Thursday, August 10, 2006

ENTREVISTA A LUIS CORRONS del Laboratorio de Software de Panda

“Windows tiene tantos agujeros de seguridad como pueda tener Linux”

Cuando Panda Software, desde Bilbao, creó su primer antivirus a finales de 1990 detectaba 62 patógenos; ahora hay más de 120.000. Actualmente la compañía tiene 700 trabajadores en España y otros 800 en más de 50 países, por los que se extiende con un sistema de franquicias. En los años noventa, los virus eran un mal local; Internet era desconocido y los programas maliciosos viajaban lentamente en los disquetes sobre programas ejecutables. Hoy, en la era de la globalización, ya no tiene lógica el antivirus local, sino que una empresa que fabrica software de protección tiene que estar experimentando constantemente para saber prevenir todo tipo de ataques en los ordenadores de sus usuarios. Luís Corrons desde PandaLabs, el laboratorio de software de Panda, se encarga de probar nuevos programas y diseñar estrategias para proteger las redes en un entorno cada vez más abierto y sofisticado.

¿Cómo definir de la manera más exacta posible lo que es un virus informático?

Los virus son programas que se reproducen infectando otros ficheros o aplicaciones, y su funcionamiento es muy similar al de los virus reales (de ahí su nombre). Del mismo modo que los virus biológicos se introducen en el cuerpo humano e infectan una célula, que a su vez infectará nuevas células al inyectar su contenido en ellas, los virus informáticos se introducen en los ordenadores e infectan ficheros insertando en ellos su 'código'. Cuando el programa infectado se ejecuta, el código entra en funcionamiento y el virus sigue extendiéndose. Además, ambos tipos de virus presentan síntomas que avisan de su presencia y, mientras que los virus biológicos son micro-organismos, los virus informáticos son micro-programas.

¿Debemos distinguir lo que es un virus de otros tipos de software con intenciones poco honestas, como los que insertan publicidad no consentida en los navegadores o los que espían las páginas por las que navega el usuario para estudiar sus hábitos de consumo?

"Realmente, pese a que el término virus es el más utilizado y conocido entre los usuarios, en muchas ocasiones se usa de forma incorrecta"

Realmente, pese a que el término virus es el más utilizado y conocido entre los usuarios, en muchas ocasiones se usa de forma incorrecta. Hay muchos tipos de software malicioso que no son virus: hablamos de gusanos, troyanos, spyware, adware, dialers, etcétera. Todos ellos se aglutinan en el término 'malware' (de 'malicious software'). En este sentido, es importante distinguir los diferentes tipos de amenazas que nos acechan, sobre todo ahora que todos tenemos acceso a Internet. En cualquier caso lo importante de verdad no es tanto saber distinguir entre las diferentes amenazas como tomar unas mínimas medidas de seguridad. Al igual que cada vez que subimos al coche nos ponemos el cinturón de seguridad, hay ciertas normas básicas que todos los usuarios deberíamos cumplir: tener siempre el sistema operativo actualizado, tener un firewall, un programa antimalware actualizado...

¿Cuándo apareció el primer virus y cómo era?

Sobre el primer virus hay muchas discrepancias, y en función del autor que se consulte pueden aparecer unos datos u otros. Aparte de teorías sobre la posibilidad de creación de programas informáticos que se copien a sí mismos, el primer virus como tal que tuvo una cierta difusión fue el virus 'Pakistán'. Nació en Pakistán, de la mano de dos desarrolladores llamados Basit y Amjads, que crearon un programa llamado 'Ashar', no dañino, que más tarde evolucionó en el 'Brain', un virus que infectaba los antiguos disquetes de 5,25 pulgadas: sobrescribía el sector de arranque y desplazaba el sector de arranque original a otra posición del disco. Aunque el virus apenas provocaba daños, llamaba la atención su capacidad de ocultamiento, ya que era el primer programa que utilizaba la técnica 'stealth', haciendo que el disquete tuviera una apariencia normal. Por esta razón, el virus no fue descubierto hasta un año después, en 1987.

¿Cómo ha sido la evolución de los virus desde que se crearon los primeros?

