{"id":16706,"date":"2018-08-13T15:05:35","date_gmt":"2018-08-13T13:05:35","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=16706"},"modified":"2019-11-22T11:01:57","modified_gmt":"2019-11-22T09:01:57","slug":"behavioral-model","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/behavioral-model\/16706\/","title":{"rendered":"La iMuerte de eVoldemort"},"content":{"rendered":"

Los cuentos de hadas y las historias fant\u00e1sticas han contribuido al mito sobre la invencibilidad de los villanos (nosotros llevamos 20 a\u00f1os<\/a> afrontando el mismo mito en el ciberespacio<\/a>). Todo Voldemort depende de la seguridad de su diario, su anillo, su serpiente, su\u2026 bueno, supongo que sab\u00e9is todo lo relacionado con los Horrocruxes. Y el \u00e9xito de tu guerra contra los villanos, sea en un cuento de hadas o en el ciberespacio, depende de dos cualidades importantes: perseverancia e inteligencia (es decir, tecnolog\u00eda). Hoy te contar\u00e9 c\u00f3mo la perseverancia y la inteligencia, as\u00ed como las redes neuronales, el aprendizaje autom\u00e1tico<\/a>, la seguridad en la nube<\/a> y el conocimiento de expertos<\/a> (todo incluido en nuestros productos) te proteger\u00e1n de potenciales ciberamenazas futuras.<\/p>\n

De hecho, ya hemos incluido las tecnolog\u00edas de protecci\u00f3n contra ciberamenazas futuras antes<\/a> (m\u00e1s de una vez<\/a>, muchas m\u00e1s veces<\/a>, hasta nos hemos re\u00eddo<\/a>). Te preguntar\u00e1s por qu\u00e9 estamos tan obsesionados con ellas.<\/p>\n

El motivo es porque estas tecnolog\u00edas son lo que diferencian una protecci\u00f3n robusta de una inteligencia artificial falsa<\/a> y de los productos que usan informaci\u00f3n robada para detectar el malware<\/i><\/a>. \u00bfIdentificar la secuencia del c\u00f3digo mediante una firma conocida despu\u00e9s de que el malware<\/i> se haya colado en el sistema y haya hecho el da\u00f1o que ten\u00eda que hacer? Nadie necesita eso.<\/p>\n

Pocos en la industria son capaces de anticipar la forma de pensar de los cibervillanos, comprender las vulnerabilidades que son de su agrado y poner trampas invisibles para llevar a cabo una detecci\u00f3n. De hecho, muy pocos, seg\u00fan los an\u00e1lisis independientes<\/a>. WannaCry<\/a>, la epidemia m\u00e1s grande de la d\u00e9cada, es un buen ejemplo: gracias a la tecnolog\u00eda de System Watcher<\/a>, nuestros productos han protegido proactivamente a nuestros usuarios contra dichos ciberataques.<\/p>\n

El aspecto clave es este: es imposible tener demasiada protecci\u00f3n contra las ciberamenazas del futuro. No hay ning\u00fan emulador ni sistema de an\u00e1lisis de big data<\/i><\/a> capaz de cubrir todos los posibles vectores de ataque. Las trampas ocultas deber\u00edan cubrir todos los niveles y canales y, en la medida de lo posible, rastrear la actividad de todos los objetos del sistema para asegurarse de que ninguno ser\u00e1 un problema; todo ello, a la vez que hacen un uso m\u00ednimo de los recursos, sin dar ning\u00fan \u201cfalso positivo<\/a>\u201d y siendo 100 % compatibles con otras aplicaciones para evitar pantallazos azules.<\/p>\n

La industria del malware<\/i> tambi\u00e9n sigue su desarrollo. Los cibervillanos conciben sus creaciones para que se oculten en el sistema: cambiando su estructura y comportamiento, ralentizando sus acciones (minimizando as\u00ed el consumo de recursos, despertando seg\u00fan un horario, ocult\u00e1ndose tras penetrar en el ordenador objetivo, etc.) para llegar al fondo del sistema, ocultar su rastro y usar m\u00e9todos \u201climpios\u201d o \u201ccasi limpios\u201d. Pero todo Voldemort tiene sus Horrocruxes, los cuales se pueden destruir para poner fin a su actividad maliciosa. La cuesti\u00f3n es c\u00f3mo encontrarlos.<\/p>\n

Hace unos a\u00f1os, enriquecimos el arsenal de nuestros productos con tecnolog\u00edas proactivas de protecci\u00f3n contra ciberamenazas avanzadas al adoptar una invenci\u00f3n interesante (patente RU2654151<\/a>). Esta emplea un modelo de comportamiento de objetos evolutivos para realizar una identificaci\u00f3n de alta fiabilidad de anomal\u00edas sospechosas en el sistema, una localizaci\u00f3n de fuentes y una supresi\u00f3n incluso de gusanos m\u00e1s \u201cprudentes\u201d.<\/p>\n

\u00bfC\u00f3mo funciona?<\/p>\n

Cuando se activan, los objetos dejan rastros en el ordenador. El uso del disco duro, de la memoria, el acceso a los recursos del sistema, la transferencia de archivos en la red\u2026 de un modo u otro, todo malware<\/i> terminar\u00e1 por manifestarse, hasta el m\u00e1s sofisticado; el rastro no se puede eliminar por completo. Incluso los intentos de limpiar el rastro generan otro rastro.<\/p>\n

\u00bfC\u00f3mo averiguamos qu\u00e9 piezas son de aplicaciones leg\u00edtimas y cu\u00e1les de malware<\/i>? Y todo ello sin utilizar un exceso de potencia de c\u00e1lculo. As\u00ed es c\u00f3mo se hace.<\/p>\n

El producto antivirus recopila la informaci\u00f3n sobre la actividad de las aplicaciones (comandos ejecutados, par\u00e1metros, acceso a recursos cr\u00edticos del sistema, etc.) para crear modelos de comportamiento, detectar anomal\u00edas y calcular el factor de \u201cmaldad\u201d. Pero quiero que comprendas bien el m\u00e9todo empleado para conseguirlo. Recuerda que buscamos rapidez, no solo fiabilidad. Aqu\u00ed es donde las matem\u00e1ticas, o un resumen<\/a> de las mismas, entran en juego.<\/p>\n

El modelo de comportamiento resultante hace un resumen para poder obtener la informaci\u00f3n de comportamiento necesaria y as\u00ed no emplear demasiados recursos. Ni controlando de cerca el rendimiento del ordenador se puede detectar esta tecnolog\u00eda.<\/p>\n

Ejemplo:<\/p>\n

El c\u00e1lculo del factor de maldad depende de cuatro atributos externos:<\/p>\n