{"id":14613,"date":"2019-05-29T08:10:07","date_gmt":"2019-05-29T14:10:07","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=14613"},"modified":"2019-11-22T02:48:35","modified_gmt":"2019-11-22T08:48:35","slug":"emulator-technology","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/emulator-technology\/14613\/","title":{"rendered":"Nuestra nueva tecnolog\u00eda de emulador: la peor pesadilla del malware m\u00e1s escurridizo"},"content":{"rendered":"

\u00bfAlguna vez te has preguntado por qu\u00e9 los virus de computadora reciben dicho nombre? Bueno, de hecho actualmente la palabra \u201cvirus\u201d se usa de un modo un tanto impreciso para referirse a casi \u201ccualquier tipo de programa malicioso, o se usa para describir al da\u00f1o que un programa provoque a una computadora\u201d. Por cierto, tom\u00e9 esta definici\u00f3n de nuestra enciclopedia<\/a>.<\/p>\n

Sin embargo, (y todav\u00eda cito nuestra enciclopedia), \u201cen rigor\u2026 un virus se define como un c\u00f3digo de programaci\u00f3n que se replica<\/strong><\/em>\u201d y se disemina, del mismo modo que un virus biol\u00f3gico; por ejemplo, el de la gripe.<\/p>\n

Lo curioso es que los virus, como tales, desaparecieron hace varios a\u00f1os. Actualmente, se trata de programas maliciosos que no se replican sino que tienen un funcionamiento sumamente desagradable que puede robar datos de una computadora o borrarlos totalmente: por ejemplo, un troyano. Pero, a la fecha, si le pides a quien sea que exprese en im\u00e1genes las \u201ctecnolog\u00edas de seguridad inform\u00e1tica\u201d, \u00e9stas con frecuencia mostrar\u00e1n cosas como cient\u00edficos en batas de laboratorio<\/span>\u00a0trajes NBQ<\/a> llevando a cabo clausuras de cuarentena y tubos de ensayo en mano, pese a que esos solamente se necesitan cuando se enfrentan a pat\u00f3genos virales.<\/p>\n

Ya debe estar claro: los virus inform\u00e1ticos se han extinto. Pero los m\u00e9todos de an\u00e1lisis que se usaban para su detecci\u00f3n y desinfecci\u00f3n (\u00a1caray, otra falsa analog\u00eda con el mundo de la microbiolog\u00eda!)<\/em> se han conservado, se siguen desarrollando y a la fecha prestan una enorme ayuda en la lucha contra los virus<\/span> el malware<\/em> actual. Una de dichas tecnolog\u00eda de la vieja guardia es el emulador<\/a>.<\/p>\n

<\/strong><\/p>\n

De modo sucinto, la emulaci\u00f3n es un m\u00e9todo para descubrir amenazas anteriormente desconocidas, por medio del cual se ejecuta un archivo de comportamiento sospechoso en un entorno virtual (entorno \u201csimulado\u201d) que imita a una computadora real. Una vez all\u00ed, el antivirus* observa el comportamiento del archivo (ya sobre la marcha; m\u00e1s adelante detallaremos esto) y, si halla actividad peligrosa, lo a\u00edsla para su investigaci\u00f3n adicional.<\/p>\n

\u00bfPuedes ver la analog\u00eda con la virolog\u00eda? \u00bfCu\u00e1l es el objeto de inyectarle a un paciente que tal vez presente<\/em> cierta enfermedad un potente ant\u00eddoto con varios efectos adversos, si puede que el paciente no tenga nada? Lo mejor ser\u00eda emularlo primero in vitro<\/em> y observar lo que pasa, y entonces<\/em> administrar el medicamento adecuado.<\/p>\n

El reto principal, sin embargo, es el mismo que en la microbiolog\u00eda: es vital que el entorno emulado se parezca lo m\u00e1s posible a uno real. De otro modo, los archivos maliciosos pueden distinguir que se trata de una trampa y entonces act\u00faen de modo inofensivo. Pues bien, despu\u00e9s de varios a\u00f1os<\/span> varias d\u00e9cadas haciendo emulaciones, podemos decir, sin falsa modestia, que en verdad superamos a la competencia. \u00a1Lo tenemos bajo control!<\/p>\n

El primer emulador del mundo lo desarroll\u00f3 este humilde servidor<\/em> all\u00e1 en 1992, en la \u00e9poca de DOS. De inmediato, los expertos de todo el mundo empezaron a emitir cr\u00edticas favorables sobre la tasa de detecci\u00f3n de nuestro antivirus (en ese entonces, todav\u00eda era un \u201cantivirus\u201d), el cual destroz\u00f3 a la competencia en pruebas independientes, en parte gracias a su emulador.<\/p>\n

