Un juego de trampas en la industria antivirus

En los últimos días la industria antivirus se ha visto en un debate respecto al proceso de creación de firmas.

Antes de contar el incidente me parece oportuno repasar con los lectores qué es Virus Total: se trata de un servicio web que ofrece a los usuarios la posibilidad de subir un archivo y verificar si el mismo es detectado por una serie de programas antivirus (a la fecha, 39). Hasta aquí el uso para el usuario. Además, lo que muchos lectores desconocerán, es que Virus Total colabora con las empresas antivirus enviando los archivos nuevos recibidos a los laboratorios, para así brindar mayor seguridad a los usuarios.

Explicado el funcionamiento de Virus Total, paso a contarles el incidente ocurrido en la semana. Como indica el portal pcmag.com, una reconocida empresa antivirus (no fuimos nosotros) decidió probar a la industria, creando 20 archivos inofensivos y creando firmas para 10 de ellos. Luego, subieron todos los archivos a Virus Total.

A pesar de que los archivos eran inofensivos, diez días más tarde 14 empresas antivirus detectaban como malicioso alguno de los archivos benignos (aquí tampoco fuimos nosotros, ya que ESET no detectó ninguno de estos archivos).

Independientemente de las dudas o cuestionamientos a la empresa que realizó el experimento (o trampa, según cómo prefieran llamarlo), la realidad es que este incidente pone en duda cuáles son los métodos que están utilizando las empresas antivirus para identificar amenazas. Claramente el hecho de que un archivo “sea detectado por la empresa X” no debería ser motivo suficiente para detectar el mismo. De hecho, si así fuera un falso positivo podría propagarse rápidamente por todas las compañías antivirus.

Vale destacar que todas las compañías antivirus necesitan de procesos de detección de malware automatizados. La cantidad de muestras que se reciben en el laboratorio diariamente es imposible de ser analizada manualmente, para dar respuestas en tiempos efectivos para los usuarios. Ante un proceso automatizado, la probabilidad de errores siempre estará presente. Aunque eso no exime de culpa por los errores a estas 14 empresas que se vieron afectadas, este tipo de incidente ocurre con mayor frecuencia que la que aparece en los medios, incluso cuando no hay una empresa creando una trampa de por medio.

Como bien indica el equipo de investigación de ESET en el blog en inglés, “lo triste es que problemas genuinos pasen a segundo plano para dar lugar a la historia de ‘quién se copió de quién’“. Aunque la información original está simplificada, con la idea de mostrar “quién se equivoca”, la realidad es que hay otros factores a considerar. Ninguna empresa ha dejado de sufrir un falso positivo, y este tipo de noticia suelen desviar la atención de los problemas que realmente la industria debe enfrentar, como la estandarización de metodologías de evaluación dinámicas, que se está trabajando desde AMTSO.

En resumen, la estandarización y concientización respecto a las metodologías dinámicas de evaluación de antivirus debe ser un problema a resolver por la comunidad antivirus; y pruebas de este tipo, aunque en el corto plazo revelan errores en algunos fabricantes, no colaboran en soluciones a largo plazo que beneficien a los usuarios.

Sebastián Bortnik
Analista de Seguridad

Autor , ESET

  • Alex

    Kaspersky es la empresa. ¿Por qué el miedo de mencionar el nombre?

  • Pingback: Blog de Software » Blog Archive » ESET Latinoamérica – Laboratorio » Blog Archive » Un juego de …()

  • ¿Por qué no nombran Kaspersky como la empresa que hizo el experimento?
    Leí la noticia y antes de terminar de leerla sabía que ESET no formaba parte de los 14, así y todo una pensamiento oculto mío decía, ¿Y si ESET cayó en el jueguito? Luego me reí mucho :D

    Chistes de lado, serios ahora. La hicieron bien. Punto. Hace rato que se viene manejando este temita de las firmas de los virus y demás, cada día es más necesario que el usuario esté familiarizado con la informática para poder darse cuenta cuando es Virus y cuando es una falsa alarma. Lo digo porque me pasa a diario.
    Es por esto y no por otra cosa que siempre recomiendo Eset o Kaspersky. Los gratis serán gratis pero comprobado que no tienen buenos laboratorios.
    Y los de pago que fueron owneados por Kaspersky, que se dediquen a otra cosa y dejen de robarle dinero a la gente.

    Saludos.

    • Hola,

      El objetivo del post no es mencionar empresas antivirus menoscabando tu prestigio, tácticas comerciales o niveles de detección sino demostrar que se debe trabajar en estándares internacionales que permitan brindar la mejor protección al usuario y que brinden formas de evaluación de productos que sean consistentes con esta protección.

      Para más información, Hispasec (los creadores de Virustotal) ya hablaban de este efecto colateral no deseado hace un tiempo.

      Cristian

  • Salvador Lorenzana

    Les voy a comentar un incidente. Resulta que en el mes de enero compré una impresora Epson S20 y según instalo el software, mi antivirus (avast) me detecta que el software, puede contener trazas de un virus y no me lo ejecuta. Total, que al final, tuve que desactivar una parte del antivirus para que me funcione la impresora. ¿qué les parece?. Saludos

    • Hola Salvador,

      Desconozco los motivos por los que otra solución detecta los drivers de EPSON como amenazas pero seguramente se trate de un falso positivo.

      Sebastián

  • Juan

    Parece que el mito de que hay empresas que se dedican a crear sus propios virus con tal de tener mayor detección no era tan descabellada.
    Es una lástima que una empresa de seguridad como Kaspersky se dedique a esas ¿trampitas?.
    Lo malo seria que las demás empresas se dediquen a seguirle el juego y hagan lo mismo.
    Comparto la parte final del comentario del analista de seguridad.

    • Hola Juan,

      En este caso se trata de un juego de trampas, ya que lo que creó Kaspersky fueron firmas falsas, pero no crearon ningún malware. Un incidente de este tipo aún no ha ocurrido y sería muy mal visto en la industria antivirus, siendo como decís, realmente descabellado.

      Gracias por tu opinión.

      Sebastián

  • Pingback: Transmitiendo falsos positivos | Shadow Security()

Síguenos