Muchas veces hemos escuchado decir “Mi computadora está infectada”; aun a pesar que se cuenta con un Software Antivirus original y actualizado. Pero lo peor es que pensemos que cuando una computadora no presenta síntomas clásicos de Malware significa que está libre de códigos maliciosos; cuando la realidad nos dice que existen millones de códigos maliciosos que están diseñados para actuar en forma sigilosa en la computadora y de esta manera no ser detectado por los programas antivirus. Por tanto una computadora podría estar infectada y no nos daríamos cuenta a menos que realicemos un descarte de Malware de manera profesional (obviamente sin usar un Antivirus). 

Entonces tenemos que una computadora igual puede infectarse aunque se tenga un antivirus. Aquí algunos se preguntaran ¿Qué paso?, ¿Por qué mi computadora está infectada si tengo un antivirus?. Otros empiezan a cuestionarse, si mi Antivirus no detecto este virus (Malware), eso significa que existe la posibilidad que haya otros códigos maliciosos que no estén siendo detectados. Aquí viene la gran pregunta, ¿Qué cantidad de Malware es detectado por los Antivirus? y ¿Qué cantidad de código malicioso no es detectada por los Antivirus?.

Actualmente (Agosto 2016) existen más de 500 millones de muestras de códigos maliciosos que han sido recolectadas por diversas empresas antivirus y empresas independientes en seguridad informática. Se supone que estas muestras deberían ser detectadas por los software antivirus, pero en la mayoría de casos esto no se cumple. Algunos antivirus dicen que pueden llegar a detectar cifras cercanas, pero la mayoría ni siquiera se acerca a esta cifra. Tenemos como principio que a mayor cantidad de códigos maliciosos en la base de datos de un antivirus, significaría que el antivirus obviamente va a demorar más en realizar un análisis. Usualmente los antivirus para evitar problemas de lentitud optan por solo detectar los malware más significativos y que sean de última generación (de los últimos años); dejando de lado a los malware menos representativos y que son más antiguos. Obviamente esto hace que exista una brecha en la seguridad de nuestra información. Nos podríamos cuestionar ¿Qué pasaría si un USB tiene almacenado un malware antiguo y es ejecutado?; entonces muchos de los Antivirus al ya no contar con la firma de ese malware en particular, ya no detectaría esta amenaza y la computadora se infectaría. Lamentablemente es una realidad que cada día aumenta el número de archivos maliciosos que son ignorados por las empresas antivirus. Otro factor importante es que las principales empresas antivirus indican que diariamente se está detectando entre 200,000 y 400,000 muestras de nuevos códigos maliciosos. Entonces nuevamente tenemos que “Esa cifra es solo de los archivos maliciosos que se está detectando diariamente”, pero ¿Cuántos archivos maliciosos no están detectando los antivirus?. Para poder detectar una nueva amenaza es necesario en muchos casos contar con la muestra vírica, y realmente existen muchos archivos que no llegan a la mano de las empresas antivirus. Recordemos que actualmente los Malware están diseñados para no ser detectados, entonces esto dificulta que las empresas antivirus puedan obtener la muestra. Adicionalmente tenemos que no existe personal técnico debidamente capacitado en detección de Malware en las empresas proveedoras (vendedores) de antivirus; ya que también es conocido que en la mayoría de países de Latinoamérica no existen empresas antivirus en forma directa (solo vendedores, partners, proveedores, retail, etc). Y lo peor que las empresas en general no cuentan con personal experto en Detección y Eliminación de Malware, porque obviamente piensan que con el antivirus están protegidos. Por todos estos motivos se dificulta que las empresas antivirus puedan contar con un mayor número de muestras víricas que trabajan en forma sigilosa.

Ahora que conocemos en forma aproximada que cantidad de malware es detectada por la mayoría de Antivirus, debemos de preguntarnos qué cantidad de Malware existe en todo el mundo (Desde que se crearon los primeros virus informáticos). Realmente esa es una respuesta muy difícil de contestar, y casi imposible de saber; ya que solo se conoce de cierta forma solo las muestras maliciosas que son detectadas por los software antivirus.

