La industria de la seguridad ha ido mutando con los años, pero el concepto de base es el mismo: detectar las amenazas y paliarlas, pero hay que vivir con ellas. En el evento Be Inside Technology Summit (BiTS) 2015, organizado por la firma de antivirus ESET, se han podido conocer algunas de las tendencias de este mercado, tanto desde el aspecto ofensivo como de las defensas y paliativas. Las conferencias, a las que este blog fue invitado, constituyeron un rico punto de encuentro de investigadores y prensa especializada, con un momento de relieve para la presencia de Microsoft. Pero, sin duda, el protagonismo correspondió a las vulnerabilidades de Android, asunto central de varias ponencias.

Varios expertos de ESET, empresa eslovaca que comercializa un antivirus de presencia creciente en el mercado, desentrañaron algunas amenazas recientes y las tendencias maliciosas que campan por la plataforma de Google. Así, Robert Lipovsky, investigador senior de la compañía, profundizó en las amenazas que han partido de aplicaciones dentro de la Play Store. El pasado mes de mayo, los analistas de ESET descubrieron un conjunto de más de 30 aplicaciones que aparecían como trucos para el popular juego Minecraft. En total, obtuvieron más de 600.000 descargas, propagando un tipo de malware llamado ‘scareware’, que mediante banners amedrenta al usuario diciéndole que su smartphone ha sido infectado con un virus que solo podrá suprimir si paga una suscripción que le costará 4,8 euros cada semana mientras no consiga escapar de la jaula.

Más recientemente se descubrió un paquete de 60 aplicaciones que trataban de hacerse pasar por títulos populares, entre ellos Dubsmash, aplicación para hacer selfies en vídeo, y juegos como Minecraft. En los últimos tres meses analizados, acumularon 210.000 descargas, lo que hubiera estado bastante bien si no fuera porque estas apps contenían un troyano que pulsa constantemente sobre enlaces de pornografía sin que el usuario se entere. Mientras tanto, medio millón de usuarios de Android sufrieron el robo de sus credenciales de Facebook al instalar el juego Cowboy Adventure, que lanzaba una pantalla pidiendo los datos de acceso a la red social y después los enviaba a los servidores del atacante.

“Estas cifras son relativamente altas si se piensa en el número de aplicaciones que se están colando y de descargas que generan. Pero es una cuestión de perspectiva: si se considera el enorme número de aplicaciones de Google Play y el tamaño del ecosistema Android, la cantidad de malware sería relativamente pequeña. Es una visión miope del problema: para algunas aplicaciones maliciosas, medio millón o un millón de descargas son un negocio lucrativo: a los usuarios que caen en la trampa, les roban sus credenciales de Facebook y, claro, esto es un problema muy serio», apuntó Lipovsky.

Durante el pasado verano, con la erupción de Stagefright, los usuarios constataron que el ´ecosistema` de Android es intrínsecamente vulnerable por otra razón, su fragmentación. Aunque parece estar en vías de asumir el problema. Al mismo tiempo, sin confesarlo, los fabricantes de smartphones no tienen mayo interés en corregir los fallos de las versiones antiguas, porque piensan que si lo hicieran contribuirían a frenar la rotación de sus modelos, al atenuar la venta de los más recientes. En 2014, Google (Alphabet) distribuyó 79 parches contra diversas vulnerabilidades.

Lipovsky, en conversación con este blog, puso más énfasis en la ascensión del ransomware en Android. “El ransomware es una práctica muy rentable para los desarrolladores de malware en Windows, pero es fácil entender que su extensión natural sea Android, porque hoy la forma de trabajar no es la de hace cinco o diez años. Muchísima gente usa dispositivos móviles para almacenar su información personal». Un ejemplo de ransomware es Simplocker, que ha aparecido tanto en aplicaciones de Google Play como fuera de la tienda oficial de Android. Con un mensaje en caracteres cirílicos o acompañado del escudo del FBI, el troyano encripta el contenido del dispositivo y solicita el pago de una supuesta multa, acusando al usuario de haber visto pornografía ilegal. Al final, el problema de fondo es sencillo: la gente no hace backups y se expone sin miedo a las consecuencias.

Por otro lado, el director del Centro de Protección de Malware de Microsoft, Dennis Batchelder, fue ponente de una sesión. Dejó claro que el concepto de malware sigue expandiéndose, sin estancarse en las muestras tradicionales. Para combatir lo que viene, Microsoft está endureciendo sus políticas en Windows y trata de construir un sistema de protección sólido, animando a las compañías de seguridad a que colaboren, dijo Batchelder. Mientras, trata de quitar valor al malware – en definitiva es una cuestión de dinero – a través de su Digital Crimes Unit, una unidad de expertos legales y técnicos dedicada a forzar cambios de actitudes en los grupos de cibercriminales y así aplacar la cadena de suministro del malware, ya sea amenazándolos o con promesas de lo que podrían conseguir si se pasan al lado bueno.

