En varios proyectos que he estado donde involucra implementar nuevas computadoras, siempre veo como el personal del área de sistemas, informática o TI tienen cierto temor cuando una computadora no tiene instalado un Antivirus (Esto se aprecia mayormente en empresas medianas y grandes). Recuerdo hace algunos años cuando llegaron equipos nuevos a una empresa, y se tenía que poner en producción para empezar a realizar un trabajo urgente; prendí la computadora y empecé a utilizarla, el personal de sistemas dio un grito al cielo “NOOOO la computadora no tiene Antivirus, no puedes usarla”. Y yo asombrado con esa respuesta les dije ¿por qué?, me indicaron que los virus ingresan solitos a la computadora y que si no hay un Antivirus no se puede trabajar; y que supuestamente esa era la manera correcta, y que estaba poniendo en peligro a toda la organización. Estaba impactado con esa respuesta no podría creer que gente de sistemas pensaba de esa forma, primero pensé que era broma, pero luego me llego un memorándum con una advertencia, e indicando que tenga cuidado con los protocolos de seguridad informática de la empresa. No podía creer que lo que estaba sucediendo, como era posible que una empresa tan grande y que invertía miles de dólares en seguridad informática pensará de esa forma sobre los Virus Informáticos (Malware). Inmediatamente procedí a redactar un documento con mis descargos, en el cual les indicaba que una computadora stand alone(que no tiene comunicación en red) y que no se va a colocar memorias USB o CD, no existen posibilidades de que un Malware pudiera ingresar, y obviamente los Malware no ingresan por arte de magia. Es un principio básico entender cómo se propagan los virus informáticos, actualmente los Malware ingresan principalmente visitando páginas web infectadas (aquí hay que tener mucho cuidado y no ingresar a páginas web de dudosa procedencia), por redes LAN aprovechándose de los recursos compartidos y vulnerabilidades en los equipos (Falta de parches, algunas vulnerabilidades, y hasta 0 day) que permiten que un Malware pueda infectar los equipos. Luego tenemos las unidades USB, en este caso hay que tener un cuenta que los malware utilizan 3 modalidades de infección por este medio: 

1) Utilizan el archivo “Autorun.inf”, pero este archivo de Windows, solo permite infectar los equipos en forma automática hasta Windows Vista, desde Windows 7 hasta Windows 10 no se ve afectado por esta forma de infección; además tener en cuenta que en los casos de Windows XP y Windows Vista existen parches que protegen contra esta “vulnerabilidad”. Entonces podemos afirmar que por esta vía ya existen medidas para prevenir la infección de cierto grupo de virus informáticos. Aquí es importante destacar que si una computadora con Windows 7/8/8.1/10 se infecta supuestamente vía autorun.inf se puede deber a dos factores, el primero es que la computadora está infectada(es lo más usual) y el segundo factor es que el sistema operativo se encuentra inestable o degradado (presenta fallas o problemas); en ese caso se debería realizar una adecuado proceso de troubleshooting para diagnosticar exactamente el problema.

2) Tenemos Malware que utilizan accesos directos con nombres de archivos existentes en el USB(ocultando los archivos originales), y esperan que el mismo usuario los ejecute; de esta manera el Malware trata de engañar al usuario.

3) Ejecutables copiados en forma directa en las unidades USB, esperando que el usuario los ejecute.

En muchas ocasiones he visto como le tienen pánico colocar un USB desconocido o nuevo en una computadora. Es importante volver a mencionar que no existe un peligro real al colocar un USB en sistemas operativos Windows 7/8/8.1/10; los Malware no se activan en forma automática en esas versiones de Windows. Ademas se puede aplicar técnicas de Hardening para blindar muchas vías de infección(incluyendo los USB).

Finalmente tenemos las unidades CD/DVD/Blu-Ray que si en el caso estemos utilizando algunos de estos medios infectados podría infectar un equipo; pero en este caso el comportamiento es muy similar a las unidades USB.  

Recuerdo que cuando ingrese a trabajar a Hacksoft (The Hacker Antivirus), ofrecía a todos mis contactos que compren el Antivirus; en una ocasión un amigo me dijo “En mi computadora es imposible que ingrese un Virus”, y le dije que siempre existe las posibilidades que pueda ingresar un virus (en esa época todavía le decíamos virus a todo tipo de código malicioso), y le mencione que existen varias vías de propagación de los virus:

1. Los Disquettes.- Me indicó que su Disquetera estaba malograda y no leía disquetes.

2. Los CDs.- No tenía lectora de CD.

3. Red.- Me indico que su modem no funcionaba porque le han suspendido su línea telefónica.

En otras palabras no existía forma que un Malware pudiera ingresar. Hoy en día le agregamos las unidades USB, y la conexión por red (Internet y Red LAN); conociendo cómo se comportan los códigos maliciosos tendremos las herramientas para poder prevenir la infección de estas amenazas. Desde que salí de Hacksoft no utilizo un software antivirus en mis computadoras, solo para realizar testing (pruebas) de funcionamiento de estos productos (En un nuevo post estaré contando como es mi experiencia de vivir sin Antivirus).

Algo que también veo muy a menudo es que algunos pierden mucho tiempo analizando cada memoria USB que van a colocar en un computadora. Tener en cuenta que los USB 2.0 aun son los más usados, y la mayoría utilizan memorias entre 8GB y 32GB, y que el tiempo de escaneo de una memoria depende del tamaño de la memoria y la cantidad de archivos que contenga; teniendo esto presente en muchos casos esto demora varios minutos (hasta inclusive horas en el caso de disco duros externos). Y lo peor que genera una falsa sensación de confianza ya que solamente estaría escaneando los malware que se encuentra en la lista del Antivirus, con lo cual dejaría de detectar millones de códigos maliciosos. Teniendo en cuenta que tenemos tiempo muerto (no productivo) analizando unidades extraíbles; además hay que considerar que en las computadoras se encuentra instalado un Antivirus, el cual cuenta con una protección en tiempo real (Vacuna residente en memoria); la cual está protegiendo contra los Malware que detecte el software antivirus.; eso quiere decir que si en el USB tiene algún Malware que es detectado por el Antivirus, entonces estaría protegiendo al equipo; por tanto no habría la necesidad de estar ejecutando(Escaneando) el Antivirus cada vez que se coloca una memoria USB. Además hay que tener en cuenta que se puede bloquear cualquier archivo ejecutable que se quiera ejecutar en forma directa desde una unidad USB.

Es importante tener en presente que no hay tenerle miedo a los malware, lo importante es conocer su modus operandi, saber cómo se comportan dentro de la computadora y dentro de una red informática, sencillamente entenderlos; de esta manera estaríamos preparados para poder enfrentarnos contra estas amenazas. Muchos se preguntaran y como se puede lograr ese objetivo, la única manera es estudiando en centros especializados y que cuenten con personas con vasta experiencia en este tema(Lamentablemente esto también es un problema que se ve a nivel mundial). Es importante recordar que un especialista en seguridad informática no te vuelve especialista en Virus Informáticos, y que una persona que trabaja dando soporte a un antivirus (partners, resellers, mayorista, distribuidor) en más del 99.99% de los casos no conoce a fondo sobre los malware. Una cosa es saber sobre de Antivirus y otra muy distinta es saber sobre Malware.

Ing. Mario Chilo
www.laboratoriovirus.com