Tenemos que uno de los portales más significativos para la colección de archivos maliciosos es www.virustotal.com , el cual realiza análisis de archivos sospechosos por más de 50 antivirus en tiempo real. Aquí hay que tener presente que cada vez que se envía una muestra a este portal para ser analizada, en forma automática esa muestra es enviada a todas las empresas antivirus que están en ese portal, dando como resultado miles de miles(cientos de miles) de archivos sospechosos que son enviados diariamente a las empresas antivirus. En este caso hemos realizado varias pruebas y enviado miles de archivos víricos “nuevos” (recién capturados) para que sean analizados (El detalle es que estos mismos malware fueron enviados en reiteradas oportunidades en diferentes fechas). Tenemos que en un primer envió, aproximadamente menos del 15% de los Antivirus detectaban las muestras víricas. En principio eso es normal y está bien; obviamente estamos hablando de archivos víricos “Nuevos”. Cuando se envía un archivo para su análisis, el portal www.virustotal.com envía en forma automática cada una de las muestras a las más de 50 empresas antivirus. Aquí surge el problema; ya que en principio las empresas antivirus se les está enviando la muestra, y se supone que luego de unos días tendrían que ser detectados en su totalidad; pero eso no paso. Luego de una semana procedimos con un segundo envió de los mismos malware, dando como resultado que aproximadamente solo el 45% de los Antivirus detectan estas muestras. Luego dejamos pasar un mes y volvimos a realizar el envió de las muestras víricas y nos dio como resultado que aproximadamente el 75 de los antivirus detectaban las muestras víricas. Luego de 6 meses hicimos un envió mas y el porcentaje de detección llego aproximadamente al 90%. Estos resultados realmente nos dejo muy preocupados, esto nos da a entender que aun a pesar que las empresas antivirus tienen la muestra vírica no analizan la muestra en forma rápida y por tanto no la detectan.

Luego realizamos una prueba con más de 500 archivos maliciosos que estaban propagados en Perú; capturamos estas muestras en diversas cabinas de Internet (“CiberCafes”) en Lima. Pero estas muestras no las enviamos a las empresas antivirus; es decir solo las coleccionamos sin enviarlas. Lo que hicimos primero fue analizar estas muestras en forma directa con mas 20 antivirus. En este primer análisis nos dio como resultado que ningún antivirus pudo detectar la totalidad de estas nuevas amenazas, algunos antivirus a lo mucho llegaron al 10% de detección. Luego de 1 mes el porcentaje de detección llego al 35% y luego de 6 meses el porcentaje de detección llego al 55%. Un punto a parte son los malware que están diseñados para atacar a una PC en forma específica; es decir que solo existe una muestra en todo el mundo atacando a una PC en particular; esta clase de Malware se utilizan para realizar ataques dirigidos a determinadas computadoras; aquí por lo general las empresas antivirus no capturan esta clase de malware.

Estas pruebas nos muestran que los Antivirus demoran demasiado tiempo en detectar una amenaza nueva, y muchos casos no detectan la amenaza; ya que es necesario contar con la muestra vírica (poder capturar la amenaza y enviarla a la empresa antivirus). Entonces tenemos un grupo de malware que no es detectado por los software (obviamente porque no tienen la muestra) y otro grupo de malware que eran detectados pero luego fueron retirados de la base de datos de algunos antivirus; esto nos da que un gran número de malware no están siendo detectados. Entonces procedimos a extra polar y hacer algunos cálculos matemáticos; dando como resultado que existen millones de archivos maliciosos que no son detectados por los Antivirus (Aproximadamente entre 25 a 50 Millones de códigos maliciosos). Estos millones de malware ponen en riesgo la seguridad de nuestra información; por tanto es de vital importancia contar con otras medidas de seguridad como Firewall, Reputación Web, Filtro de Contenido, Antiphishing, aplicando políticas de seguridad y finalmente se recomienda realizar periódicamente un Descarte de Malware en forma manual; para estar seguros que nuestras computadoras están libres de códigos maliciosos. Lamentablemente en Latinoamérica no existen muchas empresas que se dediquen a realizar Descarte de Malware de manera profesional, y solo se dedican a supuestamente realizar un descarte “utilizando un antivirus” o simplemente utilizando análisis básicos de memoria, con lo cual hace que no sea efectivo el proceso de Detección de Software Malicioso. Es por eso que las empresas deben entrenar a su personal de TI en técnicas avanzadas de Detección y Eliminación de Malware para de esta manera cubrir una brecha que existe en la seguridad informática.

Ing. Mario Chilo Quiroz
www.laboratoriovirus.com