NorbertoGallego.com :: Análisis de mercados y empresas de tecnología::<? the

22/05/2014

Luis Corrons

Director de Investigación de Panda Security

La noticia saltó en abril. Un programador alemán admitió haber cometido un error en 2011: dejó inadvertidamente abierta una brecha de seguridad en los códigos de OpenSSL, software usual en servidores web de gran difusión. A continuación, fallaron los procedimientos establecidos de verificación, y la brecha siguió abierta durante tres años a disposición de quien quisiera (y supiera) explotarla para robar contraseñas y luego, con esas contraseñas, robar dinero o datos que también valen dinero. Lo increíble es que nadie se diera cuenta durante tanto tiempo, ni los delincuentes (aparentemente) ni las empresas de seguridad. Este fue uno de los temas de la conversación con Luis Corrons. Uno entre varios.

Luis Corrons

Corrons, director de los laboratorios de Panda Security, es probablemente el más conocido especialista español en el combate contra virus informáticos, sabe de qué habla: lleva 15 años en la compañía, una de las dos españolas que figuran en el ranking 2013 de las 100 mayores empresas europeas de software. Panda Security tiene su sede en Bilbao, pero sólo el 22% de su facturación global la hace en España; sus productos se venden en 80 países, principalmente en Estados Unidos, Alemania, Reino Unido y Suecia.

Su opinión sobre Heartbleed es tranquilizadora, en principio: el 96,5% de los sitios web con dominio .es no usan SSL, de modo que el peligro, si acaso existió, habría sido muy marginal en España, aunque se extendió la recomendación a los usuarios de cambiar sus contraseñas, por si acaso. En su opinión, «demuestra lo contrario de lo que se ha escrito por ahí: los antivirus son más necesarios que nunca, y no porque lo diga yo, pero han de evolucionar para responder a nuevas amenazas y actuar en nuevos escenarios».

¿Por qué no puedo esperar garantía absoluta de protección?

Porque no existen las garantías absolutas. Cada vez que compramos algo, lo que sea, pretendemos que sirva para aquello que se nos ha dicho que puede hacer, que cumpla con la función por la que lo hemos comprado. Con los antivirus es más relativo: nos protegen contra miles y millones de amenazas que andan por ahí, pero no por tener uno u otro antivirus podrá pensar que está protegido al 100%.

¿Qué es lo que falla?

No creo que fallar sea el verbo adecuado. Si hubiera forma de hacer un antivirus perfecto, existiría… pero aunque no podemos tener el 100% de protección, sí que podemos estar lo más cerca posible. En Panda tenemos 200 personas que trabajan en eso.

[…] La policía siempre llega después del tiroteo…

No siempre. La existencia de la policía no evita que se cometan crímenes, pero hace posible prevenirlos, y en todo caso coger a sus autores, que una vez cogidos no podrán repetir el delito. En el caso de los antivirus, aunque te protejan contra el 99,9% de todas las amenazas existentes, lo que me importa como usuario es si me ha protegido contra la que ha entrado, no las otras. Porque para eso he pagado.

Bien está, pero la desconfianza desincentiva la demanda. Hay gente que dice: total, si igual me van a pillar …

Cualquier usuario sabe que si no se protege está tentando a la suerte. Que lo tenga más o menos claro, es otra historia. A quien no tiene un antivirus, seguro que lo van a pillar. La incógnita es cuándo. El problema con la gente que piensa de esa forma es que se convierte en un foco de infección para los demás, empeora su seguridad y la de quienes se relacionan con ellos.

Eso vale para el usuario individual. ¿Qué pasa con las empresas?

El 55% de nuestras ventas son a empresas, y sólo en grandes cuentas representan el 11%. Lo que pasa con las empresas es que sus relaciones son mucho más complejas, por lo que son un objetivo potencialmente muy jugoso para alguien que trate de robar información. Lo primero que averigua un atacante es qué medidas de seguridad tiene la empresa, y una de esas medidas es necesariamente el antivirus. No es la única, pero ha de formar parte del arsenal defensivo.

Si los antivirus tiene esas limitaciones, ¿no pierden sentido?

La parte de protección que aportan sigue siendo necesaria contra el malware normal y corriente. Es un hecho que cada día aparecen miles de muestras lanzadas de forma indiscriminada: cualquiera puede ser víctima, no porque lo estén buscando a él individualmente sino porque se encuentra en la trayectoria del disparo. Es parte del panorama de amenazas, por lo que las compañías de antivirus que no evolucionen, es poco probable que sobrevivan.

Un directivo de Symantec ha causado un buen revuelo al declarar que los antivirus están condenados a morir…

Uff, me preguntan por eso cada día, y la verdad es que no entiendo cómo se puede decir eso sin sonrojarse. La protección que aporta un antivirus, sea de uno u otro fabricante, sigue siendo imprescindible para luchar contra el abundante malware que circula. Cualquiera puede ser víctima, no porque lo vayan a buscar individualmente, sino por estar en la trayectoria del ataque.

La polémica está servida, de todos modos. Así que, ¿sobrevivirán los antivirus que no evolucionen, que sigan haciendo lo mismo que ayer?

