazaba el sector de arranque original a otra posición del disco. Aunque el virus apenas provocaba daños, llamaba la atención su capacidad de ocultamiento, ya que era el primer programa que utilizaba la técnica ‘stealth’, haciendo que el disquete tuviera una apariencia normal. Por esta razón, el virus no fue descubierto hasta un año después, en 1987.
“Los primeros virus eran creados únicamente para satisfacer el ego de los creadores”El cambio ha sido asombroso. Los primeros virus eran creados únicamente para satisfacer el ego de los creadores, para saber que eran capaces de hacerlos y observar, con cierto morbo, su difusión. Se sentían muy orgullosos por ocupar tiempo en los informativos de televisión, por tener páginas de periódicos con sus virus… Hoy en día, sin embargo, la motivación ha cambiado radicalmente. Ya no buscan la fama, sino que se aprovechan de sus conocimientos para conseguir directamente beneficios materiales: robos, engaños, estafas… Los virus (y en general los códigos informáticos malignos) están hoy en día orientados a robar bien dinero, o bien información que pueda luego ser revendida. La época ‘romántica’ de los creadores por afición ha mutado en una época en la que se busca directamente el negocio.
Examinamos el código del virus e identificamos una parte del mismo que permita su clasificación unívoca. Asimismo, vemos las modificaciones que realiza a los ficheros y/o a la configuración del sistema, de tal forma que elaboramos la desinfección para dejar todo como estaba antes de la infección.
Este conjunto de tecnologías tienen varias vertientes para lograr su objetivo. Primero un análisis del comportamiento, donde partimos del siguiente supuesto: todos los ficheros en los que no son detectados comportamientos extraños son buenos hasta que se demuestre lo contrario. Lo que hacemos es ‘vigilar’ el comportamiento de los mismos, y en base a él podemos determinar si puede ser ‘malware’. Imaginemos un fichero que cuando lo ejecutas se copia a sí mismo e intenta enviarse a todos los contactos de la libreta de direcciones de correo. Esta tecnología se dará cuenta y lo parará, todo ello sin conocerlo previamente. El segundo paso es un análisis heurístico genético: llevamos 16 años detectando ‘malware’, por lo que lo conocemos a la perfección. Conociendo los ya existentes podemos saber aproximadamente cómo serán los próximos ‘malware’. Sería como una especie de ‘retrato robot’ de posibles nuevas amenazas.
La prevención de entradas sospechosas es crítica. Para que te puedas hacer una idea, el 90% de todo el ‘malware’ que recibimos en PandaLabs de usuarios son muestras que nuestas tecnologías han bloqueado proactivamente.
“Conociendo los virus ya existentes, podemos saber aproximadamente cómo serán los próximos”Los virus existen desde hace años, cuando el concepto de computadoras en red apenas era eso, un concepto. Es por ello que para llevar a cabo sus acciones no necesitan necesariamente estar en red. Eso sí, cuando intentan propagarse de forma masiva hacen uso de la red para infectar el mayor número de computadoras.
Esto no es así, los sistemas operativos no están diseñados para defenderse de los virus. De hecho, existen virus para ambas plataformas e incluso para otras menos utilizadas. Lo que sucede es que el ‘malware’ tiene su fin, bien sea propagarse, bien sea robar datos de los usuarios. Llegados a este punto, los creadores de virus centran sus esfuerzos en Windows, que tiene una cuota de mercado cercana al 90% en entornos de usuario.
“Los creadores de virus centran sus esfuerzos en Windows, que tiene una cuota de mercado cercana al 90% en entornos de usuario”Todos los sistemas operativos son vulnerables y tienen fallos de seguridad; sí podríamos decir que es en cierta forma una leyenda urbana. Windows tiene tantos agujeros de seguridad como puede tener Linux o cualquier otro sistema operativo. Aquí lo que sucede es claro, el ‘hacker’ va a realizar la siguiente autorreflexión: “¿Para qué explotar un agujero de seguridad que le afecta al 3% de los usuarios pudiéndome centrar en otro que le afecta al 90%?”.
Ahora mismo es relativamente sencillo de definir, ya que la motivación principal es el dinero: llevan a cabo ataques de espionaje industrial entre empresas, roban datos de la identidad del usuario, emplean el chantaje, etcétera. Al igual que comparábamos lo que es un virus informático con uno biológico, los delincuentes son muy parecidos, llevando a cabo delitos similares a los del mundo real pero de una forma mucho más impune en ocasiones debido a la dificultad que existe para dar con ellos.
Los creadores de virus se han ido adaptando al mundo en el que están, de tal forma que los primeros virus no usaban Internet y ahora lo tienen en cuenta para así poder infectar a más gente. Por otro lado, siempre van cambiando para intentar que los productos que los detectan y eliminan no sean capaces de hacerlo. Además, desde que existe una motivación económica por detrás, se nota que disponen de más medios para elaborar sus ataques y que en ocasiones son muy sofisticados.
