En el mundo actual, el software antivirus es un aspecto fundamental de la seguridad de endpoints (es decir, equipos y servidores que abarcan desde usuarios individuales hasta grandes organizaciones). El software antivirus brinda una defensa clave contra las ciberamenazas, pero no es infalible. Existen varias técnicas que los ciberdelincuentes usan para evadir antivirus mediante malware.
¿Cómo funcionan los antivirus?
El objetivo del software antivirus es determinar si un archivo es malicioso, y debe hacerlo con rapidez para evitar que afecte la experiencia del usuario. Dos métodos que se utilizan mucho en soluciones antivirus para buscar software malicioso son los análisis heurísticos y los basados en firmas:
- El análisis heurístico examina la función de un archivo, y usa algoritmos y patrones para determinar si el software es sospechoso o no
- El análisis basado en firmas examina la forma de un archivo, y busca cadenas y patrones que coincidan con muestras de malware conocidas
Quienes creanmalware pueden optar por interactuar de dos formas con el antivirus: una es en el disco y la otra en la memoria. Un ejemplo típico de interacción en el disco sería mediante un simple archivo ejecutable. El antivirus tiene más tiempo para analizar un archivo en el disco. Si se carga en la memoria, el antivirus tiene menos tiempo para interactuar y, por lo general, es más probable que el malware se ejecute sin problemas.
Limitaciones del antivirus
Si bien se recomienda el uso de software antivirus para mantener los sistemas protegidos, lo cierto es que no evita que los dispositivos sean vulnerables a hackers. Un programa antivirus típico usa una base de datos de firmas de malware que contiene malware que se había identificado con anterioridad. Cada vez que se descubre una nueva muestra de malware, se crea una firma digital para este y se agrega a la base de datos. Esto significa que existe un período de vulnerabilidad entre la circulación de un malware nuevo y la actualización de las bases de datos de programas antivirus. Durante ese período, el malware puede provocar estragos. Por lo tanto, si bien el software antivirus ofrece una capa de seguridad adicional, no reduce las amenazas por completo.
Además, la cantidad de lenguajes independientes del sistema operativo que pueden usarse para escribir malware es cada vez mayor, lo que significa que un solo programa de malware tiene el potencial de afectar a un público más amplio. A medida que las ciberamenazas se vuelven más sofisticadas, los programas antivirus deben evolucionar para mantenerse al día. Debido a que los hackers perfeccionan todo el tiempo sus técnicas para evadir programas antivirus y que el panorama actual de la seguridad es muy complejo, esto representa un gran desafío.
Técnicas de evasión de antivirus
Para lograr sus objetivos, los ciberdelincuentes han desarrollado una serie de técnicas de evasión. Entre ellas:
Empaquetado y cifrado de código
La mayoría de los gusanos y programas troyanos están empaquetados y cifrados. Los hackers también diseñan herramientas especiales para el empaquetado y cifrado. Se ha descubierto que todos los archivos de Internet procesados mediante CryptExe, Exeref, PolyCrypt y algunas otras herramientas son maliciosos. Con el fin de detectar gusanos y troyanos comprimidos y cifrados, el programa antivirus debe añadir nuevos métodos de descomprensión y descifrado, o bien nuevas firmas para cada muestra de programa malicioso.
Mutación de código
Mezclando el código de un virus troyano con instrucciones de "spam", para que el código adquiera una apariencia distinta a la vez que el troyano mantiene su funcionalidad original, los cibecriminales intentan disfrazar su software malicioso. En muchas ocasiones, la mutación de código se produce en tiempo real, en todos o casi todos aquellos casos en los que el troyano se descarga de un sitio web infectado. El gusano por correo Warezov usó esta técnica y provocó graves problemas a los usuarios.
Técnicas sigilosas
Las tecnologías de rootkit (que suelen emplear los programas troyanos) son capaces de interceptar y sustituir funciones del sistema a fin de hacer invisible el archivo infectado para el sistema operativo y los programas antivirus. En algunas ocasiones, se ocultan incluso las ramas del registro (donde se registra el troyano) y otros archivos del sistema.
Bloqueo de programas antivirus y actualizaciones de las bases de datos de antivirus
Muchos programas troyanos y gusanos de red buscan de forma activa programas antivirus en la lista de aplicaciones iniciadas del ordenador de la víctima. El malware intentará entonces:
- Bloquear el software antivirus
- Dañar las bases de datos de virus
- Impedir el funcionamiento correcto de los procesos de actualización del software antivirus
Con el fin de acabar con el malware, el programa antivirus debe defenderse controlando la integridad de sus bases de datos y ocultando sus procesos a los troyanos.
Enmascaramiento del código en un sitio web
Los proveedores de antivirus detectan con prontitud direcciones de sitios web que contienen archivos de programas troyanos. Luego, sus analistas de virus estudian el contenido de estos sitios y agregan el nuevo malware a sus bases de datos. No obstante, en un intento de combatir el análisis antivirus, una página web puede modificarse de modo que, cuando las solicitudes se envían desde una empresa de antivirus, se descargará un archivo que no es un troyano.
Ataques masivos
En un ataque masivo, se distribuyen grandes cantidades de nuevas versiones de programas troyanos en Internet en un período breve de tiempo. Como resultado, las empresas de antivirus reciben grandes cantidades de nuevas muestras para su análisis. El cibecriminal confía en que el tiempo que se tarda en analizar cada muestra permita que el código malicioso se introduzca en los ordenadores de los usuarios.
