{"id":18520,"date":"2019-05-28T17:18:21","date_gmt":"2019-05-28T15:18:21","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=18520"},"modified":"2019-11-22T10:52:40","modified_gmt":"2019-11-22T08:52:40","slug":"emulator-technology","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/emulator-technology\/18520\/","title":{"rendered":"Nuestra nueva tecnolog\u00eda de emulador: la peor pesadilla del malware m\u00e1s escurridizo"},"content":{"rendered":"

\u00bfAlguna vez te has preguntado por qu\u00e9 los virus de los ordenadores se conocen como virus? Bueno, lo cierto es que hoy en d\u00eda la palabra \u201cvirus\u201d se utiliza de un modo un tanto impreciso para referirse a casi \u201ccualquier tipo de programa malicioso o para describir el da\u00f1o que genera un programa en un ordenador\u201d<\/em>. Por cierto, he cogido esta definici\u00f3n de nuestra enciclopedia<\/a>.<\/p>\n

Sin embargo (y sigo citando nuestra enciclopedia), \u201cen el sentido m\u00e1s estricto\u2026 un virus se define como un c\u00f3digo de <\/strong><\/em>programaci\u00f3n <\/em><\/strong>que se reproduce<\/em><\/strong>\u201d y expande del mismo modo que un virus biol\u00f3gico, como, por ejemplo, la gripe.<\/p>\n

Lo curioso es que los virus, como tales, desaparecieron hace varios a\u00f1os. Actualmente, se trata de programas maliciosos que no se reproducen, ya que cuentan con una funci\u00f3n sumamente desagradable que puede robar datos de un ordenador o, incluso, borrar por completo estos datos; un ejemplo: los troyanos. Pero, hasta la fecha, si le pides a alguien que ilustre las \u201ctecnolog\u00edas de seguridad inform\u00e1tica\u201d, lo m\u00e1s habitual es que se imaginen a cient\u00edficos con batas de laboratorio<\/span> trajes NBQ<\/a> poniendo casos en cuarentena y con tubos de ensayo en la mano, aunque, realmente todo esto solo es necesario cuando te enfrentas a virus biol\u00f3gicos.<\/p>\n

Es decir, los virus inform\u00e1ticos se han extinguido. Pero los m\u00e9todos de an\u00e1lisis que se han utilizado para su detecci\u00f3n y desinfecci\u00f3n (\u00a1vaya, otra falsa analog\u00eda con el mundo de la microbiolog\u00eda!)<\/em> contin\u00faan, se siguen desarrollando y, hasta la fecha, prestan una enorme ayuda en la lucha contra los virus<\/span> el malware<\/em> actual. Una de estas tecnolog\u00edas de la vieja escuela es el emulador<\/a>.<\/p>\n

En resumen, la emulaci\u00f3n es un m\u00e9todo para descubrir amenazas anteriormente desconocidas por medio del cual se ejecuta un archivo de comportamiento sospechoso en un entorno virtual (entorno \u201csimulado\u201d) que imita a un ordenador real. Una vez all\u00ed, el antivirus* observa el comportamiento del archivo (ya sobre la marcha; m\u00e1s adelante detallaremos esto) y, si halla actividad peligrosa, lo a\u00edsla para una investigaci\u00f3n adicional.<\/p>\n

\u00bfTe has percatado de la analog\u00eda con la rama de la microbiolog\u00eda? \u00bfPor qu\u00e9 inyectarle a un paciente que tal vez presente<\/em> cierta enfermedad un potente ant\u00eddoto con varios efectos adversos, si es posible que el paciente no tenga nada? Lo mejor ser\u00eda emularlo primero in vitro<\/em> para observar lo que pasa y, entonces,<\/em> administrar el medicamento adecuado.<\/p>\n

Sin embargo, el desaf\u00edo principal es el mismo que en la microbiolog\u00eda: es esencial que el entorno emulado se parezca lo m\u00e1s posible a uno real. Si no, los archivos maliciosos pueden percatarse de que se trata de una trampa y comenzar a actuar de modo inofensivo. Pues bien, despu\u00e9s de varios a\u00f1os<\/span> varias d\u00e9cadas haciendo emulaciones podemos decir, sin falsa modestia, que estamos por encima de la competencia. \u00a1Lo tenemos todo bajo control!<\/p>\n

El primer emulador del mundo lo desarroll\u00e9 yo mismo<\/em> en 1992, en la \u00e9poca de DOS. Pronto, los expertos de todo el mundo empezaron a emitir cr\u00edticas favorables sobre la tasa de detecci\u00f3n de nuestro antivirus (por aquel entonces todav\u00eda era un \u201cantivirus\u201d), que destroz\u00f3 a la competencia en pruebas independientes, en parte gracias a su emulador.<\/p>\n

