lunes, 3 de diciembre de 2012

El sentido común contra el malware (y II)


Todo el mundo tiene claro que es necesario evitar el malware. Pero los consejos que se brindan al respecto vienen siendo los mismos desde hace muchos años. ¿Realmente tenemos claro cómo debemos prevenir infecciones y contra qué nos estamos intentando defender? ¿Basta con el sentido común?

Mantenerse informado vs. sentido común

No podemos proteger lo desconocido o luchar contra lo que ni imaginamos. Debemos saber la "mecánica básica" del sistema operativo, y estar al tanto de las últimas tendencias en el malware. Aconsejar "sentido común" es muy sensato, pero si probamos a preguntarle a un usuario cualquiera qué significa usar un sistema con "sentido común", es más que probable que no tenga muy claro qué hacer. Quizás, como mucho, mencione que sabe que no tiene que dar sus datos a cualquier página o que no debe creer todos los correos que le llegan. Pero eso cubre un minúsculo espectro de todo lo que está ahí fuera. Incluso para los que saben qué significa el sentido común en la red, quizás lo sobrevaloren. Al insistir en el sentido común como el arma más efectiva contra todo mal en la red, parece que basta con no ejecutar los adjuntos del email para mantenerse a salvo. El sentido común, aunque imprescindible, no te va a proteger cuando un atacante cuele en la publicidad de una página web de confianza, un exploit que aproveche un fallo en Flash del navegador para el que todavía no existe parche. No has hecho nada extraño, has aplicado el sentido común de manera impecable... pero acabarás infectado.

A Internet no se llega con el mismo concepto de sentido común que se presupone en la vida real. En la vida real, el sentido común es un resultado de todas esas experiencias vitales que se ha afinado durante el desarrollo de muchos "experimentos" propios y ajenos ocurridos durante buena parte de nuestra juventud y adolescencia. Pero cuando un usuario accede a Internet por primera vez o lo hace ocasionalmente, no tiene por qué tener la más mínima experiencia en la red, y por tanto apelar solo a su sentido común es sano, pero quizás prematuro e incompleto.

Mantenerse informado sobre las amenazas y las nuevas protecciones, sin embargo, es invertir en "ganar y mejorar" el sentido común con el tiempo, conocer en qué momentos es recomendable aplicar más cuidado con ciertas situaciones (cuando aparecen nuevas vulnerabilidades o tipos de estafa renovados).... y lo que es más importante: saber las limitaciones de cada medida que se toma.

Cortafuegos vs. todo lo demás

Es habitual ver largas listas de anti-todo que se pueden instalar en el sistema para "estar protegido". La mayoría, sin embargo, suelen apuntar al mismo eslabón de la cadena: la detección o detección temprana (que sigue sin ser "prevención" real). Pero es mucho más interesante conocer para qué sirve cada programa y sobre todo, las fases más comunes de una infección.

Para cubrir esas fases es necesario (esencial) fortificar el sistema operativo (que para eso viene con decenas de interesantes protecciones... la mayoría desactivados por defecto) y aplicar prevención real contra todas las fases de una infección: actualización de los programas (para eliminar vulnerabilidades), antiexploits (para evitar que, si no hay parche, esas vulnerabilidades sean aprovechadas), antipayloads (para evitar que, incluso si los exploits tienen éxito, instalen el malware) y sandboxes (para evitar que si incluso el antipayload fracasa, el malware dañe el sistema). Así se pueden cubrir muchas de las "capas" previas al antivirus.

Con respecto al cortafuegos, en realidad no juega un papel decisivo contra el contra el malware actual en entornos domésticos (porque da por hecho que está instalado y lo evita). Podría servir de algo el firewall saliente... pero no se inyecta en los procesos habituales. Y aun así, seguiría siendo un sistema que intenta limitar la actividad del malware, no la infección en sí. Por último, manejar un cortafuegos saliente, para el usuario medio, es extremadamente tedioso.

Antivirus vs. malware

Finalmente, si absolutamente todo lo anterior fallase, sería interesante que el antivirus (o el anti-todo de turno) pasara a la acción y reconociera el bicho que se cuela en el sistema. Pero es el último que debe entrar en juego, porque el antivirus es el medicamento contra la enfermedad que ya, al menos, ha entrado en contacto con tu organismo. Pero si ha llegado hasta ahí, el antivirus es una tecnología a la que bien puedes encomendarte para detectarlo y eliminarlo.

Dejar de lado todas las fases anteriores significa repartir toda la responsabilidad de mantener un sistema a salvo entre muy pocos actores a los que se sobrecarga (y quizás, sobrevalora) mientras otros factores y herramientas que pueden ser mucho más eficaces, son directamente ignorados.


Sergio de los Santos
Twitter: @ssantosv

7 comentarios:

  1. Muy buen trabajo sobre la seguridad básica de los sistemas informáticos.

    Gracias un saludo.


    ResponderEliminar
  2. Hola,

    ¿Podríais poner un ejemplo de, antiexploits, antipayloads y sandboxes?

    Gracias.

    Un saludo.

    ResponderEliminar
  3. Como antiexploit yo uso ExploitShield aún esta en fase beta, como antipayloads y sandboxes sería interesante conocer algún ejemplo

    Gracias
    Un saludo

    ResponderEliminar
  4. ¿Que tal EMET de Microsoft como AntiExploit?

    ResponderEliminar
  5. Quedo con las ganas de que continúe la lección.

    ResponderEliminar
  6. Estimados, muy bien redactado y explicado, excelente. Los tomo bastante como referencia para transmitir estos conocimientos a los usuarios de la empresa en la que trabajo. Saludos

    ResponderEliminar
  7. Realmente impresionante el articulo, sobretodo porque, sin necesidad de entrar en detalles técnicos, explica de forma muy clara los diferentes actores que se deben tener en cuenta a la hora de intentar proteger nuestro sistema. Felicitaciones!!!

    ResponderEliminar