Los a\u00f1os pasaron y el panorama de amenazas comenz\u00f3 a hacerse complejo: por lo general, los virus abandonaron la escena, dejando su lugar a los gusanos inform\u00e1ticos, los troyanos y otras amenazas sofisticadas. Mientras tanto, tambi\u00e9n se diversific\u00f3 la variedad de tecnolog\u00edas inform\u00e1ticas\/m\u00f3viles\/de IdC y dem\u00e1s, lo mismo que nuestra habilidad con los emuladores, la cual adaptamos a nuestra nube de seguridad KSN<\/a>, le ense\u00f1amos nuevos lenguajes de programaci\u00f3n, le hicimos conocer nuevos navegadores y otros objetos<\/a> del sistema operativo. Todo esto con el fin de ayudarnos a detectar autom\u00e1ticamente tipos de malware<\/em> in\u00e9ditos. As\u00ed que nada de habladur\u00edas<\/a> sobre la IA<\/a>, solamente montones de trabajo duro e inteligente, que es lo que se necesita para idear innovaciones reales de HuMachine<\/a>.<\/p>\n

\u00a0<\/p>\n

\"Qu\u00e9<\/strong><\/p>\n

Actualmente, pocos competidores pueden jactarse de tener dicha tecnolog\u00eda, y con raz\u00f3n: la emulaci\u00f3n es una tarea muy dif\u00edcil que requiere varios a\u00f1os de pericia, integraci\u00f3n laboriosa en los productos \u201cpara el frente de batalla\u201d y desarrollo constante. Sin embargo, mucho principiantes en la industria de la ciberseguridad prefieren invertir en el marketing sin sentido<\/a>. A corto plazo, esta estrategia puede brindar un impulso significativo al desarrollo empresarial, pero no puedes enga\u00f1ar al usuario por mucho tiempo. Al final, ocurrir\u00e1 un error colosal y eso ser\u00e1 todo: la noticia ir\u00e1 directo a las portadas. Dicho de otro modo, si una empresa de ciberseguridad posee su propio emulador, sabes que los niveles de pericia y madurez del desarrollador son impresionantes. Y por el contrario: si no tiene emulador, esto equivale a poca pericia, una experiencia pobre y no durar\u00e1 mucho.<\/p>\n

Pero estoy desvi\u00e1ndome del tema.<\/p>\n

Si bien siempre estamos mejorado nuestro emulador, del otro lado de las barricadas los cibercriminales no se han quedado cruzados de brazos, pues han estado protegiendo activamente sus asuntos y sus operaciones de ciberespionaje, lo cual incluye tambi\u00e9n las tentativas de protecci\u00f3n frente a nuestro emulador.<\/p>\n

Los autores de amenazas m\u00e1s sofisticadas emplean una variedad de estratagemas antiemulaci\u00f3n para reconocer los entornos de \u201cprueba\u201d; por ejemplo, lanzan una funci\u00f3n no documentada, verifican la autenticidad de las solicitudes para modificar los registros del procesador, analizan los c\u00f3digos de error, buscan c\u00f3digos espec\u00edficos en la memoria, usan \u201cbombas l\u00f3gicas\u201d que ponen al emulador en un bucle infinito, entre otras. Si el malware<\/em> detecta algo sospechoso, detiene las funciones maliciosas en seco y se comporta como si no matara ni una mosca.<\/p>\n

Pero la cosa es que estamos bien al tanto de estas t\u00e1cticas y les llevamos la delantera, pues siempre estamos afinando nuestro emulador frente a estas estratagemas y mejor\u00e1ndolo en otros aspectos (principalmente, reduciendo la intensidad de los recursos). Por ejemplo, para acelerarlo, usamos diferentes limitadores, optimizadores y perfiles de configuraci\u00f3n, lo cual puede incluso deshabilitar por completo el emulador en ciertas condiciones, cuando el retraso es tan severo como un BSoD<\/a> (error de detenci\u00f3n o pantallazo azul).<\/p>\n

Mientras, el otro d\u00eda nuestros guerreros de patentes<\/a> nos trajeron buenas noticias desde el frente de la emulaci\u00f3n: \u00a1obtuvimos la patente (US10275597<\/a>) para un emulador de c\u00f3digo de programa que pueden interpretar objetos desconocidos! Hasta donde s\u00e9, ning\u00fan producto de la competencia cuenta con dicha caracter\u00edstica: para protegerse de las estratagemas del malware<\/em> antiemulador, la competencia tiene que retrabajar su emulador por completo<\/em>, lo cual, naturalmente, es un proceso tardado. Nosotros, por el contrario, \u00a1le hemos ense\u00f1ado al emulador a actualizarse sobre la marcha a partir de una base de datos local! As\u00ed que, en efecto, es una caracter\u00edstica muy \u00fatil, y no hay raz\u00f3n para no hablarte de ella, porque el conocimiento sobre c\u00f3mo te protegemos es poder.<\/p>\n