La respuesta es que los ciberdelincuentes no hacen lo mismo que ayer. No usan las mismas armas, por tanto la protección tiene que evolucionar. Cuando aparecían 100 virus nuevos al día, era manejable; no podíamos asegurar al 100%, pero casi… ahora estamos viendo más de 80.000 nuevas amenazas cada día, muy parecidas entre sí pero con variantes en su apariencia para no ser detectadas a la primera. Si eres un especialista, puedes ser muy bueno en lo tuyo, pero si algo se sale de tu foco, es fácil que se te escape. No puedo decir a mi cliente «lo siento, yo sólo detecto troyanos pero qué pena, has has sido infectado con un spyware… así que ahora cómprate un antispyware«´.

¿Quiere decir que los antivirus actuales no son útiles contra ataques sofisticados? ¿En esa eventualidad no habría nada que hacer?

He visto ataques dirigidos, muy bien estudiados, contra una empresa determinada, en los que los atacantes habían invertido tiempo y dinero. Mucho tiempo y mucho dinero. Este pudo ser el caso de Stuxnet, contra el que a priori no había nada que hacer. Pero la verdad es que la mayoría de los ataques no son más que evoluciones a partir de formas conocidas: en cuanto son detectados, sus autores los modifican para que no sean detectados bajo otra forma.

Entonces…

Entonces, los antivirus son absolutamente necesarios. La filosofía con la que están diseñados es dejar entrar todo menos lo que de antemano se sabe que es malo, y que no entre aquello que parece que es menos malo. Si pasamos de listas negras a listas blancas, dejamos entrar sólo lo que conocemos y sabemos que no es malo. ¿Le suena mejor? Claro, pero tiene sus inconvenientes: si creemos que hay más cosas buenas que malas – y así ocurre en la realidad – no quiere decir que alguien no pueda abusar de esas cosas buenas para hacer algo malo.

Nada se podría hacer si no hubiera colaboración entre las empresas de antivirus…

La colaboración tiene muchas facetas. Entre mis mejores amigos están algunos que son directores de laboratorio de empresas que no son Panda. Eso hace que sientas que estás en la misma trinchera. Luego, cada uno hace su trabajo, que es proteger a sus clientes. Si mañana detecto algo, lo voy a compartir con Symantec, McAfee, TrendMicro, etcétera, pero ellos tendrán que trabajárselo, y a mí me interesa que lo hagan, porque si sus clientes están protegidos, los míos correrán menos riesgos …

¿Hay mucha rotación de analistas entre unas y otras empresas?

Esto no es programar en VisualBasic. La rotación plantea problemas: es muy raro que llegue alguien con un perfil adecuado y puedas ponerlo en producción en poco tiempo… esto hace que sea difícil de encontrar en el mercado, lo que puede provocar saltos de una empresa a otra. Porque no hay ningún master de tecnología de malware, ni creo que fuera una buena idea.

¿Esta industria antimalware puede seguir existiendo tal como es?

Para seguir existiendo, tiene que evolucionar, de eso no hay duda. Un modelo de seguridad que se base en dejar entrar todo, menos aquello que no conozco, no puede funcionar bien. O sea, creo que no sólo esta industria va a seguir existiendo sino que va a ganar en importancia.

¿Hay barreras de entrada para ser empresa de antimalware? No debe de ser tan sencillo como montar una de aplicaciones móviles, que salen a dos por hora…

La primera barrera es el conocimiento. Crear un malware es más fácil que crear un antivirus; alguien puede pensar que basta con coger un virus, hacerle una foto y ponerlo en tu fichero, pero en todo caso sería sólo una de las capas que tiene un antivirus. Lo que no quita que, para determinados especímenes, la elaboración sea asombrosa. Se ha llegado a un punto en el que es inviable utilizar personas para luchar contra el malware, hacen falta máquinas. Porque no se trata sólo de detectar, sino de desinfectar, de clasificar, de volver a detectar y volver a desinfectar… yo necesitaría tener en el laboratorio a toda la población de Bilbao para hacerlo manualmente [risas]

¿Por qué ganan terreno los antivirus en la nube?

Hace unos años, la nube se veía como una cosa de frikis. En Panda, fuimos de los primeros en creer en las posibilidades de la nube. Ahora yo diría que hay una demanda creciente, y que la mejora de protección que aporta es considerable; de hecho todas las compañías de este sector tienen en mayor o menor medida soluciones de conexión con la nube.

¿Por qué está tan fragmentada la industria del antimalware?

Al principio, todas las empresas de antivirus era regionales, porque el virus que aparecía en España sólo estaba en España, y el de Hungría sólo estaba en Hungría, de manera que el antivirus húngaro no tenía por qué detectar nada en España. Con el tiempo, aquellas empresas pioneras siguieron su evolución lógica y llegaron a tener presencia global, como es nuestro caso. Todavía se mantiene una dosis de fragmentación del mercado, pero el proceso de consolidación es el rasgo dominante, de eso no hay duda.

Prométame que algún día podré no tener que preocuparme por la seguridad.

Lo tiene difícil. Como individuo, usted puede decidir qué riesgos correr o no correr. Ahora, póngase en la piel de una empresa… no puede pensar así. Estamos hablando de decisiones que tiene que tomar el responsable de seguridad, sobre qué medidas tomar, y para eso tiene que tener la máxima información sobre lo que está pasando. Puede ocurrir que un usuario esté recibiendo algo que es vehículo de un malware, y los ataques estén siendo parados por ese usuario, pero no vale de nada poner un antivirus en ese puesto de trabajo… lo que hace falta es poner una consola que aporte toda la información sobre todos los puestos; ahí es donde se nota la diferencia entre unos antivirus y otros.