Los a\u00f1os pasaron y el panorama de amenazas comenz\u00f3 a hacerse cada vez m\u00e1s complejo: por lo general, los virus abandonaron la escena, dejando paso a los gusanos inform\u00e1ticos, los troyanos y otras amenazas sofisticadas. Mientras tanto, las tecnolog\u00edas digitales crecieron en ordenadores, m\u00f3viles, IdC y dem\u00e1s, al igual que nuestra habilidad con los emuladores, que adaptamos a nuestra nube de seguridad KSN<\/a> y le ense\u00f1amos nuevos lenguajes de programaci\u00f3n, le dimos a conocer nuevos navegadores y otros objetos<\/a> del sistema operativo con el objetivo de ayudarnos a detectar autom\u00e1ticamente tipos de malware<\/em> desconocidos. Nada de habladur\u00edas<\/a> sobre la IA<\/a>, solamente mucho trabajo duro e inteligente, que es lo que se necesita para idear innovaciones reales de HuMachine<\/a>.<\/p>\n

\"Qu\u00e9<\/p>\n

Actualmente, pocos competidores cuentan con dicha tecnolog\u00eda y no es de extra\u00f1ar: la emulaci\u00f3n es una tarea muy compleja que requiere a\u00f1os de experiencia, una integraci\u00f3n en productos para \u201cel frente de batalla\u201d que lleva mucho tiempo y un desarrollo constante. Sin embargo, mucho principiantes en la industria de la ciberseguridad prefieren invertir en un marketing sin sentido<\/a>. A corto plazo, esta estrategia puede brindar un gran impulso al desarrollo empresarial, pero no puedes enga\u00f1ar al usuario durante mucho tiempo. Al final, tendr\u00e1 lugar un error colosal y eso ser\u00e1 todo: la noticia ir\u00e1 directa a los titulares. Es decir, si una empresa de ciberseguridad posee su propio emulador, puedes deducir que los niveles de experiencia y madurez del desarrollador son impresionantes. Y, por el contrario, si no tiene emulador, esto equivale a poca pericia y una experiencia pobre, por lo que no durar\u00e1 mucho.<\/p>\n

Pero estoy desvi\u00e1ndome del tema.<\/p>\n

Siempre estamos mejorando nuestro emulador, pero los ciberdelincuentes no se han quedado de brazos cruzados, pues han estado protegiendo activamente sus asuntos y sus operaciones de ciberespionaje, lo que incluye la protecci\u00f3n frente a nuestra herramienta de emulaci\u00f3n.<\/p>\n

Los autores de las amenazas m\u00e1s sofisticadas emplean una variedad de estratagemas contra el emulador para reconocer los entornos de \u201cprueba\u201d; por ejemplo, lanzan una funci\u00f3n no documentada, verifican la autenticidad de las solicitudes para modificar los registros del procesador, analizan los c\u00f3digos de error, buscan c\u00f3digos espec\u00edficos en la memoria, utilizan \u201cbombas l\u00f3gicas\u201d que ponen al emulador en un bucle infinito, entre otras. Si el malware<\/em> detecta algo sospechoso, detiene las funciones maliciosas en seco y se comporta como si no hubiera roto un plato.<\/p>\n

Pero conocemos estas t\u00e1cticas y les llevamos la delantera, ya que siempre estamos afinando nuestro emulador frente a estas estratagemas y mejor\u00e1ndolo en otros aspectos (principalmente, reduciendo la intensidad de los recursos). Por ejemplo, para acelerarlo, utilizamos diferentes limitadores, optimizadores y perfiles de configuraci\u00f3n, lo cual puede incluso deshabilitar por completo el emulador en ciertas condiciones, cuando el retraso es tan severo como un BSoD<\/a> (error de detenci\u00f3n o pantallazo azul).<\/p>\n

Mientras, el otro d\u00eda nuestros guerreros de patentes<\/a> nos trajeron buenas noticias desde el frente de la emulaci\u00f3n: \u00a1obtuvimos la patente (US10275597<\/a>) para un emulador de c\u00f3digo de programa que puede interpretar objetos desconocidos! Hasta donde s\u00e9, ning\u00fan producto de la competencia cuenta con dicha caracter\u00edstica: para protegerse de las estratagemas contra el emulador del malware<\/em>, la competencia tiene que revisar su emulador por completo<\/em>, lo que, naturalmente, es un proceso tedioso. Nosotros, por el contrario, \u00a1le hemos ense\u00f1ado al emulador a actualizarse sobre la marcha a partir de una base de datos local! Por tanto, se trata de una caracter\u00edstica muy \u00fatil y no hay raz\u00f3n para no hablarte de ella, ya que es esencial que conozcas c\u00f3mo te protegemos.<\/p>\n

Ahora bien, algunos archivos no se distribuyen en c\u00f3digo m\u00e1quina<\/em>, sino directamente en c\u00f3digo fuente<\/em>. Para ejecutarlos en un ordenador, es necesario un int\u00e9rprete (por ejemplo, Java Script o VBA) que traduzca en tiempo real este c\u00f3digo a un lenguaje adaptado para la m\u00e1quina. Y, como habr\u00e1s podido adivinar, es muy habitual que el malware<\/em> habite tambi\u00e9n en dichos archivos.<\/p>\n

Con el fin de detectar las amenazas desconocidas de este tipo, hace muchos a\u00f1os dise\u00f1amos un emulador de c\u00f3digo de programaci\u00f3n que verifica los archivos en un \u201ctubo de ensayo\u201d antes de ejecutarlos. Sin embargo, emular un int\u00e9rprete en su totalidad exige much\u00edsimos recursos y el retraso en el procesamiento de p\u00e1ginas web con scripts<\/em> frustra a muchos usuarios de Internet. Por lo tanto, los emuladores normalmente recrean una versi\u00f3n vulnerable del espacio virtual, lo cual es aceptable tanto en t\u00e9rminos de funcionamiento como de calidad de protecci\u00f3n. Pero \u00bfqu\u00e9 pasa cuando el emulador se encuentra con un objeto, m\u00e9todo o funci\u00f3n desconocidos en el c\u00f3digo, cuya interpretaci\u00f3n es absolutamente crucial para ejecutar el an\u00e1lisis total del archivo?<\/p>\n

Resolvimos este problema de otro modo: con la ayuda de un peque\u00f1o int\u00e9rprete \u201cinteligente\u201d capaz de aprender r\u00e1pidamente c\u00f3mo emular dichos objetos. Durante una actualizaci\u00f3n por medio de la nube de KSN, el producto recibe c\u00f3digo auxiliar en el lenguaje del objeto sometido a an\u00e1lisis (JavaScript, VBA, VB Script, AutoIt\u2026) y, una vez armado con el nuevo conocimiento, regresa para comprobar el archivo. En los casos m\u00e1s complicados, cuando a\u00fan se tiene que conseguir el c\u00f3digo auxiliar, esta tarea pasa autom\u00e1ticamente a nuestros analistas, quienes desarrollan el c\u00f3digo y lo a\u00f1aden r\u00e1pidamente a la base de datos.<\/p>\n

Como resultado, los usuarios tienen a su disposici\u00f3n una tecnolog\u00eda fuerte y veloz capaz de responder r\u00e1pidamente a las ciberamenazas y sin tener que esperar a la reedici\u00f3n del emulador entero. \u00a1Bingo!<\/em><\/p>\n

* \u201cAntivirus\u201d es otro arca\u00edsmo de la era de los virus inform\u00e1ticos. Los antivirus modernos protegen no solamente de virus sino de todo tipo de malware<\/em>. Tambi\u00e9n presentan otras funciones de seguridad \u00fatiles: por ejemplo, un gestor de contrase\u00f1as<\/a>, VPN<\/a>, control parental<\/a>, copias de seguridad<\/a> y muchos otras funciones. As\u00ed que, para ser precisos, hoy en d\u00eda un buen antivirus deber\u00eda llamarse \u201canti-esto, lo otro y lo dem\u00e1s, que me protege a m\u00ed, mi familia, nuestros dispositivos y nuestros datos<\/a>\u00a0y que viene totalmente equipado\u201d.<\/em> No suena bien, \u00bfverdad?<\/p>\n","protected":false},"excerpt":{"rendered":"

El emulador en los productos de Kaspersky Lab: qu\u00e9 es y por qu\u00e9 es importante que los antivirus tengan uno<\/p>\n","protected":false},"author":13,"featured_media":18521,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[2912,2333,1307,126,465,1903,1425,1236],"class_list":{"0":"post-18520","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-emulador","9":"tag-humachine","10":"tag-ia","11":"tag-kaspersky-lab","12":"tag-ksn","13":"tag-patentes","14":"tag-products","15":"tag-tecnologias"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/emulator-technology\/18520\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/emulator-technology\/15815\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/emulator-technology\/13342\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/emulator-technology\/17725\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/emulator-technology\/15870\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/emulator-technology\/14613\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/emulator-technology\/17362\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/emulator-technology\/22750\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/emulator-technology\/27070\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/emulator-technology\/11775\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/emulator-technology\/10783\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/emulator-technology\/19327\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/emulator-technology\/23324\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/emulator-technology\/18402\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/emulator-technology\/22650\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/emulator-technology\/22600\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/products\/","name":"Productos"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/18520","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/13"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=18520"}],"version-history":[{"count":6,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/18520\/revisions"}],"predecessor-version":[{"id":19797,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/18520\/revisions\/19797"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/18521"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=18520"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=18520"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=18520"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}