Todo
el mundo tiene claro que es necesario evitar el malware. Pero los consejos que
se brindan al respecto vienen siendo los mismos desde hace muchos años.
¿Realmente tenemos claro cómo debemos prevenir infecciones y contra qué nos
estamos intentando defender? ¿Basta con el sentido común?
Mantenerse informado vs. sentido común
No podemos proteger lo
desconocido o luchar contra lo que ni imaginamos. Debemos saber la "mecánica básica" del sistema
operativo, y estar al tanto de las últimas tendencias en el malware. Aconsejar "sentido común" es muy sensato, pero si probamos a
preguntarle a un usuario cualquiera qué significa usar un sistema con "sentido común", es más que probable
que no tenga muy claro qué hacer. Quizás, como mucho, mencione que sabe que no
tiene que dar sus datos a cualquier página o que no debe creer todos los
correos que le llegan. Pero eso cubre un minúsculo espectro de todo lo que está
ahí fuera. Incluso para los que saben qué significa el sentido común en la red,
quizás lo sobrevaloren. Al insistir en el sentido común como el arma más
efectiva contra todo mal en la red, parece que basta con no ejecutar los
adjuntos del email para mantenerse a salvo. El sentido común, aunque imprescindible, no te va a proteger cuando un
atacante cuele en la publicidad de una página web de confianza, un exploit que
aproveche un fallo en Flash del navegador para el que todavía no existe parche.
No has hecho nada extraño, has aplicado el sentido común de manera impecable...
pero acabarás infectado.
A Internet no se llega con el mismo concepto de sentido común que se presupone
en la vida real. En la vida real, el sentido común es un resultado de todas
esas experiencias vitales que se ha afinado durante el desarrollo de muchos
"experimentos" propios y
ajenos ocurridos durante buena parte de nuestra juventud y adolescencia. Pero
cuando un usuario accede a Internet por primera vez o lo hace ocasionalmente,
no tiene por qué tener la más mínima experiencia en la red, y por tanto apelar
solo a su sentido común es sano, pero quizás prematuro e incompleto.
Mantenerse informado sobre las
amenazas y las nuevas protecciones, sin embargo, es invertir en "ganar y mejorar" el sentido común
con el tiempo, conocer en qué momentos es recomendable aplicar más cuidado con ciertas
situaciones (cuando aparecen nuevas vulnerabilidades o tipos de estafa
renovados).... y lo que es más importante: saber
las limitaciones de cada medida que se toma.
Cortafuegos vs. todo lo demás
Es habitual ver largas listas de
anti-todo que se pueden instalar en el sistema para "estar protegido". La mayoría, sin embargo, suelen apuntar al
mismo eslabón de la cadena: la detección o detección temprana (que sigue sin
ser "prevención" real).
Pero es mucho más interesante conocer para qué sirve cada programa y sobre
todo, las fases más comunes de una infección.
Para cubrir esas fases es
necesario (esencial) fortificar el sistema operativo (que para eso viene con
decenas de interesantes protecciones... la mayoría desactivados por defecto) y
aplicar prevención real contra todas las fases de una infección: actualización de
los programas (para eliminar vulnerabilidades), antiexploits (para evitar que,
si no hay parche, esas vulnerabilidades sean aprovechadas), antipayloads (para
evitar que, incluso si los exploits tienen éxito, instalen el malware) y
sandboxes (para evitar que si incluso el antipayload fracasa, el malware dañe
el sistema). Así se pueden cubrir muchas de las "capas" previas al antivirus.
Con respecto al cortafuegos, en realidad no juega un papel decisivo contra
el contra el malware actual en entornos domésticos (porque da por hecho que
está instalado y lo evita). Podría servir de algo el firewall saliente... pero
no se inyecta en los procesos habituales. Y aun así, seguiría siendo un sistema
que intenta limitar la actividad del malware, no la infección en sí. Por
último, manejar un cortafuegos saliente, para el usuario medio, es
extremadamente tedioso.
Antivirus vs. malware
Finalmente, si absolutamente todo
lo anterior fallase, sería interesante que el antivirus (o el anti-todo de turno)
pasara a la acción y reconociera el bicho que se cuela en el sistema. Pero es
el último que debe entrar en juego, porque el antivirus es el medicamento
contra la enfermedad que ya, al menos, ha entrado en contacto con tu organismo.
Pero si ha llegado hasta ahí, el antivirus es una tecnología a la que bien
puedes encomendarte para detectarlo y eliminarlo.
Dejar de lado todas las fases
anteriores significa repartir toda la responsabilidad de mantener un sistema a
salvo entre muy pocos actores a los que se sobrecarga (y quizás, sobrevalora)
mientras otros factores y herramientas
que pueden ser mucho más eficaces, son directamente ignorados.
Sergio de los Santos
Twitter: @ssantosv
Muy buen trabajo sobre la seguridad básica de los sistemas informáticos.
ResponderEliminarGracias un saludo.
Hola,
ResponderEliminar¿Podríais poner un ejemplo de, antiexploits, antipayloads y sandboxes?
Gracias.
Un saludo.
Como antiexploit yo uso ExploitShield aún esta en fase beta, como antipayloads y sandboxes sería interesante conocer algún ejemplo
ResponderEliminarGracias
Un saludo
¿Que tal EMET de Microsoft como AntiExploit?
ResponderEliminarQuedo con las ganas de que continúe la lección.
ResponderEliminarEstimados, muy bien redactado y explicado, excelente. Los tomo bastante como referencia para transmitir estos conocimientos a los usuarios de la empresa en la que trabajo. Saludos
ResponderEliminarRealmente impresionante el articulo, sobretodo porque, sin necesidad de entrar en detalles técnicos, explica de forma muy clara los diferentes actores que se deben tener en cuenta a la hora de intentar proteger nuestro sistema. Felicitaciones!!!
ResponderEliminar