En los últimos días la industria antivirus se ha visto en un debate respecto al proceso de creación de firmas.
Antes de contar el incidente me parece oportuno repasar con los lectores qué es Virus Total: se trata de un servicio web que ofrece a los usuarios la posibilidad de subir un archivo y verificar si el mismo es detectado por una serie de programas antivirus (a la fecha, 39). Hasta aquí el uso para el usuario. Además, lo que muchos lectores desconocerán, es que Virus Total colabora con las empresas antivirus enviando los archivos nuevos recibidos a los laboratorios, para así brindar mayor seguridad a los usuarios.
Explicado el funcionamiento de Virus Total, paso a contarles el incidente ocurrido en la semana. Como indica el portal pcmag.com, una reconocida empresa antivirus (no fuimos nosotros) decidió probar a la industria, creando 20 archivos inofensivos y creando firmas para 10 de ellos. Luego, subieron todos los archivos a Virus Total.
A pesar de que los archivos eran inofensivos, diez días más tarde 14 empresas antivirus detectaban como malicioso alguno de los archivos benignos (aquí tampoco fuimos nosotros, ya que ESET no detectó ninguno de estos archivos).
Independientemente de las dudas o cuestionamientos a la empresa que realizó el experimento (o trampa, según cómo prefieran llamarlo), la realidad es que este incidente pone en duda cuáles son los métodos que están utilizando las empresas antivirus para identificar amenazas. Claramente el hecho de que un archivo "sea detectado por la empresa X" no debería ser motivo suficiente para detectar el mismo. De hecho, si así fuera un falso positivo podría propagarse rápidamente por todas las compañías antivirus.
Vale destacar que todas las compañías antivirus necesitan de procesos de detección de malware automatizados. La cantidad de muestras que se reciben en el laboratorio diariamente es imposible de ser analizada manualmente, para dar respuestas en tiempos efectivos para los usuarios. Ante un proceso automatizado, la probabilidad de errores siempre estará presente. Aunque eso no exime de culpa por los errores a estas 14 empresas que se vieron afectadas, este tipo de incidente ocurre con mayor frecuencia que la que aparece en los medios, incluso cuando no hay una empresa creando una trampa de por medio.
Como bien indica el equipo de investigación de ESET en el blog en inglés, "lo triste es que problemas genuinos pasen a segundo plano para dar lugar a la historia de 'quién se copió de quién'". Aunque la información original está simplificada, con la idea de mostrar "quién se equivoca", la realidad es que hay otros factores a considerar. Ninguna empresa ha dejado de sufrir un falso positivo, y este tipo de noticia suelen desviar la atención de los problemas que realmente la industria debe enfrentar, como la estandarización de metodologías de evaluación dinámicas, que se está trabajando desde AMTSO.
En resumen, la estandarización y concientización respecto a las metodologías dinámicas de evaluación de antivirus debe ser un problema a resolver por la comunidad antivirus; y pruebas de este tipo, aunque en el corto plazo revelan errores en algunos fabricantes, no colaboran en soluciones a largo plazo que beneficien a los usuarios.
Sebastián Bortnik
Analista de Seguridad