"Los primeros virus eran creados únicamente para satisfacer el ego de los creadores"

El cambio ha sido asombroso. Los primeros virus eran creados únicamente para satisfacer el ego de los creadores, para saber que eran capaces de hacerlos y observar, con cierto morbo, su difusión. Se sentían muy orgullosos por ocupar tiempo en los informativos de televisión, por tener páginas de periódicos con sus virus... Hoy en día, sin embargo, la motivación ha cambiado radicalmente. Ya no buscan la fama, sino que se aprovechan de sus conocimientos para conseguir directamente beneficios materiales: robos, engaños, estafas... Los virus (y en general los códigos informáticos malignos) están hoy en día orientados a robar bien dinero, o bien información que pueda luego ser revendida. La época 'romántica' de los creadores por afición ha mutado en una época en la que se busca directamente el negocio.

¿Cómo se elabora un programa antivirus desde un laboratorio?

Examinamos el código del virus e identificamos una parte del mismo que permita su clasificación unívoca. Asimismo, vemos las modificaciones que realiza a los ficheros y/o a la configuración del sistema, de tal forma que elaboramos la desinfección para dejar todo como estaba antes de la infección.

¿Pueden desarrollarse programas que se anticipen a la aparición de los virus, o bien sólo se puede fabricar un antídoto a partir del agente pernicioso?

"En la coyuntura actual, nos encontramos en el momento en que cada día aparecen más nuevos virus"

Sí, se puede y además es algo imprescindible hoy en día. Todas las compañías antivirus utilizamos tecnologías de detección que son muy válidas para detectar todos los virus y demás 'malware' que ya conocemos, y durante años han demostrado su efectividad. En la coyuntura actual, nos encontramos en el momento en el que más nuevo 'malware' aparece cada día: en PandaLabs detectamos más de 300 especimenes de 'malware' cada día, por lo que ninguna compañía puede garantizar el conseguir las muestras de 'malware' para poder proteger a sus usuarios a tiempo. Es en este contexto en el que son necesarias tecnologías que se anticipen a la aparición de 'malware' y puedan bloquearlo antes de que éste infecte al usuario. En Panda, llevamos años trabajando desde esta perspectiva y actualmente todas nuestras soluciones incorporan tecnologías que son capaces de reconocer 'malware' sin tener que conocerlo previamente.

¿Cuál es el procedimiento de actuación?

Este conjunto de tecnologías tienen varias vertientes para lograr su objetivo. Primero un análisis del comportamiento, donde partimos del siguiente supuesto: todos los ficheros en los que no son detectados comportamientos extraños son buenos hasta que se demuestre lo contrario. Lo que hacemos es 'vigilar' el comportamiento de los mismos, y en base a él podemos determinar si puede ser 'malware'. Imaginemos un fichero que cuando lo ejecutas se copia a sí mismo e intenta enviarse a todos los contactos de la libreta de direcciones de correo. Esta tecnología se dará cuenta y lo parará, todo ello sin conocerlo previamente. El segundo paso es un análisis heurístico genético: llevamos 16 años detectando 'malware', por lo que lo conocemos a la perfección. Conociendo los ya existentes podemos saber aproximadamente cómo serán los próximos 'malware'. Sería como una especie de 'retrato robot' de posibles nuevas amenazas.

En materia de software de protección, ¿qué porcentaje se basa en la prevención de entradas sospechosas y cuál en la elaboración de programas que neutralicen a un determinado desarrollo malicioso?

La prevención de entradas sospechosas es crítica. Para que te puedas hacer una idea, el 90% de todo el 'malware' que recibimos en PandaLabs de usuarios son muestras que nuestras tecnologías han bloqueado proactivamente.

¿Los virus están íntimamente ligados al concepto de computadoras en red, o bien pueden actuar de manera nociva aislados del entorno?

"Conociendo los virus ya existentes, podemos saber aproximadamente cómo serán los próximos"

Los virus existen desde hace años, cuando el concepto de computadoras en red apenas era eso, un concepto. Es por ello que para llevar a cabo sus acciones no necesitan necesariamente estar en red. Eso sí, cuando intentan propagarse de forma masiva hacen uso de la red para infectar el mayor número de computadoras.

¿Es cierto que los sistemas operativos Linux y Mac OS X están mejor diseñados para defenderse de los virus, o simplemente no tienen los ataques que tiene Windows porque están comparativamente muy poco extendidos?

Esto no es así, los sistemas operativos no están diseñados para defenderse de los virus. De hecho, existen virus para ambas plataformas e incluso para otras menos utilizadas. Lo que sucede es que el 'malware' tiene su fin, bien sea propagarse, bien sea robar datos de los usuarios. Llegados a este punto, los creadores de virus centran sus esfuerzos en Windows, que tiene una cuota de mercado cercana al 90% en entornos de usuario.

