En la industria de la seguridad informática siempre se están investigando nuevas técnicas de detección de malware con la finalidad de ofrecer la mayor protección posible a los usuarios. Si analizamos la evolución de los antivirus en el tiempo vemos como, en su origen, se limitaban a añadir firmas para cada muestra de malware que aparecía. Esta técnica empezó a ser inviable cuando la cantidad de muestras empezó a crecer de forma alarmante y por eso se incluyeron técnicas de detección heurística y de análisis de comportamiento, permitiendo así detectar una amenaza analizando su código o ejecutando el archivo sospechoso en un entorno controlado y revisando que acciones realizaba.
Aun con la heurística y el análisis de comportamiento, aun quedaba un margen para el error y entonces se empezaron a añadir nuevas técnicas como las basadas en la nube, lo que, en teoría, ayudaría a reducir considerablemente el tiempo existente entre la detección de una muestra y el lanzamiento de un firma que permitiera su eliminación. No obstante, una de las técnicas que más ha dado que hablar en los últimos años es la que usa una lista blanca de aplicaciones firmadas digitalmente como referencia para bloquear aquellas que no lo estén o no tengan un firma autorizada. Para hacer un símil fácil de comprender, sería como poner a un portero de discoteca (el antivirus) a la entrada de nuestro local (el sistema) con una lista de invitados (la lista blanca).
En teoría, esta sería una solución ideal puesto que la gran mayoría del malware actual viene sin ser firmado digitalmente. Pero, no obstante, cada vez hay más excepciones. No hay mas que recordar el reciente caso del malware Stuxnet para ver como se puede encontrar malware con firmas digitales perfectamente válidas. Como ejemplo, esta captura de pantalla realizada por el investigador de ESET Pierre-Marc Bureau en la que se puede observar como una muestra del Stuxnet viene firmada digitalmente con un certificado validado para la empresa JMicron.
Viendo ejemplos como el anterior y, sabiendo que cada vez se observan ejemplos de malware mejor elaborado, parece que la opción de añadir listas blancas de aplicaciones permitidas tanto a las soluciones de seguridad como a los propios sistemas operativos no es tan infalible como aparenta. Se trata de una capa adicional de seguridad, sin duda, pero dista mucho de ser la panacea que algunos se esfuerzan en proclamar.
Desde el laboratorio de ESET en Ontinet.com pensamos que toda capa de protección adicional es bienvenida. No obstante debemos evitar pensar que la instalación de una solución de seguridad solucionará todos nuestros problemas. Como muchos otros programas, no está exento de fallos y es imposible asegurar una protección al 100% viendo la cantidad creciente de muestras que se reciben cada día. Para evitar poner en riesgo nuestro sistema, lo mejor es mantenerse informado acerca de las amenazas más recientes y usar nuestro sentido común.
Josep Albors