Ahora bien, algunos archivos no se distribuyen en c\u00f3digo m\u00e1quina<\/em>, sino directamente en c\u00f3digo fuente. Para ejecutarlos en una computadora, se requiere un int\u00e9rprete (por ejemplo, Java Script o VBA), el cual traduce en tiempo real este c\u00f3digo a un lenguaje accesible para la m\u00e1quina. Y con frecuencia, como seguro adivinaste, el malware<\/em> habita tambi\u00e9n en dichos archivos.<\/p>\n

Con el fin de detectar las amenazas desconocidas de este tipo, hace muchos a\u00f1os dise\u00f1amos un emulador de c\u00f3digo de programaci\u00f3n que verifica los archivos en un \u201ctubo de ensayo\u201d antes de ejecutarlos. Sin embargo, emular un int\u00e9rprete en su totalidad exige much\u00edsimos recursos: el retraso en el procesamiento de p\u00e1ginas web con scripts<\/em> deja a varios usuarios de internet frustrados. Por lo tanto, los emuladores normalmente recrean una versi\u00f3n vulnerable del espacio virtual, lo cual es aceptable tanto en t\u00e9rminos de funcionamiento como de calidad de protecci\u00f3n. Pero \u00bfqu\u00e9 pasa cuando el emulador se encuentra con un objeto, m\u00e9todo o funci\u00f3n en el c\u00f3digo desconocidos, cuya interpretaci\u00f3n es absolutamente crucial para ejecutar el an\u00e1lisis total del archivo?<\/p>\n

Resolvimos este problema de otro modo: con la ayuda de un peque\u00f1o int\u00e9rprete \u201cinteligente\u201d capaz de aprender r\u00e1pidamente c\u00f3mo emular dichos objetos. Durante una actualizaci\u00f3n por medio de la nube de KSN, el producto recibe c\u00f3digo auxiliar en el lenguaje del objeto sometido a an\u00e1lisis (JavaScript, VBA, VB Script, AutoIt\u2026) y, una vez armado con el nuevo conocimiento, regresa a revisar el archivo. En caso complicados, cuando a\u00fan se tiene que conseguir el c\u00f3digo auxiliar, la tarea se transmite autom\u00e1ticamente a nuestros analistas, quienes desarrollan el c\u00f3digo y los a\u00f1aden r\u00e1pidamente a la base de datos.<\/p>\n

Como resultado, los usuarios tienen a su disposici\u00f3n no solamente una tecnolog\u00eda fuerte sino muy r\u00e1pida que es capaz de responder con prontitud a las ciberamenazas, sin esperar al relanzamiento del emulador entero. \u00a1Loter\u00eda!<\/em><\/p>\n

\u00a0<\/em><\/p>\n

* \u201cAntivirus\u201d es otro arca\u00edsmo de la era de los virus inform\u00e1ticos. Los antivirus modernos protegen no solamente de virus sino de todo tipo de malware<\/em>. Tambi\u00e9n presentan varios otras funciones de seguridad \u00fatiles: por ejemplo, un gestor de contrase\u00f1as<\/a>, VPN<\/a>, control parental<\/a>, respaldo<\/a>, y muchos otros. As\u00ed que, para ser precisos, un buen antivirus actual debe llamarse \u201canti-esto, lo otro y lo dem\u00e1s, <\/em>que me protege a m\u00ed, mi familia y nuestros dispositivos, as\u00ed como nuestros datos<\/a><\/em>; y que viene totalmente equipado!\u201d <\/em>Mmm\u2026nada f\u00e1cil de pronunciar, \u00bfverdad?<\/p>\n","protected":false},"excerpt":{"rendered":"

El emulador en los productos de Kaspersky Lab: qu\u00e9 es y por qu\u00e9 es importante que los antivirus tengan uno<\/p>\n","protected":false},"author":13,"featured_media":14614,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[9,2738],"tags":[3727,3064,2018,101,483,2635,629,2056],"class_list":{"0":"post-14613","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-products","8":"category-technology","9":"tag-emulador","10":"tag-humachine","11":"tag-ia","12":"tag-kaspersky-lab","13":"tag-ksn","14":"tag-patentes","15":"tag-productos","16":"tag-tecnologias"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/emulator-technology\/14613\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/emulator-technology\/15815\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/emulator-technology\/13342\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/emulator-technology\/17725\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/emulator-technology\/15870\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/emulator-technology\/18520\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/emulator-technology\/17362\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/emulator-technology\/22750\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/emulator-technology\/27070\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/emulator-technology\/11775\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/emulator-technology\/10783\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/emulator-technology\/19327\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/emulator-technology\/23324\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/emulator-technology\/18402\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/emulator-technology\/22650\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/emulator-technology\/22600\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/productos\/","name":"productos"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/14613","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/13"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=14613"}],"version-history":[{"count":10,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/14613\/revisions"}],"predecessor-version":[{"id":15833,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/14613\/revisions\/15833"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/14614"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=14613"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=14613"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=14613"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}