Microsoft no se metió realmente de lleno en seguridad hasta 2010 y desde el año pasado se ha centrado en la eliminación de amenazas. La integración de Windows Defender como antivirus en Windows 8 suscitó recelos de las empresas especializadas en vender seguridad, pero a la hora de echar cuentas, ha supuesto más ingresos para las firmas de antivirus. Y es que cuando se instala un antivirus, Defender se desactiva, y cuando caduca la licencia Windows se ocupa de recomendar al usuario que la renueve. Esta recomendación es más efectiva que cuando parte de la empresa de antivirus, a juzgar por la ratio de renovaciones conseguidas por esta vía. Es decir que Defender solo actúa sobre los equipos que no cuentan con antivirus, por lo que podría decirse que desbroza el mercado para estas empresas.

Batchelder aportó a la conferencia las cifras de un estudio llevado a cabo por Microsoft sobre casi 300 millones de ordenadores equipados con Windows. De ese total, se comprobó que un millón y medio, aproximadamente, estaban infectados, un 0,6%. había en torno a un millón y medio infectados, un 0,6%. El comentario consiguiente fue que una buena infraestructura de red facilita que los usuarios actualicen su sistema operativo, pero las versiones desfasadas tienen mayor presencia en los países subdesarrollados. A Microsoft le interesa que los usuarios actualicen por razones de seguridad, por supuesto, pero el interés económico no es ajeno a esa postura: Windows 10 puede competir con iOS o con Mac OS, una estrategia que está muy de actualidad y a la que días atrás Terry Myerson, VP de Microsoft, en entrevista con el autor de este blog.

Al hilo de esta cuestión, el enviado de Microsoft a la conferencia de ESET asumió que una red en mejores condiciones también implica un medio más eficaz de propagación de malware como adware – gran parte de este llega vía descargas – o ransomware. Esta variante delictiva se beneficia de las redes avanzadas, en la medida que el usuario tiene que pagar el rescate para recuperar sus datos. Sin contar con el mayor poder adquisitivo que se supone a los usuarios de países desarrollados.

El estudio aportado por Microsoft presenta otros datos interesantes. Entre el 3,4% y el 7,7% de las amenazas encontradas tenían menos de dos días, lo que indica que la rotación es muy rápida, lo que contribuye a neutralizar el efecto de los antivirus, que siempre llegan tarde. El malware emergente y el descubierto por primera vez fue responsable del 2,5% de los ataques.

Mientras que la forma más común de propagación son los ataques ‘durmientes’ que se distribuyen por sí solos (un 44,5% de los hallazgos del estudio). En cuanto al tipo de software malicioso, encabezan la fila los que roban información (un 42,6% del total), seguidos del adware (38,3%). Como detalle curioso, el estudio refleja que los usuarios cambian de antivirus más bien porque han tenido un «encuentro» con el malware, no por haber sido infectados (tras una instalación).

El BiTS 2015 también dio de sí para hablar sobre las comparativas de antivirus, que nacen de los test efectuados en laboratorio y se han convertido en artefactos de marketing. Juraj Malcho, jefe de investigación de ESET, puntualizó la dificultad de obtener resultados reales en estas pruebas: “un antivirus en un laboratorio se comporta igual que un malware en un laboratorio: NO funciona. El escenario no es real, pues el malware viene de algún sitio, ya sea a través de un email, por un cable o una web”. Hacía referencia Malcho a la forma de forzar el encuentro del malware con el antivirus, que en muchas ocasiones es demasiado artificial. El directivo pidió más transparencia a las compañías que llevan a cabo estos análisis, tras asegurar que el sesgo es inevitable. Según la importancia que se le dé a cada parámetro, mejoran o empeoran los resultados.

Hubo más asuntos en las conferencias de Nueva York. Righard Zwienenberg, otro investigador de ESET, anunció la constitución de Clean Software Alliance (CSA), grupo que trata de mejorar las descargas de software que se ofrecen desde páginas como Softonic o download.cnet.com. El objetivo inmediato es atenuar la infiltración de barras de herramientas, aplicaciones de terceros e incluso adware que el usuario baja inadvertidamente al pinchar enlaces tramposos.

Los estándares de la CSA se acordaron a finales de septiembre. Las plataformas proveedoras de software, como las citadas, se han comprometido a enviar sus productos a la organización para que sean validados antes de ponerlos a disposición de los usuarios. Saldrán de la prueba con una etiqueta, sin la cual los antivirus – los miembros de la alianza, claro – no permitirán que se instalen los programas. Pero hay más: “como Microsoft es uno de los miembros de la coalición, quizás una versión futura de Windows pueda rehusar la instalación de cualquier cosa que no lleve la etiqueta de conformidad», apuntó Zwienenberg, que forma parte del grupo de trabajo de la CSA. Dejó caer una advertencia: si las plataformas de descargas no juegan limpio, se verán afectadas financieramente, porque se les retiraría la etiqueta y sus productos no se podrían instalar en los equipos.

Entre los miembros fundadores de la CSA están Microsoft y Google, así como varias páginas muy populares de descargas de software. ESET ha optado por quedarse al margen y tener sus propios estámdares de bloqueo (más agresivos, según sus portavoces) de manera que cuando un usuario quiera descargar algo que esté en conformidad con la iniciativa colectiva pero no del antivirus de la compañía, esta le informará de ello, en un símil de lo que, en el ámbito hospitalario, se llama consentimiento informado.

[Pablo G. Bejerano]