{"id":26176,"date":"2021-10-06T20:51:41","date_gmt":"2021-10-06T18:51:41","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=26176"},"modified":"2024-11-08T16:19:42","modified_gmt":"2024-11-08T14:19:42","slug":"ransomware-protection-test-2021","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/ransomware-protection-test-2021\/26176\/","title":{"rendered":"\u00bfSon eficaces las soluciones de seguridad frente al ransomware?"},"content":{"rendered":"

Pr\u00e1cticamente todo desarrollador de soluciones de seguridad de la informaci\u00f3n afirma que sus productos repelen los ataques de ransomware<\/em>. Y es cierto: todos proporcionan cierto grado de protecci\u00f3n contra el ransomware<\/em>. Pero \u00bfes segura esa protecci\u00f3n? \u00bfSon eficaces esas tecnolog\u00edas?<\/p>\n

No creas que son cuestiones banales: una protecci\u00f3n parcial contra el ransomware<\/em> no es ning\u00fan logro. Si una soluci\u00f3n no puede frenar una amenaza en sus registros, entonces \u00bfd\u00f3nde est\u00e1 la garant\u00eda de que al menos se mantengan a salvo los archivos cr\u00edticos?<\/p>\n

Dicho esto, la compa\u00f1\u00eda independiente AV-Test puso a prueba 11 productos de plataformas de protecci\u00f3n para endpoints<\/em> en 113 ataques diferentes para determinar hasta qu\u00e9 punto protegen realmente a los usuarios. AV-Test seleccion\u00f3 para la prueba a Kaspersky Endpoint Security Cloud<\/a> y el resultado fue impecable. Durante las pruebas se desarrollaron tres situaciones:<\/p>\n

Protecci\u00f3n de archivos de usuario contra ransomware<\/em> prevalente<\/h2>\n

La primera prueba simulaba el ataque de ransomware<\/em> m\u00e1s t\u00edpico, aquel en el que la v\u00edctima ejecuta malware<\/em> en su ordenador y este intenta hacerse con los archivos locales. Un resultado positivo supone que la amenaza ha sido neutralizada (es decir, que se han detectado todos los archivos de malware <\/em>y se han detenido los procesos de ejecuci\u00f3n y los intentos por hacerse con el control) y todos los archivos de usuario han quedado accesibles y sin cifrar. AV-Test llev\u00f3 a cabo un total de 85 pruebas en este escenario con las siguientes 20 familias de ransomware<\/em>: conti, darkside, fonix, limbozar, lockbit, makop, maze, medusa (ako), mountlocker, nefilim, netwalker (tambi\u00e9n conocida como mailto), phobos, PYSA (o mespinoza), Ragnar Locker, ransomexx (o defray777), revil (o Sodinokibi y Sodin), ryuk, snatch, stop y wastedlocker.<\/p>\n

En esta simulaci\u00f3n, casi todas las soluciones de seguridad ejecutaron un trabajo excelente, lo cual no sorprende, ya que utilizaron familias de malware<\/em> muy conocidas. Los siguientes escenarios resultaron m\u00e1s complicados.<\/p>\n

Protecci\u00f3n contra el cifrado en remoto<\/h2>\n

En esta segunda situaci\u00f3n, el equipo protegido almacenaba archivos accesibles por toda la red local y el ataque ven\u00eda de otro ordenador conectado a esta misma red (el otro equipo no contaba con una soluci\u00f3n de seguridad, lo que permit\u00eda a los atacantes ejecutar el malware<\/em>, cifrar los archivos locales y buscar informaci\u00f3n accesible en los hosts<\/em> vecinos). Esta vez, las familias de malware<\/em> eran: avaddon, conti, fonix, limbozar, lockbit, makop, maze, medusa (ako), nefilim, phobos, Ragnar Locker, Ransomexx (tambi\u00e9n conocida como defray777), revil (tambi\u00e9n Sodinokibi o Sodin) y ryuk.<\/p>\n

La soluci\u00f3n de seguridad, viendo un proceso del sistema manipulando archivos locales pero incapaz de ver la ejecuci\u00f3n del malware<\/em>, no pudo comprobar la reputaci\u00f3n del proceso malicioso o del archivo que la hab\u00eda iniciado, ni siquiera escanear el archivo. De las 11 pruebas, solo 3 ofrecieron alg\u00fan tipo de protecci\u00f3n contra este tipo de ataque y solo Kaspersky Endpoint Security Cloud gestion\u00f3 la situaci\u00f3n a la perfecci\u00f3n. Adem\u00e1s, aunque el producto de Sophos se activ\u00f3 en el 93 % de los casos, solo protegi\u00f3 por completo los archivos de usuario en el 7 %.<\/p>\n

Protecci\u00f3n contra ransomware de prueba de concepto<\/h2>\n

La tercera situaci\u00f3n muestra c\u00f3mo los productos se enfrentan al malware<\/em> que probablemente no hayan podido encontrarse antes y que, ni siquiera hipot\u00e9ticamente, podr\u00eda estar presente en las bases de datos de malware<\/em>. Dado que los mecanismos de seguridad pueden identificar una amenaza a\u00fan desconocida simplemente por medio de las tecnolog\u00edas proactivas que reaccionan al comportamiento del malware<\/em>, los investigadores crearon 14 muestras de ransomware<\/em> nuevas con m\u00e9todos y tecnolog\u00edas que los ciberdelincuentes a penas usan, adem\u00e1s de unas t\u00e9cnicas de cifrado desconocidas. Al igual que con la primera situaci\u00f3n, determinaron el \u00e9xito en la prueba teniendo en cuenta la detecci\u00f3n y el bloqueo, incluido el mantenimiento de la integridad de todos los archivos en el equipo de la v\u00edctima y eliminando por completo todo rastro de amenaza del ordenador.<\/p>\n

Los resultados fueron muy dispares, con algunos (ESET y Webroot) incapaces de detectar este malware<\/em> personalizado y otros haci\u00e9ndolo algo mejor (WatchGuard 86 %, TrendMicro 64 %, McAfee y Microsoft 50 %). La \u00fanica soluci\u00f3n que demostr\u00f3 el 100 % del rendimiento fue Kaspersky Endpoint Security Cloud.<\/p>\n

Los resultados de las pruebas<\/h2>\n

Como resumen, Kaspersky Endpoint Security Cloud super\u00f3 a la competencia en todas las situaciones de prueba de AV-Test, protegiendo a los usuarios contra las amenazas, tanto las conocidas y en activo como las reci\u00e9n creadas.<\/p>\n

\"Resultados

Resultados globales de las 3 situaciones de pruebas<\/p><\/div>\n

Por cierto, la segunda prueba revel\u00f3 otro hecho sorprendente: la mayor\u00eda de los productos que no protegieron los archivos de los usuarios s\u00ed consiguieron eliminar los archivos de ransomware<\/em>. Pero, incluso aunque no tuvi\u00e9ramos en cuenta el fallo, no ser\u00eda una buena pr\u00e1ctica, ya que estos archivos podr\u00edan contener informaci\u00f3n t\u00e9cnica que podr\u00eda ayudar a los investigadores del incidente a recuperar los datos.<\/p>\n

Puedes descargar el informe completo con una descripci\u00f3n detallada del malware<\/em> de prueba (tanto el conocido como el creado por AV-Test), para ello rellena el siguiente formulario.<\/p>\n