Malware

Malware

Que es el Malware y por que debería preocuparme

Laptop displaying a pirate flag / jolly roger on a red screen, possibly indicating malware, hackers or a different computer problem.
Photo by Michael Geiger / Unsplash

Del original Creeper al ingenioso y divertido Reaper, el barrotes, el Brain, Viernes 13, la explosión del michelangelo, son los virus de toda la vida.Molestos, divertidos, insolentes, sorprendentes ¿inocentes? ¿Que es lo que ha ido cambiando?Han ido evolucionando en técnica y funciones, y es tal el número de variantesy metodologías utilizadas que, además de por las necesidades propias del marketing (el término virus de ordenador es ya muy antiguo) se les ha buscado un nuevo nombre más acorde a los tiempos, el malware ese :

Malware - Wikipedia, la enciclopedia libre
Malware

Lo realmente peligroso no es el cambio en su denominación sino el cambio en su propósito, iniciamente se centrabán en un afán molesto o reivindicativo con grandes dósis de ego personal , lo cual los hacía peligrosos pero reconocibles, al final, de manera más o menos oculta e ingeniosa el creador dejaba su firma haciendo reconocible al sujeto en cuestión, pero ahora se han convertido en una herramienta de la delincuencia (ciberdelincuencia) por lo que no prima el ego sino el dinero, y el afán de reconocimiento se ha cambiado por el de ocultamiento, ya no hay firma sino ánimo de lucro, dificultando enormemente su identificación.
Ahora ya no se utiliza para molestar o divertir sino para robar silenciosamente todo aquello que puedan, basicamente información (tus fotos, tus conversaciones, tus datos bancarios, sanitarios, aficiones) y dinero.



Ahora la identificación de este malware no se basa en el análisis del contenido (no hay firmas, no hay patrones) , no es suficiente con scanear los ficheros y buscar algo que no existe en el código binario … sino que es necesario instalarlo y analizar su comportamiento ¿Que hace este programa una vez instalado? ¿A que ficheros accede? ¿Con quien se comunica? ¿Que información adquiere o publica?.
De ahí que las soluciones locales (el antivirus de toda la vida instalado el ordenador) resulte insuficiente, no tiene sentido que un software local se dedique a instalar (¿donde?) cada uno de los archivos que descargamos o nos llegan de Internet y analice su comportamiento, sería un proceso tremendamente lento.Hoy en día es necesario hacer uso de la “inteligencia colectiva” de la red, los fabricantes de antivirus han ido evolucionando a soluciones en la nube (o sea , servidores que ponen a nuestra disposición en Internet), el proceso de detección ahora consiste en que ese fichero que nosotros nos descargamos lo enviamos a un servicio en la nube (servidores potentes) que simulando los distintos sistemas operativos a través de sandboxes evaluan ese comportamiento del software una vez instalado y deciden si el comportamiento es el correcto no, además realizan una función muy importante, que consiste en la creación de una firma a través de un algoritmo de hash sobre el código binario, creando de esta manera esa “inteligencia colectiva”, una vez que se dispone de esa “marca” sobre el software, se distribuye como base de firmas a todos los antivirus locales y la detección es mucho más rápida y se puede realizar en modo local.



De esta manera, los principales fabricantes de antivirus ya disponen de estas infraestructuras en la nube (el cloud) que analizan los millones de ficheros de todos los usuarios de Internet para protegerse ante amenazas aún no detectadas, y tan pronto se detecta una nueva, se “marca” y se distribuye esta firma a todos los componentes que integran esta nube de seguridad.Mcafee, Panda, trendmicro, avast ya todos tienen creada su nube de seguridad, al igual que para infraestructuras más grandes (entorno empresarial) los fabricantes de productos de seguridad han creado sus nubes de seguridad, wildfire de paloalto, asert y atlas de arbor networks, threatcloud de checkpoint, fortiguard de fortinet …
necesitamos la nube.