El pasado martes, 10 de junio, Microsoft distribuía una nota de prensa
donde anunciaba la adquisición de la tecnología antivirus de GeCAD
Software, un peso pluma en el mercado de la seguridad. La expectación
ante este movimiento es máxima, sobre todo entre las casas antivirus,
a la espera de conocer las intenciones y planificación de Microsoft en
este terreno.
La nota de prensa de Microsoft es lo suficientemente ambigua como para
mantener la incertidumbre. Por un lado habla de aprovechar los
conocimientos y experiencia de GeCAD para dotar a la plataforma de
Windows de nuevas funcionalidades que aumenten y faciliten la
integración de soluciones antivirus de terceros, pero por otro lado
no se descarta que Microsoft termine por ofrecer su propio motor
antivirus basándose en el producto de GeCAD.
Si a esta última posibilidad se le une la tendencia de Microsoft a
integrar en Windows los productos que pueden tener una competencia
dominante en el mercado (recordar los casos de Internet Information
Server o Internet Explorer), no es de extrañar el revuelo que la
nota de prensa causó entre las firmas antivirus.
Experiencias anteriores
El escenario no sería nuevo, en 1993 Microsoft hizo una incursión en
este mercado con MSAV (MicroSoft Anti-Virus) que distribuía junto a
la versión 6.0 de MS-DOS. El antivirus de Microsoft era una versión
de CPAV (Central Point Anti-Virus), un producto con solera en
aquellos años que finalmente sería adquirido por Symantec.
El resultado fue nefasto, MSAV quedaba fuera de juego en poco tiempo
por una mala política de actualizaciones que lo situó en clara
desventaja respecto a sus competidores. En una comparativa realizada
en enero de 1995, con la participación de más de 20 productos, MSAV
quedaba en último lugar con resultados muy pobres en todos los
apartados, incluyendo índices más que preocupantes en la detección
de la colección In-The-Wild (los virus más extendidos).
En esa misma comparativa CPAV, que seguía su desarrollo y
mantenimiento independiente a MSAV, consiguió resultados muy por
encima a la solución de Microsoft. MSAV desapareció con la entrada
en juego de Windows 95.
Extrapolando esta experiencia a la situación actual, Microsoft al
menos puede estar seguro de que el antivirus de GeCAD no podrá
superarle en ningún caso, ya que ha adquirido tanto el producto,
RAV antivirus, como a su equipo de desarrollo y mantenimiento,
incluyendo en el acuerdo cláusulas para impedir que puedan
desarrollar otras soluciones antivirus. Con respecto a los problemas
de actualización con que se toparon en MSAV, hoy día no sería
mayor problema, teniendo en cuenta que Microsoft se ha convertido
en el rey del parche con Windows Update y, además, ya cuentan con
un público sumiso a la necesidad de las actualizaciones continuas.
RAV antivirus de GeCAD, ¿qué ha comprado Microsoft?
Definitivamente Microsoft no ha comprado tecnología de última
generación, RAV es un antivirus clásico de detección por firmas,
que no destaca por su innovación o funcionalidades proactivas. Eso
sí, todo indica que en los últimos tiempos han inflado sus cifras
incluyendo todo tipo de firmas, lo que en comparativas basadas en
porcentajes de detección en colecciones zoo puede dar una falsa
sensación de buen producto.
Particularmente no he evaluado RAV antivirus desde el año 2000,
cuando participó en la comparativa de Hispasec de ese año, quedando
fuera de la lista de los 10 mejores productos antivirus tras obtener
un pésimo 17,32% de detección en la colección de troyanos.
Tras el anuncio de Microsoft he descargado e instalado la última
versión de RAV, y lo que primero destaca es la cifra de más de
79.000 especímenes de malware que afirma identificar. Esta cifra
tan elevada, muy por encima de productos destacados en el sector,
apunta a que RAV es un claro exponente del «efecto zoo» (producto
que artificialmente aumenta el número de virus detectados
incluyendo firmas innecesarias con el único fin de alcanzar
buenos resultados en comparativas, certificaciones y en la publicidad
basada en números cuantitativos).
De las sospechas a las evidencias. Enfrentado contra una colección
de falsos virus, RAV detecta muchas muestras que en realidad no
pueden causar daño alguno, desde archivos dañados que no se pueden
ejecutar, a los que RAV identifica con el sufijo «remnants»,
pasando por la detección de simples magazines sobre virus,
herramientas clientes de seguridad y hacking, o muestras que suelen
formar parte de las colecciones ZOO no depuradas, pero que en
realidad no pueden ser clasificadas como malware.