¿Es Windows un sistema tan vulnerable a los ataques como se dice? ¿Existe una cierta leyenda urbana en torno a eso?

"Los creadores de virus centran sus esfuerzos en Windows, que tiene una cuota de mercado cercana al 90% en entornos de usuario"

Todos los sistemas operativos son vulnerables y tienen fallos de seguridad; sí podríamos decir que es en cierta forma una leyenda urbana. Windows tiene tantos agujeros de seguridad como puede tener Linux o cualquier otro sistema operativo. Aquí lo que sucede es claro, el 'hacker' va a realizar la siguiente autorreflexión:
“¿Para qué explotar un agujero de seguridad que le afecta al 3% de los usuarios pudiéndome centrar en otro que le afecta al 90%?”.

¿Cuál podría ser el perfil de una persona que crea un virus, si es que se puede definir el mismo? ¿Cuál es su objetivo y su motivación?

Ahora mismo es relativamente sencillo de definir, ya que la motivación principal es el dinero: llevan a cabo ataques de espionaje industrial entre empresas, roban datos de la identidad del usuario, emplean el chantaje, etcétera. Al igual que comparábamos lo que es un virus informático con uno biológico, los delincuentes son muy parecidos, llevando a cabo delitos similares a los del mundo real pero de una forma mucho más impune en ocasiones debido a la dificultad que existe para dar con ellos.

¿Han aprendido los creadores de virus a lo largo de estos años significativamente?

Me refiero a si cada vez los virus son más sofisticados y cuesta más combatirlos, o en esencia siguen teniendo los mismos modos elementales.
Los creadores de virus se han ido adaptando al mundo en el que están, de tal forma que los primeros virus no usaban Internet y ahora lo tienen en cuenta para así poder infectar a más gente. Por otro lado, siempre van cambiando para intentar que los productos que los detectan y eliminan no sean capaces de hacerlo. Además, desde que existe una motivación económica por detrás, se nota que disponen de más medios para elaborar sus ataques y que en ocasiones son muy sofisticados.

¿Cuáles serían los límites teóricos de sofisticación que un virus no podría superar?

"Puede no estar muy lejos el día en que aparezca un virus que tenga desagradables efectos secundarios, como hacer un pedido de una tonelada de detergente, apagar las luces de la casa..."
Los límites los pone el entorno donde se ejecuta el virus. Si un sistema es capaz de enviar mensajes o mostrar pantallas, el virus siempre podrá hacerlo, pero nunca podrá sobrepasar ciertos límites, si bien es cierto que muchas veces no somos conscientes de cómo de introducida está en nuestras vidas la tecnología. Cada vez hablamos más de domótica, de frigoríficos con conexión a Internet, y puede no estar muy lejos el día en que aparezca un virus que tenga desagradables efectos secundarios, como hacer un pedido de una tonelada de detergente, apagar las luces de la casa...

Existe una cierta corriente de sospecha entre los usuarios de que al final los intereses de los creadores de virus y los de las compañías que los combaten se tocan. Como 'fundamento' se alega con frecuencia que los virus aparecen cuando un cierto aparato o tecnología se pone de moda y se extiende, de modo que resulta rentable ofrecer un sistema que los combata.

¿Cómo se puede rebatir este prejuicio?

Es una leyenda urbana con la que siempre hemos convivido. Son muchos años oyéndola y sufriéndola. ¡Qué se le va a hacer! Por supuesto, es radicalmente falsa. Aparte de que sería éticamente deplorable, ya hay suficiente gente malvada en el mundo como para que nosotros mismos nos juguemos la reputación.
Si hay veces que no damos abasto con lo que llega a PandaLabs, ¿cómo vamos a crear nosotros mismos el 'malware'? Es una locura pensar así.
A veces los programas antivirus hacen que el ordenador resulte muy pesado de manejar una vez que han sido instalados en el escritorio. ¿Por qué?
¿Consumen muchos recursos del procesador? ¿Los usuarios se exceden en los niveles de seguridad que le asignan a sus programas?

