{"id":19141,"date":"2019-08-28T09:17:23","date_gmt":"2019-08-28T07:17:23","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=19141"},"modified":"2019-11-22T10:48:04","modified_gmt":"2019-11-22T08:48:04","slug":"kaspersky-sandbox-patent","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/kaspersky-sandbox-patent\/19141\/","title":{"rendered":"Una trampa irresistible para el malware"},"content":{"rendered":"

No he visto la sexta entrega de la pel\u00edcula Misi\u00f3n Imposible<\/a>, ni creo que la vea. Vi la quinta entrega (en estado zombi durante un largo vuelo a casa despu\u00e9s de una semana dura de trabajo) solamente porque una escena se hab\u00eda filmado en nuestra nueva y flamante oficina de Londres<\/a>. Se trataba de otra entrega m\u00e1s de Misi\u00f3n Imposible<\/em>, una pel\u00edcula que no es para nada de mi estilo. Bofetadas, disparos, golpes, choques, explosiones, conmoci\u00f3n. Uf. Yo prefiero algo<\/a> m\u00e1s desafiante, intelectualmente estimulante y sencillamente interesante. Despu\u00e9s de todo, mi tiempo es escaso y valioso.<\/p>\n

Parece que estoy despotricando contra Tom Cruise y compa\u00f1\u00eda, \u00bfverdad? Pero no es as\u00ed. De hecho, tengo que reconocer el m\u00e9rito de al menos una escena que est\u00e1 muy bien hecha (es decir, que resulta intelectualmente estimulante y sencillamente interesante). Se trata de la parte en la que los buenos necesitan que uno de los malos delate a sus secuaces, o algo parecido. Para ello, instalaron un ambiente falso en un \u201chospital\u201d con la \u201cCNN\u201d en la \u201ctelevisi\u00f3n\u201d informando sobre el Armaged\u00f3n nuclear. Satisfecho por la transmisi\u00f3n mundial de su manifiesto apocal\u00edptico, el villano entrega a sus secuaces (\u00bfo era un c\u00f3digo de inicio de sesi\u00f3n?) como parte del trato realizado con sus interrogadores. Disculpad, aqu\u00ed est\u00e1 la secuencia<\/a>.<\/p>\n

\u00bfPor qu\u00e9 me gusta tanto esta escena? \u00a1Pues porque ilustra muy bien uno de los m\u00e9todos para detectar ciberamenazas desconocidas! De hecho, existen muchos m\u00e9todos, que var\u00edan seg\u00fan el \u00e1rea de aplicaci\u00f3n, la efectividad, el uso de recursos y otros par\u00e1metros (escribo mucho sobre esto aqu\u00ed<\/a>). Pero hay uno que siempre destaca: la emulaci\u00f3n<\/a> (tambi\u00e9n he hablado mucho de ella aqu\u00ed<\/a>).<\/p>\n

Al igual que en la pel\u00edcula MI<\/em>, un emulador inicia el objeto investigado en un ambiente artificial aislado, de esta forma lo anima a revelar su car\u00e1cter malicioso.<\/p>\n

Pero esta estrategia presenta una gran desventaja: el hecho de que el ambiente sea artificial. El emulador se esfuerza para que ese entorno artificial parezca un sistema operativo real, pero el malware<\/em>, cada vez m\u00e1s inteligente, consigue diferenciarlo de un entorno real. Cuando el emulador se percata de que el malware<\/em> lo ha reconocido, se reagrupa y mejora su emulaci\u00f3n, y as\u00ed sucesivamente en un ciclo interminable que a menudo abre la ventana a una posible vulnerabilidad en un ordenador protegido. El problema principal es que ning\u00fan emulador ha podido retratar la viva imagen de un sistema operativo real.<\/p>\n

Por otra parte, existe otra opci\u00f3n para abordar el an\u00e1lisis de comportamiento de los objetos sospechosos: analizarlo (en un sistema operativo real<\/em>) dentro de una m\u00e1quina virtual. Y bueno, \u00bfpor qu\u00e9 no? Si el emulador no lo detiene por completo, \u00a1deja que lo intente una m\u00e1quina (real) virtual! Ser\u00eda el \u201cinterrogatorio\u201d ideal: se lleva a cabo en un ambiente real, no artificial, pero sin las consecuencias negativas.<\/p>\n

Al escuchar este concepto, es posible que algunos se pregunten por qu\u00e9 no lo hab\u00eda pensado nadie antes. Despu\u00e9s de todo, la virtualizaci\u00f3n ha sido una de las tendencias dominantes de la tecnolog\u00eda desde 1992. Pues, bueno, por lo visto no es tan sencillo.<\/p>\n

Primero, el an\u00e1lisis de los objetos sospechosos en una m\u00e1quina virtual es un proceso que consume muchos recursos, lo cual resulta id\u00f3neo solamente para las soluciones de seguridad de empresas de gran tama\u00f1o, donde el an\u00e1lisis necesita ser sumamente intenso de modo que absolutamente ning\u00fan objeto malicioso penetre entre las defensas. Por desgracia, esta tecnolog\u00eda no es adecuada para los ordenadores dom\u00e9sticos, por no hablar de los smartphones<\/em>\u2026 al menos por ahora.<\/p>\n

En segundo lugar, estas cosas existen realmente. De hecho, nosotros ya utilizamos esta tecnolog\u00eda (de modo interno, en la K<\/em>ompa\u00f1\u00eda) para investigaciones internas. Pero si hablamos de los productos listos para la venta, todav\u00eda no hay muchos disponibles. La competencia ha lanzado productos similares, pero su eficacia a\u00fan deja mucho que desear. En general, dichos productos se limitan a recopilar registros y an\u00e1lisis b\u00e1sicos.<\/p>\n

Tercero, iniciar un archivo en una m\u00e1quina virtual es apenas el principio de un proceso muy largo y dif\u00edcil. Despu\u00e9s de todo, el objetivo del ejercicio es hacer que el car\u00e1cter malicioso de un objeto se revele; para ello, es necesario un hipervisor inteligente, el an\u00e1lisis y el registro de comportamiento, el ajuste cuidadoso de las plantillas de acciones peligrosas, la protecci\u00f3n contra trucos antiemulaci\u00f3n, la optimizaci\u00f3n de ejecuci\u00f3n, entre muchos otros.<\/p>\n

\u00a1Puedo afirmar sin falsa modestia que estamos muy adelantados con respecto al resto del mundo!<\/p>\n

Recientemente, obtuvimos una patente estadounidense (US10339301<\/a>) que comprende la creaci\u00f3n de un ambiente adecuado para que una m\u00e1quina virtual realice an\u00e1lisis r\u00e1pidos y profundos de objetos sospechosos. As\u00ed es c\u00f3mo funciona:<\/p>\n