“Puede no estar muy lejos el día en que aparezca un virus que tenga desagradables efectos secundarios, como hacer un pedido de una tonelada de detergente, apagar las luces de la casa…”Los límites los pone el entorno donde se ejecuta el virus. Si un sistema es capaz de enviar mensajes o mostrar pantallas, el virus siempre podrá hacerlo, pero nunca podrá sobrepasar ciertos límites, si bien es cierto que muchas veces no somos conscientes de cómo de introducida está en nuestras vidas la tecnología. Cada vez hablamos más de domótica, de frigoríficos con conexión a Internet, y puede no estar muy lejos el día en que aparezca un virus que tenga desagradables efectos secundarios, como hacer un pedido de una tonelada de detergente, apagar las luces de la casa…
Es una leyenda urbana con la que siempre hemos convivido. Son muchos años oyéndola y sufriéndola. ¡Qué se le va a hacer! Por supuesto, es radicalmente falsa. Aparte de que sería éticamente deplorable, ya hay suficiente gente malvada en el mundo como para que nosotros mismos nos juguemos la reputación. Si hay veces que no damos abasto con lo que llega a PandaLabs, ¿cómo vamos a crear nosotros mismos el ‘malware’? Es una locura pensar así.
“Un antivirus únicamente consume recursos cuando está en marcha, es decir, únicamente cuando tiene que analizar ficheros”Más que el consumo de recursos de un producto, es la impresión de que se consumen recursos y se va lento. No cabe duda de que un antivirus es un proceso más ejecutándose en un sistema, y eso tiene que ocupar memoria, disco, etcétera. Pero aunque no lo parezca, un antivirus únicamente consume recursos cuando está en marcha, es decir, únicamente cuando tiene que analizar ficheros. El resto del tiempo está en espera, sin hacer nada. De todos modos, el consumo de recursos es muy distinto en función del producto. Diferentes tests han mostrado que puede darse una ralentización que oscila entre el 5% de nuestros productos hasta el 21% de otros. Efectivamente, se consumen recursos, pero creo que un 5% de rendimiento a cambio del nivel de seguridad se puede asumir fácilmente.
La respuesta no es fácil, desde luego. Un ordenador completamente aislado no tiene ningún riesgo de poder ser infectado por un virus, pero el mero hecho de conectarlo a una red ya supone un riesgo elevadísimo. Una anécdota: en la EuskalParty que se celebró en Bilbao en el verano pasado, un ordenador conectado a la Red tardó 13 segundos en resultar infectado por varios virus. Que se navegue poco o mucho, que se reciba ocasionalmente correo o se mande mucho no es un baremo para establecer más o menos protección. En cuanto el usuario se conecte a Internet o introduzca cualquier tipo de información (un CD, una memoria USB, etcétera) ya se debe proteger, independientemente de si es poco o mucho lo que se conecta. La información que se almacena también es un factor determinante, pero lo es más la conexión a Internet. Y si esa información es de tipo personal, es la ley la que obliga a utilizar sistemas de seguridad que eviten el acceso a la información. Y un troyano, por ejemplo, es lo que va a hacer: acceder a la información, o por lo menos dejar la puerta abierta para que otros accedan. Un ordenador con información personal sin protección antivirus puede llegar a ser causa de una multa muy elevada.
“En la EuskalParty del verano pasado un ordenador conectado a la Red tardó 13 segundos en resultar infectado”La mayoría de virus antiguos realmente han desaparecido y no están en circulación, aunque hay algunos que curiosamente han aumentado su presencia gracias a Internet. Ello es debido a que otros códigos maliciosos, como gusanos, van infectando equipos por todo el mundo y a su vez se infectan con un virus, con lo que cada vez que infectan a un usuario lo hacen por partida doble.
La inmunidad total frente a los virus sería como la inmunidad total contra la delincuencia en el mundo real. Si hablamos de ‘total’ con mayúsculas estamos considerando una utopía. Si bien es cierto que si se toman las medidas adecuadas podemos tener cierta tranquilidad nunca se puede garantizar en un 100%.
“Últimamente estamos viendo un cambio de tendencia, de tal forma que aunque el ‘phishing’ se mantiene, los’ hackers’ tienden a infectar a los usuarios con troyanos”Hay diferentes técnicas que pueden hacer frente a los ataques de ingeniería social, aunque nunca se puede garantizar una efectividad total. Realmente muchos de los ‘hackers’ utilizan ataques de este tipo para poder infectar a los usuarios con troyanos u otros. Últimamente estamos viendo un cambio de tendencia, de tal forma que aunque el ‘phishing’ se mantiene, los’ hackers’ tienden a infectar a los usuarios con troyanos preparados específicamente para robar datos bancarios, y este tipo de ataques está creciendo de forma alarmante. Esto es debido a que para que los usuarios caigan en un ‘phishing’, hay que engañarlos, mientras que si les instalas un troyano ellos nunca van a desconfiar porque van a visitar la página real de su banco sin saber que están siendo espiados, y todos los datos que introduzcan serán robados sin que puedan darse cuenta hasta que sea demasiado tarde.
