El gusano al acecho y el escritor de malware oculto

El siguiente post es una traducción (con algunas adaptaciones idiomáticas) del texto realizado por David Harley publicado en el blog de ESET en inglés donde podrán ver la opinión del especialista de ESET a nivel mundial, sobre el mismo tema que en este mismo espacio opinara hace unos días Federico Pacheco, Gerente de Educación e Investigación de ESET Latinoamérica: la competencia antivirus en China.

Hace unos años me sometí a una cirugía radical (tengan paciencia, incluso si ya ha oído la historia antes: hay mucho más en este tema que la reorganización de algunos de mis órganos internos...).

Fuera del quirófano, a la espera que me den la anestesista, el cirujano llegó para intercambiar conmigo unas palabras, y me preguntó qué hacía para vivir. Cuando le dije, él me dio una respuesta tradicional: "Ah, tengo una teoría acerca de las compañías antivirus..."

Si alguno ha pasado todo el tiempo que yo he pasado en la industria anti malware, seguro ha escuchado muchas, muchas veces, la teoría acerca de que la propia industria ha escrito todos los virus, aunque tal vez no en circunstancias tan dramáticas. Una de mis respuestas clásicas es decir "sí, al igual que los policías cometen todos los crímenes y las enfermedades las propagan los médicos", pero pensé que no era lo mejor que podía decir a alguien que estaba a punto de meter una sonda en mi cavidad torácica con una selección de instrumentos afilados. Por lo tanto volví a una respuesta más lógica y menos emocional, como "no tenemos suficientes recursos para generar el volúmenes de malware que vemos a diario, y si pudiéramos, ¿no crees que nos aseguraríamos de  detectar a todos?".

Personalmente tengo algunas teorías sobre por qué esta teoría en particular es tan persistente. Pueden encontrar algunas de ellas en un artículo que escribí para Virus Bulletin hace cuatro años. Y no ayuda mucho cuando el departamento de marketing de alguna empresa de seguridad decide hacer engañosos créditos sobre la detección de cosas que nadie más lo hace.

Pero no puedo recordar un ejemplo más feo que la historia publicada en Epoch Times sobre denuncias hacia una empresa de antivirus en China que escribió malware personalizado y luego sobornó a un funcionario para enviar una advertencia al público sobre el virus y sugerir la descarga de su software con el fin de que la amenaza sea eliminada.

Aunque he escuchado por un tiempo algunas historias extrañas acerca de las rivalidades y trucos sucios en la industria antivirus en China, realmente no puedo comentar con autoridad sobre la verdad o no de estas acusaciones. Y aunque la historia de Li Ping de Epoch Times afirma claramente que "las empresas antivirus chinas crean virus que ellos mismos detectan", es erróneo al sugerir que dichas actividades se consideran estrategias de negocios legítimas fuera de China.

Pero de todas formas encuentro indignante que estas historias inevitablemente serán vistas para "probar" una vez más que la industria sigue habitualmente prácticas que la comunidad de investigación en su conjunto encuentra éticamente repugnantes. Y puedo asegurar que los laboratorios antivirus de todo el mundo no han establecido grupos de Investigación y Desarrollo con el fin específico de crear nuevos virus, cualquiera sea la situación de las empresas mencionadas por Li Ping.

De hecho, los escritores de malware en búsqueda de trabajo no son muy comunes en la industria. Es muy común para aspirantes a ser escritores de malware que su notoriedad no sea igual a sus conocimientos técnicos, y puedan ser contratados por algunas empresas en los límites de la detección de malware o el filtrado, pero la "verdadera" industria antivirus evita este tipo de incorporaciones por los problemas éticos que puedan existir.

Lo verdaderamente bizarro (e irritante) sobre este tema, sin embargo, es que en algunos casos las mismas personas que afirman que se dedican a ese tipo de prácticas comerciales desleales también critican nuestro disgusto por la creación de malware para propósitos de testing (evaluaciones antivirus) como para demostrar de alguna manera nuestra supuesta incompetencia. Ah...

De una cosa estoy seguro: si este incidente perjudica a la industria de la seguridad mundial, perjudicará más aún a la industria en China, y eso no puede ser bueno para los clientes.

David Harley - ESET Senior Research Fellow