"Un antivirus únicamente consume recursos cuando está en marcha, es decir, únicamente cuando tiene que analizar ficheros"
Más que el consumo de recursos de un producto, es la impresión de que se consumen recursos y se va lento. No cabe duda de que un antivirus es un proceso más ejecutándose en un sistema, y eso tiene que ocupar memoria, disco, etcétera. Pero aunque no lo parezca, un antivirus únicamente consume recursos cuando está en marcha, es decir, únicamente cuando tiene que analizar ficheros. El resto del tiempo está en espera, sin hacer nada. De todos modos, el consumo de recursos es muy distinto en función del producto. Diferentes tests han mostrado que puede darse una ralentización que oscila entre el 5% de nuestros productos hasta el 21% de otros. Efectivamente, se consumen recursos, pero creo que un 5% de rendimiento a cambio del nivel de seguridad se puede asumir fácilmente.

¿Existe algún modo de ponderar la relación entre el nivel de software de seguridad que se deba instalar en un ordenador y los usos que éste vaya a tener (es decir, que si no se piensa navegar apenas por Internet no es necesario tener grandes precauciones...), o también entran en juego otros factores como los datos a proteger, por ejemplo?

La respuesta no es fácil, desde luego. Un ordenador completamente aislado no tiene ningún riesgo de poder ser infectado por un virus, pero el mero hecho de conectarlo a una red ya supone un riesgo elevadísimo. Una anécdota: en la EuskalParty que se celebró en Bilbao en el verano pasado, un ordenador conectado a la Red tardó 13 segundos en resultar infectado por varios virus. Que se navegue poco o mucho, que se reciba ocasionalmente correo o se mande mucho no es un baremo para establecer más o menos protección. En cuanto el usuario se conecte a Internet o introduzca cualquier tipo de información (un CD, una memoria USB, etcétera) ya se debe proteger, independientemente de si es poco o mucho lo que se conecta. La información que se almacena también es un factor determinante, pero lo es más la conexión a Internet. Y si esa información es de tipo personal, es la ley la que obliga a utilizar sistemas de seguridad que eviten el acceso a la información. Y un troyano, por ejemplo, es lo que va a hacer: acceder a la información, o por lo menos dejar la puerta abierta para que otros accedan. Un ordenador con información personal sin protección antivirus puede llegar a ser causa de una multa muy elevada.

A medida que pasa el tiempo, ¿desaparecen los modelos antiguos de virus, o persisten en la Red y pueden acabar infectando a cualquier usuario?

"En la EuskalParty del verano pasado un ordenador conectado a la Red tardó 13 segundos en resultar infectado"

La mayoría de virus antiguos realmente han desaparecido y no están en circulación, aunque hay algunos que curiosamente han aumentado su presencia gracias a Internet. Ello es debido a que otros códigos maliciosos, como gusanos, van infectando equipos por todo el mundo y a su vez se infectan con un virus, con lo que cada vez que infectan a un usuario lo hacen por partida doble.

¿Se llegará algún día a la inmunidad total frente a los virus o habrá que convivir con este fenómeno?

La inmunidad total frente a los virus sería como la inmunidad total contra la delincuencia en el mundo real. Si hablamos de 'total' con mayúsculas estamos considerando una utopía. Si bien es cierto que si se toman las medidas adecuadas podemos tener cierta tranquilidad nunca se puede garantizar en un 100%.

¿Es posible crear un programa que detecte los ataques realizados mediante ingeniería social ('phishing', 'pharming' y otras modalidades...)?

"Últimamente estamos viendo un cambio de tendencia, de tal forma que aunque el 'phishing' se mantiene, los' hackers' tienden a infectar a los usuarios con troyanos"

Hay diferentes técnicas que pueden hacer frente a los ataques de ingeniería social, aunque nunca se puede garantizar una efectividad total. Realmente muchos de los 'hackers' utilizan ataques de este tipo para poder infectar a los usuarios con troyanos u otros. Últimamente estamos viendo un cambio de tendencia, de tal forma que aunque el 'phishing' se mantiene, los' hackers' tienden a infectar a los usuarios con troyanos preparados específicamente para robar datos bancarios, y este tipo de ataques está creciendo de forma alarmante. Esto es debido a que para que los usuarios caigan en un 'phishing', hay que engañarlos, mientras que si les instalas un troyano ellos nunca van a desconfiar porque van a visitar la página real de su banco sin saber que están siendo espiados, y todos los datos que introduzcan serán robados sin que puedan darse cuenta hasta que sea demasiado tarde.

"Realmente, pese a que el término virus es el más utilizado y conocido entre los usuarios, en muchas ocasiones se usa de forma incorrecta"

Articulo escrito por Luís Corrons, director de PandaLabs, el Laboratorio de Software de Panda.
Julio de 2006

oooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooo

No comments: