En el mundo actual, el software antivirus es un aspecto fundamental de la seguridad de endpoints (es decir, equipos y servidores que abarcan desde usuarios individuales hasta grandes organizaciones). El software antivirus brinda una defensa clave contra las ciberamenazas, pero no es infalible. Existen varias técnicas que los ciberdelincuentes usan para evadir antivirus mediante malware.
¿Cómo funcionan los antivirus?
El objetivo del software antivirus es determinar si un archivo es malicioso, y debe hacerlo con rapidez para evitar que afecte la experiencia del usuario. Dos métodos que se utilizan mucho en soluciones antivirus para buscar software malicioso son los análisis heurísticos y los basados en firmas:
- El análisis heurístico examina la función de un archivo, y usa algoritmos y patrones para determinar si el software es sospechoso o no.
- El análisis basado en firmas examina la forma de un archivo, y busca cadenas y patrones que coincidan con muestras de malware conocidas.
Quienes crean malware pueden optar por interactuar de dos formas con el antivirus: una es en el disco y la otra en la memoria. Un ejemplo típico de interacción en el disco sería mediante un simple archivo ejecutable. El antivirus tiene más tiempo para analizar un archivo en el disco. Si se carga en la memoria, el antivirus tiene menos tiempo para interactuar y, por lo general, es más probable que el malware se ejecute sin problemas.
Limitaciones del antivirus
Si bien se recomienda el uso de software antivirus para mantener los sistemas protegidos, lo cierto es que no evita que los dispositivos sean vulnerables a hackers. Un programa antivirus típico usa una base de datos de firmas de malware que contiene malware que se había identificado con anterioridad. Cada vez que se descubre una nueva muestra de malware, se crea una firma digital para este y se agrega a la base de datos. Esto significa que existe un período de vulnerabilidad entre la circulación de un malware nuevo y la actualización de las bases de datos de programas antivirus. Durante ese período, el malware puede provocar estragos. Por lo tanto, si bien los programas antivirus ofrecen una capa de seguridad adicional, no reducen las amenazas por completo.
Además, la cantidad de lenguajes independientes del sistema operativo que pueden usarse para escribir malware es cada vez mayor, lo que significa que un solo programa de malware tiene el potencial de afectar a un público más amplio. A medida que las ciberamenazas se vuelven más sofisticadas, los programas antivirus deben evolucionar para mantenerse al día. Debido a que los hackers perfeccionan todo el tiempo sus técnicas para evadir programas antivirus y que el panorama actual de la seguridad es muy complejo, esto representa un gran desafío.
Técnicas de evasión de antivirus
Para lograr sus objetivos, los ciberdelincuentes desarrollan una serie de técnicas de evasión. Entre estas, se incluyen las siguientes:
Empaquetado y cifrado de código
La mayoría de los gusanos y programas troyanos están empaquetados y cifrados. Los hackers también diseñan utilidades especiales de empaquetado y cifrado. Se descubrió que todos los archivos de Internet procesados mediante CryptExe, Exeref, PolyCrypt y algunas otras herramientas son maliciosos. A fin de detectar gusanos y programas troyanos empaquetados y cifrados, el antivirus debe agregar nuevos métodos de empaquetamiento y descodificación, o bien agregar nuevas firmas por cada muestra de un programa malicioso.
Mutación de código
Los cibercriminales tratan de disfrazar su software malicioso combinando el código de un virus troyano con las instrucciones de spam (para que el código tenga una apariencia diferente, a pesar de que el programa troyano conserva su funcionalidad original). Algunas veces la mutación de código ocurre en tiempo real; en todas, o casi todas las ocasiones, en que el programa troyano se descarga desde un sitio web infectado. El gusano por correo Warezov usó esta técnica y provocó graves problemas a los usuarios.
Técnicas sigilosas
Las tecnologías de rootkit (que suelen emplear los programas troyanos) son capaces de interceptar y sustituir funciones del sistema a fin de hacer invisible el archivo infectado para el sistema operativo y los programas antivirus. A veces incluso las ramas del registro (donde el troyano se registra) y otros archivos de sistema están ocultos.
Bloqueo de programas antivirus y actualizaciones de las bases de datos de antivirus
Muchos programas troyanos y gusanos de red buscan de forma activa programas antivirus en la lista de aplicaciones iniciadas de la computadora de la víctima. Entonces, el malware intentará realizar las siguientes acciones:
- Bloquear el software antivirus
- Hacer daño a las bases de datos de antivirus
- Impedir el funcionamiento correcto de los procesos de actualización del software antivirus
Para derrotar al malware, el programa antivirus tiene que defenderse controlando la integridad de su base de datos y ocultando sus procesos a los programas troyanos.
Enmascaramiento del código en un sitio web
Los proveedores de antivirus detectan con prontitud direcciones de sitios web que contienen archivos de programas troyanos. Luego, sus analistas de virus estudian el contenido de estos sitios y agregan el nuevo malware a sus bases de datos. Sin embargo, en un intento por combatir el análisis del antivirus, una página web puede ser modificada, de manera que, cuando una empresa antivirus envíe solicitudes, se descargue un archivo no troyano en lugar de un troyano.
Ataques masivos
En un ataque masivo, se distribuyen grandes cantidades de nuevas versiones de programas troyanos en Internet en un período breve de tiempo. Como resultado, las empresas de antivirus reciben grandes cantidades de nuevas muestras para sus análisis. El cibercriminal espera que el tiempo dedicado a analizar cada muestra ofrezca a su código malicioso la posibilidad de penetrar en las computadoras de los usuarios.
Amenazas de día cero
El programa antivirus se actualiza con frecuencia, y esto suele ser en respuesta a una amenaza de día cero. Se trata de una técnica de evasión con malware mediante la cual un ciberdelincuente aprovecha una vulnerabilidad en el software o hardware, y entonces lanza el malware antes de que un programa antivirus pueda aplicar el parche.
Malware sin archivos
Este es un método más reciente de ejecutar malware en una máquina que no requiere que se almacene nada en el equipo objetivo. El malware sin archivos funciona en su totalidad en la memoria del equipo, lo que le permite evadir los análisis antivirus. Visitar una página web infectada no envía el malware de inmediato. En su lugar, usa una vulnerabilidad conocida con anterioridad en un programa relacionado para hacer que el equipo descargue el malware en una región de memoria y, desde allí, se ejecuta. El malware sin archivos es muy peligroso porque una vez que el malware hace su trabajo o se reinicia el equipo, la memoria se borra y no hay pruebas de que un delincuente haya instalado malware.
Suplantación de identidad (phishing)
La suplantación de identidad es una de las técnicas más comunes que usan los ciberdelincuentes para robar información. En un ataque de suplantación de identidad, el atacante engaña a las víctimas haciéndose pasar por una fuente conocida o de confianza. Si los usuarios hacen clic en un vínculo malicioso o descargan un archivo infectado, los atacantes pueden acceder a su red y, a continuación, robar información confidencial. Los programas antivirus solo pueden detectar las amenazas conocidas y no son eficaces contra las nuevas variantes.
Ataques basados en navegador
Un software antivirus no tiene acceso a los sistemas operativos, lo que permite que los ataques basados en navegador los evadan. Estos ataques infectan el dispositivo por medio de scripts y códigos maliciosos. A fin de evitar estos ataques, algunos navegadores incluyen herramientas defensivas integradas, pero deben usarse de forma sistemática y correcta para que sean eficaces.
Codificación de la carga útil
Otra técnica mediante la cual el malware evade los análisis antivirus es la codificación de la carga útil. Los ciberdelincuentes suelen usar herramientas para hacerlo de forma manual y cuando el malware se envía y se inicia, se descodifica y hace daño. Esto suele realizarse mediante un pequeño programa de encabezado que se incluye en la parte delantera del virus codificado. Los análisis antivirus no perciben este programa como una amenaza y el virus codificado se ve simplemente como datos. De este modo, cuando el encabezado se inicia (por ejemplo, al integrarse en un archivo ejecutable existente), descodificará el malware en una región de memoria y, a continuación, activará el contador del programa en esa región y ejecutará el malware.
Cómo protegerse de las técnicas de evasión mediante malware
El uso de software antivirus debería ser una parte fundamental de tu estrategia general de ciberseguridad, pero, como se indica en este artículo, las empresas no deberían depender únicamente de este tipo de software para obtener protección cibernética. Para garantizar una seguridad óptima, lo mejor es invertir en un enfoque de ciberseguridad de múltiples capas. Entre otras herramientas que puedes usar para mantener a los ciberdelincuentes fuera de tu red se incluyen las siguientes:
Cifrado de dispositivos
Cifrar los dispositivos garantiza que ninguna persona pueda tener acceso a los datos que contienen sin la contraseña o la clave correctas. Incluso si un dispositivo se roba o se infecta con malware, un cifrado adecuado puede impedir el acceso no autorizado.
Autenticación de varios factores
La autenticación de varios factores (MFA) requiere que los usuarios ingresen más de un dato para poder acceder a las cuentas, como por ejemplo un código de acceso temporal. Esta técnica brinda más seguridad que una simple contraseña. Esto es muy importante si tienes información confidencial o personal en tus dispositivos o cuentas.
Administradores de contraseñas
Las contraseñas son importantes para mantener la seguridad de las cuentas y las redes, pero es fundamental utilizar contraseñas seguras y únicas para cada cuenta. Una contraseña segura contiene al menos 15 caracteres (lo ideal es más de 15) y suele ser una combinación aleatoria de números, símbolos y letras mayúsculas y minúsculas. Con los administradores de contraseñas puedes controlar lo que ocurre, ya que son una bóveda segura para contraseñas únicas y las protegen de los hackers.
Capacitación sobre la importancia de la seguridad
Debido al aumento de la ciberdelincuencia, las empresas deben capacitar a sus empleados acerca de los riesgos asociados a los ciberataques, así como la forma de procesarlos en caso de que se produzcan. Al enseñarles a los usuarios el panorama de las ciberamenazas, podrán reconocer actividades sospechosas, como correos electrónicos de suplantación de identidad (phishing), entre otras.
Detección y respuesta en endpoints
Una solución de detección y respuesta en endpoints (EDR) supervisa el comportamiento de la red y los endpoints, y almacena estos registros. Las tecnologías de EDR pueden brindar al personal de seguridad los datos necesarios para comprender la naturaleza de un ciberataque, lo que permite enviar alertas automatizadas y corregir los endpoints.
Los ciberdelincuentes no suelen usar una sola técnica de evasión de antivirus. Por el contrario, el malware está diseñado para adaptarse a las diferentes situaciones con el fin de maximizar sus posibilidades de obtener los resultados deseados. La buena noticia es que la comunidad de seguridad está alerta, siempre aprende acerca de las nuevas técnicas de malware y evasión de antivirus, y desarrolla nuevas formas de prevención.
Artículos relacionados:
- ¿Qué es la seguridad de los endpoints y cómo funciona?
- Cómo penetra el malware en los sistemas
- Ingeniería social
- Clasificación de malware
- Elección de una solución antivirus
Productos relacionados: