{"id":23024,"date":"2021-10-06T10:06:52","date_gmt":"2021-10-06T16:06:52","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=23024"},"modified":"2024-11-11T08:34:39","modified_gmt":"2024-11-11T14:34:39","slug":"ransomware-protection-test-2021","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/ransomware-protection-test-2021\/23024\/","title":{"rendered":"Se pone a prueba la eficacia de las soluciones de seguridad contra el ransomware"},"content":{"rendered":"

Pr\u00e1cticamente todo desarrollador de soluciones de seguridad de la informaci\u00f3n afirma que sus productos repelen los ataques de ransomware<\/em>. Y es verdad: todas proporcionan cierto grado de protecci\u00f3n contra el ransomware<\/em>. Pero \u00bfqu\u00e9 tan segura es esa protecci\u00f3n? \u00bfQu\u00e9 tan eficaces son estas tecnolog\u00edas?<\/p>\n

Estas no son preguntas ociosas: la protecci\u00f3n parcial contra el ransomware<\/em> es un logro cuestionable. Si una soluci\u00f3n no puede frenar una amenaza por completo, entonces \u00bfd\u00f3nde est\u00e1 la garant\u00eda de que al menos se mantengan a salvo los archivos cr\u00edticos?<\/p>\n

Dicho esto, la empresa independiente AV-Test puso a prueba 11 productos de plataformas de protecci\u00f3n de endpoints en 113 ataques diferentes para determinar hasta qu\u00e9 punto protegen realmente a los usuarios.\u00a0 AV-Test seleccion\u00f3 para la prueba a Kaspersky Endpoint Security Cloud y el resultado fue impecable.\u00a0 Las pruebas se desarrollaron tres escenarios:<\/p>\n

Protecci\u00f3n de los archivos de los usuarios contra ransomware<\/em> prevalente<\/h2>\n

El primer escenario de prueba simulaba el ataque de ransomware<\/em> m\u00e1s t\u00edpico, aquel en el que la v\u00edctima ejecuta malware<\/em> en su computadora y este intenta llegar a los archivos locales. Un resultado positivo supone que la amenaza ha sido neutralizada (es decir, que se eliminaron todos los archivos de malware<\/em>, se detuvieron los procesos de ejecuci\u00f3n y se frustraron los intentos por tomar el control del sistema) y todos los archivos de usuario han quedado accesibles y sin cifrar. AV-Test llev\u00f3 a cabo un total de 85 pruebas en este escenario con las siguientes 20 familias de ransomware<\/em>: conti, darkside, fonix, limbozar, lockbit, makop, maze, medusa (ako), mountlocker, nefilim, netwalker (tambi\u00e9n conocida como mailto), phobos, PYSA (o mespinoza), Ragnar Locker, ransomexx (o defray777), revil (o Sodinokibi y Sodin), ryuk, snatch, stop y wastedlocker.<\/p>\n

En este escenario, casi todas las soluciones de seguridad tuvieron \u00e9xito, con era de esperarse, ya que se usaron familias de malware<\/em> muy conocidas. Los escenarios que siguieron fueron m\u00e1s dif\u00edciles.<\/p>\n

Protecci\u00f3n contra el cifrado remoto<\/h2>\n

En esta segunda situaci\u00f3n, el equipo protegido almacenaba archivos accesibles en toda la red local y el ataque ven\u00eda de otra computadora conectada a esta misma red (el otro equipo no contaba con una soluci\u00f3n de seguridad, lo que permit\u00eda a los atacantes ejecutar el malware<\/em>, cifrar los archivos locales y buscar informaci\u00f3n accesible en los hosts<\/em> vecinos). Las familias de malware<\/em> fueron: avaddon, conti, fonix, limbozar, lockbit, makop, maze, medusa (ako), nefilim, phobos, Ragnar Locker, Ransomexx (tambi\u00e9n conocido como defray777), revil (tambi\u00e9n conocido como Sodinokibi o Sodin) y ryuk.<\/p>\n

La soluci\u00f3n de seguridad observaba un proceso del sistema manipulando archivos locales pero no pod\u00eda ver la ejecuci\u00f3n del malware<\/em>, por lo que no pudo comprobar la reputaci\u00f3n del proceso malicioso o del archivo que la hab\u00eda iniciado, ni siquiera pudo escanear el archivo. El resultado es que de las 11 soluciones analizadas, solo tres ofrecieron alg\u00fan tipo de protecci\u00f3n contra este tipo de ataque, y solo Kaspersky Endpoint Security Cloud manej\u00f3 la situaci\u00f3n a la perfecci\u00f3n. Es m\u00e1s, si bien el producto Sophos se activ\u00f3 en 93 % de los casos, solo brind\u00f3 protecci\u00f3n completa a los archivos en 7 % de los casos.<\/p>\n

Protecci\u00f3n contra ransomware<\/em> de prueba de concepto<\/h2>\n

El tercer escenario muestra c\u00f3mo los productos se enfrentan a malware<\/em> que no hab\u00edan visto antes y que no podr\u00eda, ni siquiera hipot\u00e9ticamente, estar presente en las bases de datos de malware<\/em>. Dado que los mecanismos de seguridad pueden identificar una amenaza a\u00fan desconocida simplemente por medio de las tecnolog\u00edas proactivas que reaccionan al comportamiento del malware<\/em>, los investigadores crearon 14 muestras de ransomware<\/em> nuevas con m\u00e9todos y tecnolog\u00edas que los cibercriminales casi no usan, adem\u00e1s de unas t\u00e9cnicas de cifrado nunca antes vistas. Al igual que con el primer escenario, determinaron el \u00e9xito en la prueba en funci\u00f3n de la detecci\u00f3n y el bloqueo, lo que incluye tambi\u00e9n mantener de la integridad de todos los archivos en el equipo de la v\u00edctima y eliminar por completo todo rastro de amenaza de la computadora.<\/p>\n

Los resultados fueron muy dispares, con algunos (ESET y Webroot) incapaces de detectar este malware<\/em> hecho a la medida y otros con mejor desempe\u00f1o (WatchGuard 86 %, TrendMicro 64 %, McAfee y Microsoft 50 %). La \u00fanica soluci\u00f3n que demostr\u00f3 el 100 % del rendimiento fue Kaspersky Endpoint Security Cloud.<\/p>\n

Resultados de las pruebas<\/h2>\n

Como resumen, Kaspersky Endpoint Security Cloud super\u00f3 a la competencia en todos los escenarios de prueba de AV-Test, protegiendo a los usuarios contra las amenazas, tanto las conocidas y en activo como las reci\u00e9n creadas.<\/p>\n

\"Resultados

Resultados globales de los tres escenarios de prueba<\/p><\/div>\n

Por cierto, el segundo escenario revel\u00f3 otro hecho inesperado:\u00a0 la mayor\u00eda de los productos que no protegieron los archivos de los usuarios s\u00ed consiguieron eliminar los archivos de las notas de rescate. Pero, incluso aunque no tuvi\u00e9ramos en cuenta el fallo, no ser\u00eda una buena pr\u00e1ctica, ya que estos archivos podr\u00edan contener informaci\u00f3n t\u00e9cnica que podr\u00eda ayudar a los investigadores del incidente a recuperar los datos.<\/p>\n

Si quieres descargar el informe completo, el cual incluye una descripci\u00f3n detallada del malware<\/em> de prueba (tanto conocido como el creado por AV-Test), llena este formato.<\/p>\n