Los ataques dirigidos obligan a las empresas antivirus a replantearse su estrategia
Cuando el periódico The New York Times reveló en febrero que unos hackers habían conseguido entrar en sus redes recientemente, lo que asombró a los expertos en seguridad no fue que se hubieran producido ataques, sino la sorprendente inocencia con la que una de las principales empresas de software antivirus reconocía los límites de su propia tecnología.
Symantec se puso a la defensiva porque su software solo detectó y puso en cuarentena una de las 45 piezas de software malicioso hecho a medida por los hackers para entrar en The New York Times y hurgar en los correos electrónicos de determinados reporteros, un asalto sobre el que informó el propio periódico en un artículo. Según una portavoz del diario, el periódico tenía instalado la última versión del antivirus en todos los ordenadores de su red; pero para protegerse de las denominadas amenazas persistentes avanzadas, "el software antivirus no basta", según la declaración de Symantec.
Que su producto principal fuera esencialmente inútil ante el ataque -promovido supuestamente por el gobierno chino- no resultó sorprendente para los entendidos. Pero la aceptación sin excusas resalta la existencia de un panorama de seguridad en rápido cambio y una creciente amenaza al negocio de 6.700 millones de dólares anuales de Symantec (unos 5.000 millones de euros). Un estudio reciente de Imperva, una start-up californiana de datos de seguridad, descubrió que los productos antivirus de los principales vendedores detectan menos del 5% de los 80 nuevos virus probados.
Ahora que los ataques son más dirigidos y personalizados, las start-ups se posicionan como alternativas a los vendedores convencionales de antivirus. Algunas defienden que los gestores de seguridad de las empresas, sobre todo los que cuentan con un presupuesto reducido, deberían usar software antivirus gratuito o barato para cazar los virus sencillos más comunes e invertir en servicios especializados para proteger mejor los valores clave.
Todo es sospechoso
Ashar Aziz, director de información de una start-up que vende tecnología para protegerse de una "nueva raza de ciberataques", sostiene que la suposición errónea de que el software antivirus es eficaz contra las ciberamenazas actuales ha creado un "agujero inmenso" en todas las arquitecturas de seguridad existentes. "Aún no he visto ninguna organización que esté completamente limpia. Jamás ha sucedido", afirma Aziz.
En vez de usar una lista negra para bloquear las amenazas conocidas --el sistema convencional usado por el software antivirus--, FireEye funciona bajo el supuesto de que todo es sospechoso y prueba los programas en un "cajón" seguro antes de dejarlos operar en un ordenador. En noviembre pasado, el director ejecutivo del mayor vendedor de seguridad, McAfee, dejó la empresa para unirse a FireEye, que afirma que casi el 30 por ciento de las empresas del Fortune 500 son clientes suyos y que ha reunido más de 100 millones de dólares (unos 74 millones de euros) en financiación de capital riesgo.
FireEye está lejos de ser la única start-up que coge velocidad ahora que el software malicioso se convierte en algo mucho más dirigido y los métodos punteros de los hackers más sofisticados se democratizan y difunden mucho más rápido.
Y, a pesar de que las empresas consolidadas son claramente conscientes de los fallos de sus métodos defensivos, quizá hayan sido lentas adoptando nuevos métodos. El director de estrategia de seguridad de Imperva, Rob Rachwald, cree que la industria ha hecho menos esfuerzos por estar a la vanguardia de la protección y más por desarrollar "paneles de control de diseño" para impresionar a los clientes. Aziz, que ahora trabaja mano a mano con el antiguo director ejecutivo de McAfee, afirma que los grandes vendedores ahora se están dando prisa por llegar al punto desde el que FireEye empezó en 2004.
Desde el punto de vista de Liam O’Murchu, gerente de operaciones de respuesta de seguridad de Symantec, esta idea de que los productos de su empresa no están al día ya está pasada. La empresa, cuya sede está e California (EEUU), ahora vende métodos de detección avanzados e incluye algunos en sus programas antivirus estándar. Entre ellos, programas que evalúan los enlaces y las aplicaciones enviados a través de correo electrónico o servicios de mensajes dependiendo de la reputación de su fuente, vigilan en busca de patrones de comportamiento sospechosos e intentan predecir el comportamiento de los propios archivos.
Según O'Murchu, están desarrollando tecnologías diseñadas específicamente para proteger contra ataques tipo "día cero", denominados así porque los fabricantes del software ni siquiera son conscientes de que existen aún, y por lo tanto no han tenido tiempo de reaccionar. Este tipo de ataque es el que es más probable que usen las organizaciones criminales con muchos fondos o los gobiernos.
Evolución en el ámbito de la seguridad
Según Nicolas Christin, investigador en seguridad en la Universidad Carnegie Mellon (EEUU), el modo en que las empresas enfocan su seguridad probablemente cambie, así como los servicios que comprarán, Aunque señala que algunos enfoques alternativos quizá sean mucho menos eficaces de lo que nos quieren hacer creer algunos vendedores. Por ejemplo, explica, incluso un motor de detección del comportamiento necesita alguna definición de lo que es un "mal comportamiento" y eso puede no ser evidente siempre.
Según una encuesta llevada a cabo entre 670 empresas por el Instituto Ponemon, las amenazas avanzadas persistentes y el "hactivismo" o activismo hacker, produjeron los mayores dolores de cabeza a los departamentos informáticos el año pasado, y muchos culpan al software malicioso del aumento de los gastos de operación informáticos.
Las experiencias de Mandiant, la empresa de seguridad que trabajó con el New York Times para responder al ataque a sus redes y arrancarlo de raíz, lo demuestran. Antes, solo los grandes bancos de Wall Street tenían que preocuparse por el software malicioso dirigido, según su director de servicio, Marshall Heilman. Ahora, ya no solo se lanzan ataques dirigidos contra pequeños bancos regionales y locales, sino también contra los procesadores de pagos. "Si tu empresa tiene éxito, probablemente sea porque estás haciendo algo interesante" que podría atraer a los hackers, afirma. Un relato detallado de cómo Mandiant siguió un ataque sobre el Departamento de Hacienda de Carolina del Sur en noviembre pasado demuestra lo fácil que es que se den estos ataques y cuánto tiempo pueden pasar ocultos.
El Times, por su parte, aún no ha renunciado a su empresa antivirus. "Por el momento seguimos contando con los servicios de Symantec”, afirma su portavoz Eileen Murphy.