Amenazas de día cero
El programa antivirus se actualiza con frecuencia, y esto suele ser en respuesta a una amenaza de día cero. Se trata de una técnica de evasión con malware mediante la cual un ciberdelincuente aprovecha una vulnerabilidad en el software o hardware, y entonces lanza el malware antes de que un programa antivirus pueda aplicar el parche.
Malware sin archivos
Este es un método más reciente de ejecutar malware en una máquina que no requiere que se almacene nada en el equipo objetivo. El malware sin archivos funciona en su totalidad en la memoria del equipo, lo que le permite evadir los análisis antivirus. Visitar una página web infectada no envía el malware de inmediato. En su lugar, usa una vulnerabilidad conocida con anterioridad en un programa relacionado para hacer que el equipo descargue el malware en una región de memoria y, desde allí, se ejecuta. El malware sin archivos es muy peligroso porque una vez que el malware hace su trabajo o se reinicia el equipo, la memoria se borra y no hay pruebas de que un delincuente haya instalado malware.
Suplantación de identidad (phishing)
La suplantación de identidad es una de las técnicas más comunes que usan los ciberdelincuentes para robar información. En un ataque de suplantación de identidad (phishing), el atacante engaña a las víctimas haciéndose pasar por una fuente conocida o de confianza. Si los usuarios hacen clic en un vínculo malicioso o descargan un archivo infectado, los atacantes pueden acceder a su red y, a continuación, robar información confidencial. El software antivirus solo puede detectar las amenazas conocidas y no es eficaz contra las nuevas variantes.
Ataques basados en navegador
Un software antivirus no tiene acceso a los sistemas operativos, lo que permite que los ataques basados en navegador los evadan. Estos ataques infectan el dispositivo por medio de scripts y códigos maliciosos. A fin de evitar estos ataques, algunos navegadores incluyen herramientas defensivas integradas, pero deben usarse de forma sistemática y correcta para que sean eficaces.
Codificación de la carga útil
Otra técnica mediante la cual el malware evade los análisis antivirus es la codificación de la carga útil. Los ciberdelincuentes suelen usar herramientas para hacerlo de forma manual y cuando el malware se envía y se inicia, se descodifica y hace daño. Esto suele realizarse mediante un pequeño programa de encabezado que se incluye en la parte delantera del virus codificado. Los análisis antivirus no perciben este programa como una amenaza y el virus codificado se ve simplemente como datos. De este modo, cuando el encabezado se inicia (por ejemplo, al integrarse en un archivo ejecutable existente), descodificará el malware en una región de memoria y, a continuación, activará el contador del programa en esa región y ejecutará el malware.
Cómo protegerse de las técnicas de evasión mediante malware
El uso de software antivirus debería ser una parte fundamental de tu estrategia general de ciberseguridad, pero, como se indica en este artículo, las empresas no deberían depender únicamente de este tipo de software para obtener protección cibernética. Para garantizar una seguridad óptima, lo mejor es invertir en un enfoque de ciberseguridad de múltiples capas. Entre otras herramientas que puedes usar para mantener a los ciberdelincuentes fuera de tu red se incluyen las siguientes:
Cifrado de dispositivos
Cifrar los dispositivos garantiza que ninguna persona pueda tener acceso a los datos que contienen sin la contraseña o la clave correctas. Incluso si un dispositivo se roba o se infecta con malware, un cifrado adecuado puede impedir el acceso no autorizado.
Autenticación de varios factores
La autenticación de varios factores (MFA) requiere que los usuarios ingresen más de un dato para poder acceder a las cuentas, como por ejemplo un código de acceso temporal. Esta técnica brinda más seguridad que una simple contraseña. Esto es muy importante si tienes información confidencial o personal en tus dispositivos o cuentas.
Administradores de contraseñas
Las contraseñas son importantes para mantener la seguridad de las cuentas y las redes, pero es fundamental utilizar contraseñas seguras y únicas para cada cuenta. Una contraseña segura contiene al menos 15 caracteres (lo ideal es más de 15) y suele ser una combinación aleatoria de números, símbolos y letras mayúsculas y minúsculas. Con los administradores de contraseñas puedes controlar lo que ocurre, ya que son una bóveda segura para contraseñas únicas y las protegen de los hackers.
Formación sobre la importancia de la seguridad
Debido al aumento de la ciberdelincuencia, las empresas deben formar a sus empleados acerca de los riesgos asociados a los ciberataques, así como la forma de procesarlos en caso de que se produzcan. Al enseñarles a los usuarios el panorama de las ciberamenazas, podrán reconocer actividades sospechosas, como correos electrónicos de suplantación de identidad (phishing), entre otras.
Detección y respuesta en endpoints
Una solución de detección y respuesta en endpoints (EDR) supervisa el comportamiento de la red y los endpoints, y almacena estos registros. Las tecnologías de EDR pueden brindar al personal de seguridad los datos necesarios para comprender la naturaleza de un ciberataque, lo que permite enviar alertas automatizadas y corregir los endpoints.
Los ciberdelincuentes no suelen usar una sola técnica de evasión de antivirus. Por el contrario, el malware está diseñado para adaptarse a las diferentes situaciones con el fin de maximizar sus posibilidades de obtener los resultados deseados. La buena noticia es que la comunidad de seguridad está alerta, siempre aprende acerca de las nuevas técnicas de malware y evasión de antivirus, y desarrolla nuevas formas de prevención.
Artículos relacionados:
- ¿Qué es la seguridad de los endpoints y cómo funciona?
- Cómo se introduce el malware en los sistemas
- Ingeniería social
- Clasificaciones de malware
- Elección de un programa antivirus
Productos relacionados:
