• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Malware / Otra comparativa antivirus: solo detectan un 19% del malware

Otra comparativa antivirus: solo detectan un 19% del malware

14 agosto, 2010 Por Hispasec Deja un comentario

La compañía Cyveillance ha creado un informe en el que se concluye algo que resulta tan obvio como «real». Los porcentajes de detección de los antivirus son bajos. Detectan por firmas el 19% del malware «fresco» mientras que pasado un mes, sube al 61.7%. El estudio puede servir de excusa para recordar el estado de la industria del (anti)malware.

Cyveillance recopiló 1.708 binarios reconocidos como malware por al menos tres antivirus de los 13 contemplados en el estudio. Estos binarios eran archivos recolectados en los tres últimos días por la empresa con sus propios métodos. Analizó los archivos cada 6 horas durante 30 días con los 13 motores. La media de detección iba desde el 19% del día 1, hasta el 61.7% el día 30.

Apreciaciones sobre ciertos puntos

* Catalogan como malware confirmado el binario que es detectado por al menos tres motores de los 13 que contemplan. Nuestra experiencia con VirusTotal (subjetiva), nos dice que el malware realmente «fresco», suele ser detectado (a través de firmas) por menos de tres casas antivirus. En ocasiones, por ninguna. Además, los falsos positivos son comunes. El hecho de que tres motores detecten un binario no es definitivo para concluir que deba ser reconocido. Sólo un análisis manual lo es.

* Es injusto comparar los antivirus solo por sus firmas. Aunque el informe no especifica explícitamente que se haya realizado el estudio de esta forma, todo apunta a que así se ha hecho. Esto no es nada nuevo: desde siempre, los virus «recién creados» han sido menos detectados por firmas en un principio. Tampoco es difícil crear específicamente troyanos «no detectados» por firmas. Los atacantes lo hacen todos los días. Otra cosa es que sean detectados por comportamiento en el sistema una vez ejecutados, que es el punto fuerte de las suites antivirus en estos momentos.

No es ningún secreto que el modelo de detección por firmas es cada vez «una parte más» de los antivirus, y no se puede juzgar a un producto exclusivamente por la detección estática de muestras. Es lo mismo que ocurre con VirusTotal. Los resultados obtenidos al enviar una muestra son analizados de forma estática, por tanto pueden diferir de lo que un usuario obtiene con el antivirus instalado en su sistema. Las suites, cada vez más, se basan en el comportamiento de las muestras para detectar el malware. Hacen una buena labor en ese sentido, y no es posible hoy en día evaluar un producto completo sólo por una de sus funciones. Si se quiere evaluar la calidad y cantidad de firmas, se debe ser consciente de que eso es sólo una parte del producto. También cabe recordar que, aunque las propias casas antivirus utilizaron esta métrica errónea de las firmas en el pasado cuando los números le eran beneficiosos, cada vez abandonan más esta práctica.

* ¿Son 1.708 binarios suficientes? No sabemos la naturaleza de los binarios. Por ejemplo, sabemos que las casas antivirus tienen serios problemas para detectar los «rogueware» (falsos antivirus). Pueden pasar semanas hasta que algún motor los detecta por firmas. La producción actual es tan prolífica que a efectos prácticos es imposible luchar contra ello de forma efectiva. Solo se puede mitigar el problema.

Sabemos que un laboratorio antivirus puede recibir cada día más de mil nuevas muestras de malware para las que no disponen de firma de detección específica. 1.000 firmas que crear en 24 horas. Utilizan sistemas automatizados para catalogar, con todas sus ventajas e inconvenientes. Solo las muestras muy relevantes o nuevas pasan a ser analizadas manualmente. Que, tras 30 días, la media suba del 19 a algo más del 61% de detección por firmas, es incluso un buen trabajo.

* Es evidente en cierta forma que la industria antivirus se encuentra en «quiebra técnica». Deben mantener una lista negra actualizándose constantemente; una heurística agresiva para detectar nuevos especímenes que no estén en su lista negra; y una lista blanca más pequeña y que se actualiza menos, para evitar detectar demasiado goodware como malware y provocar algún daño en el sistema, por ejemplo. A pesar de sus esfuerzos, siguen sufriendo muchos problemas: o bien están detectando como malicioso software legítimo, o bien siguen sin detectar malware de verdad, o en el peor de los casos, ambas cosas.

* Sí es cierto que el usuario medio suele ser víctima del marketing de las casas antivirus, y creen que la suite les salvará de todo mal. Slogans como «Protección total» o «Blindaje del sistema» calan en el usuario que concluye que realmente es lo único que necesita. Este tipo de informes, puede ayudar a desterrar esa idea aunque, por otro lado, a veces también pueden llegar a polarizan la opinión: «¿Acaso, a pesar del dinero invertido en la solución antimalware, no estoy protegido por completo?» o «Las soluciones antimalware no sirven para nada». Ninguna de las dos posiciones es adecuada. Como concluye el informe, las soluciones antivirus son imprescindibles, pero es necesario combinarlas con otros métodos de prevención.

En definitiva, estudiar porcentajes de detección de forma objetiva hoy en día es una tarea compleja… para todos.

Recomendaciones

Ya lo sabemos: la seguridad es un proceso continuo y que se debe complementar en diferentes capas… seguridad en profundidad. El principal consejo para los usuarios de sistemas operativos en general y los de Windows en particular es no usar la cuenta de administrador. Actualizar el sistema, y no sólo Windows, sino todos los programas que tengamos instalados deben estar actualizados a la última versión de su rama. También mantenerse informado sobre tendencias de seguridad, malware y estado en general de la seguridad en la red. ¿Y el antivirus? Por supuesto. También es imprescindible tener un antivirus actualizado a diario.

Aunque el informe no especifica explícitamente que se haya realizado el estudio de esta forma, todo apunta a que así se ha hecho. Nos hemos puesto en contacto con ellos para aclarar este punto, pero no ha habido respuesta.

Sergio de los Santos
ssantos@hispasec.com

Más información:

Cyveillance testing finds AV vendors detect on average less than 19% of
malware attacks
http://www.cyveillance.com/web/news/press_rel/2010/2010-08-04.asp

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Malware

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Vulnerabilidad zero-day en AWS Glue
  • Técnica permite modificar ficheros PDF con firma digital
  • Tamagotchi para hackers: Flipper Zero
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades

Entradas recientes

  • Vulnerabilidad zero-day en AWS Glue
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR