Josep Albors.
Josep Albors Director de Investigación y Concienciación Eset España

Los antivirus como solución de seguridad en el ‘endpoint’

Endpoint.

El endpoint es para muchos un coladero y la principal puerta de entrada de las amenazas en una red corporativa. Protegerlo puede parecer complicado, pero lo que para algunos representa una tarea imposible puede no serlo tanto si se aplican políticas de seguridad eficaces y si se sabe qué es lo que se quiere proteger y cuáles son las principales amenazas.

Cada vez que se produce un gran ciberataque que afecta a varias empresas no tardan en aparecer las noticias que contabilizan el número de compañías afectadas, y si son grandes, mucho mejor. La cifra de sistemas infectados es demasiado tentadora como para no utilizarla en un titular, y eso es con lo que se queda la mayoría de la gente que lo lee. Sin embargo, hay otra cara de la moneda que casi nunca se muestra, y es el gran número de organizaciones que han salido indemnes de un ataque así por aplicar las medidas de seguridad necesarias para proteger sus sistemas.

Tomemos por ejemplo el tan manido WannaCry, un ransomware con una elaboración mediocre (aunque con gran capacidad de propagación) que logró convertirse en una pesadilla para muchas empresas a mediados del pasado mayo. Mucho se ha hablado de las cientos de miles de máquinas infectadas. Sin embargo, poco se ha oído de aquellas compañías que, por adoptar unas políticas de seguridad adecuadas, salieron indemnes.

En este caso (y en muchos otros a diario) juegan un papel importante las soluciones de seguridad como los antivirus. Sí, esos mismos productos que llevan años siendo denostados por ciertos sectores que quieren ofrecer su solución casi mágica contra las ciberamenazas. Vamos a partir de la base de que ningún producto puede ser efectivo al cien por cien, pero que sí pueden detectarse un número considerable de las amenazas que se generan cada día (del resto nos encargaremos más adelante).

En el caso de que se disponga de una solución de seguridad como un antivirus instalado en un endpoint, ya contamos con una primera barrera que puede hacer frente a un buen número de amenazas. Muchos de los ciberdelincuentes actuales son incluso más vagos y tacaños que los administradores o gestores de empresas que invierten lo mínimo en ciberseguridad, reutilizando técnicas y mucho código ya visto en amenazas anteriores. De hecho, la mayoría de las amenazas que se ven son de este tipo, y solo unas pocas merecen ser analizadas en detalle por incluir alguna particularidad en su código.

Así pues, aunque a algunos se les llene la boca diciendo que la utilización de un antivirus en un endpoint es una pérdida de tiempo y recursos, los números nos demuestran que están equivocados, ya que un elevado número de amenazas son bloqueadas a diario por este tipo de soluciones de seguridad, aunque luego solo se hable de las pocas que consiguen saltarse esta línea defensiva.

Es más, los fabricantes no se han quedado de brazos cruzados y durante décadas han hecho evolucionar sus productos para mejorar su efectividad sin que esto tenga un impacto sustancial en el sistema en el que se instala, y todos sabemos que los endpoint no destacan precisamente por tener unas características apabullantes.

Aunque a algunos se les llene la boca diciendo que la utilización de un antivirus en un endpoint es una pérdida de tiempo y recursos, los números nos demuestran que están equivocados

A día de hoy es común ver que las empresas con una reputación contrastada invierten en aspectos como la inteligencia sobre amenazas. De hecho, en los últimos años hemos visto que varios jugadores nuevos han entrado a competir con los ya existentes aportando su propia visión sobre cómo combatir el malware. La realidad es que la mayoría de estas entidades comparten con las anteriores mucho más de lo que a sus departamentos de marketing les gustaría admitir, a pesar de que se renombren técnicas de análisis sobradamente conocidas con una nueva nomenclatura rimbombante.

El papel de administrador

El malware ha evolucionado, de eso no cabe duda, pero las barreras que se pueden implementar para impedir que tenga éxito infectando una red corporativa, también. El problema muchas veces no es tanto de las medidas de seguridad implementadas, sino de quien se encarga de gestionarlas.

A día de hoy, resulta muy frustrante que muchos usuarios de los endpoint tengan el poder absoluto sobre su terminal porque nadie les ha restringido los permisos y campan como administradores del sistema a sus anchas. Eso es una invitación a que se produzca una infección más pronto que tarde.

De la misma forma, y a pesar de que se trate de un vector de ataque con décadas de antigüedad, el correo electrónico sigue siendo una fuente de entrada de amenazas muy presente para empresas de todos los tamaños, por no mencionar el efecto vintage de tener que volver a lidiar con macros maliciosas de forma parecida a como lo hacíamos en los años noventa.

Herramientas de gestión tanto de las soluciones de seguridad implementadas en los endpoint como del propio sistema operativo las hay a patadas, y desde hace tiempo. Empresas dedicadas a hacer un buen uso de ellas para mitigar posibles ataques y comprobar que todo esté en orden, parece que no tantas.

Antes hemos mencionado a aquellas amenazas que han sido diseñadas de forma que su detección resulta más complicada. Un malware bien desarrollado puede evadir sistemas de seguridad más o menos avanzados, de eso no cabe duda, pero sigue dejando un rastro y eso es algo que podemos aprovechar para detectarlo y neutralizarlo.

En casos como WannaCry, juegan un papel importante las soluciones de seguridad como los antivirus, aunque estén denostados por ciertos sectores

Imaginemos por un momento que un atacante ha logrado infectar una o varias máquinas de una red corporativa con alguna finalidad maliciosa (secuestro de información, robo de datos, etc.). El malware podría ocultarse durante un tiempo, pero igualmente tiene que comunicarse de alguna forma con el exterior, ya que, en caso contrario, resultaría bastante inútil.

Si se analiza el comportamiento, y sobre todo las comunicaciones que se realizan desde y hacia los endpoint, podemos obtener información muy interesante que podemos utilizar para identificar una posible infección, aislar esas máquinas y proceder a su limpieza. Sin embargo, para poder hacer esto se ha de ser capaz de procesar grandes cantidades de información y también saber separar el grano de la paja.

A lo que quiero llegar es que soluciones hay para todos los bolsillos, pero aún a día de hoy se sigue viendo la ciberseguridad más como un gasto que como una inversión. También deberíamos hablar de si las personas que se encargan de proteger las empresas españolas están lo suficientemente remuneradas, pero eso mejor lo dejamos para otro día…