Llegados a este punto, cabría preguntarse porqué Microsoft ha escogido
a GeCAD. Bien porque se ha dejado llevar por los cantos de sirena de
sus cerca de 80.000 virus que anuncia detectar, bien porque buscaba
en la sección oportunidades y la empresa rumana era de las más baratas
en comparación con otras que ya cuentan con un buen posicionamiento
en el mercado, bien porque no quería irrumpir en el mercado como un
elefante en una cacharrería y buscaba un peso pluma para no tener que
elegir y decantarse por alguna de las grandes.
Si realmente lo único que quería era un antivirus clásico basado
principalmente en la detección por firmas y su base de datos histórica,
la elección en lo económico no es mala, ya que la tecnología es
relativamente simple y similar en cualquiera de los productos y
RAV/GeCAD debe ser con mucha diferencia la opción más barata que puede
adquirir a día de hoy.
Si lo que pretendía era dar un vuelco a la seguridad de Windows con
respecto a los virus y gusanos que les azotan, la compra del antivirus
de GeCAD sirve de muy poco. Microsoft puede mejorar mucho en la lucha
contra el malware si realiza modificaciones en la base, ya que
presenta muchas debilidades por diseño. Pero integrar en Windows un
antivirus basado en la detección de firmas supone un nuevo parche al
ya de por sí parcheado sistema, y seguir un modelo de antivirus
reactivo que día a día se muestra insuficiente para frenar a los
especímenes que explotan el potencial de Internet para propagarse en
cuestión de minutos.
¿Qué puede ocurrir?
Si finalmente la compra de GeCAD por parte de Microsoft sólo tiene
como fin la investigación y desarrollo de nuevas funcionalidades en
Windows que faciliten el trabajo de terceras casas antivirus, el
mercado y los usuarios no deben de notar cambios bruscos. La vida
seguirá igual.
Si por el contrario Microsoft pretende integrar el antivirus de GeCAD
en Windows, queda claro que supondrá un duro varapalo para las
firmas actuales. Bajo este escenario, las casas antivirus, en clara
desventaja, sólo podrían competir (mejor dicho, adaptarse e intentar
complementar al antivirus de Microsoft) innovando en nuevas técnicas
antivirus más proactivas, productos especializados, y marcando
diferencias en los servicios y tiempos de respuesta, donde a buen
seguro serán mucho más ágiles y efectivos que Microsoft.
¿Mejoraría la seguridad del usuario?
Situándonos en el escenario más cambiante, la integración de un motor
por detección de firmas en Windows, queda claro que supondrá la
existencia de un antivirus en todos los sistemas Microsoft y que
podría asegurarse su actualización con algún método agresivo (forzar
la actualización automática, sin depender de la acción del usuario).
En este punto la mejora parece evidente.
Pero si la entrada de un antivirus de Microsoft supone finalmente
un claro predominio sobre el sector y la desaparición de la mayoría
del resto de casas antivirus, el usuario está en peligro.
Por un lado la falta de competencia real, que hoy día está
garantizada entre las diferentes firmas, supondría un relajamiento en
la necesidad de ofrecer respuestas inmediatas y mejoras en los
productos. Por otro lado, el escenario de un antivirus común en todos
los sistemas Windows da lugar a un sistema de seguridad muy homogéneo,
que facilita enormemente la vida a los creadores de virus y permitiría
epidemias más globales.
Mientras que hoy día un creador de virus debe diseñar su espécimen para
que pueda burlar a una veintena de productos antivirus, cada uno con
sus funcionalidades, firmas genéricas y heurísticas (cosa fácil, como
demostramos en e-gallaecia), el día que reine un único producto en la
mayoría de los sistemas sólo deberá dedicar «esfuerzos» (cosa de niños)
para burlar esa protección a sabiendas de que afectará al 90% del
parque mundial.
¿Podría Microsoft vender su antivirus sin integrarlo en Windows?
La posibilidad siempre existe, aunque la historia y la razón no apuntan
hacia esa vía. También plantearía un dilema ético, que por un lado las
debilidades de diseño de sus plataformas facilitaran la vida a los
virus y que por otro se dedicara a vender la protección a su propia
incompetencia.
En definitiva, finalmente deberemos esperar la jugada de Microsoft para
ver como puede afectar esta adquisición a la situación actual de los
antivirus, de momento todo son conjeturas e hipótesis.
bernardo@hispasec.com
Más información:
Microsoft to Acquire Antivirus Technology From GeCAD Software
http://www.microsoft.com/presspass/press/2003/jun03/06-10GeCadPR.asp
GeCAD’s Antivirus technology to be acquired by Microsoft
http://www.gecad.ro/page_press.php?date=2003-06-10&language=1
Antivirus: el efecto «zoo»
http://www.hispasec.com/unaaldia/1562
Comparativa AntiVirus 2000
http://www.hispasec.com/directorio/laboratorio/articulos/Comparativa2000
Deja una respuesta