El periodista británico Misha Glenny adelanta las tesis de su próximo libro, «Dark Market», que publicará en octubre, en el que analiza cómo el optimismo de los primeros tiempos de internet está flaqueando ante el aluvión de amenazas que son el contrapeso de su potencial democrático. Significativamente, cita la frase de un colega: “En 2010, internet nos ha metido el miedo en el cuerpo. Acostumbrémonos”. A la ciberdelincuencia se han sumado el ciberterrorismo y la ciberguerra; sus fronteras empiezan a ser de difícil distinción. El robo de información de valor es la forma dominante de fraude, más que el financiero, aunque a menudo se combinan. El miedo se extiende.
Gobiernos y empresas dedican cuantiosos recursos a protegerse mediante el control de los datos que circulan por internet, lo que significa que “la solución de un problema implica la creación de otro”. Es archisabido que los primeros virus de los años 90 tenían algo de ingenuos, de travesuras sin lucro, pero las sucesivas generaciones de gusanos y troyanos mostraron una capacidad infecciosa y destructiva creciente. Hasta que…en 2010 se produjo un salto cualitativo, que dejó pequeñas todas las amenazas conocidas. Stuxnet – identificado inicialmente por la empresa especializada Kaspersky Lab –atacó y produjo daños en instalaciones nucleares iraníes. Eugene Kaspersky, su fundador y presidente, sostuvo la tesis, desde entonces todos dan por cierta, de que detrás de esa amanaza estaban los recursos técnicos y financiertos de “algún estado”. De esta manera, la antigua carrera entre malware y antimalware ha entrano en ese “mercado oscuro” que Glenny promete describir en su libro, previsto para octubre. ¿Qué piensa de esto Nikolay Grebennikov, cerebro científico de Kaspersky Lab?
¿Cuál es el estado del malware y del antimalware?
El malware vive una constante evolución, y continuamente aparecen nuevas vulnerabilidades, como lo prueba Stuxnet. La sofisticación de este virus se puede medir en que en su estructura identificamos cuatro vulnerabilidades “día cero”, susceptibles de combinarse y extenderse. Uno de los problemas actuales es que no se puede confiar en los certificados digitales, que hasta ahora daban al usuario un cierto grado de seguridad. Nuestra respuesta ha consistido en reforzar el concepto de reputación, construyendo una enorme base de datos, en la que no sólo hay listas negras sino también listas blancas. Tenemos un equipo especial dedicado a trabajar con los proveedores de internet y los vendedores de software, además de herramientas automatizadas para analizar muestras de fuentes no sospechosas.
Y aun así, se siguen colando […].
Trabajar con listas blancas no excluye la existencia de zonas grises, con las que no estamos seguros de si algo es bueno o malo. Tenemos que evaluar todas las alteraciones y contrastarlas con nuestra base de datos para ponderar el riesgo. Si es del 5% lo dejamos en observación, y si es del 80%, por ejemplo, aplicamos restricciones como el bloqueo de las operaciones más peligrosas, que acceden al disco duro.
¿Y si el riesgo es del 100%?
Lo bloqueamos sin contemplaciones La otra tendencia nueva es que este año [2010] afloraron amenazas en otras plataformas, como Macintosh, y en los móviles, quizá no muchas pero en aumento. Hay virus para todas las plataformas, y pronto los habrá para el iPad y otros dispositivos. Por lo tanto, nos preparamos a tiempo, por lo que hoy no es nada sencillo atacar una de esas plataformas.
¿Tiene la misma gravedad con sistemas de 32-bits que con los de 64-bits?
Hace varios años, cuando Microsoft lanzó Vista, había una versión de 32 y otra de 64. Y esta última, según Microsoft, incluía una tecnología especial que haría imposible que un malware pudiera ejecutarse en 64-bits. ¿Recuerda? Pues bien, ahora estamos viendo que esa y otras herramientas de protección se ven comprometidas, de manera que hemos tenido que añadir una protección específica y diseñar una tecnología de sandbox.
¿Qué ha cambiado con la aparición de Stuxnet? ¿Influirá en el diseño del nuevo malware?
Técnicamente, no es una revolución sino una evolución, que podría neutralizarse si se actualiza a tiempo la protección de los sistemas, algo que las víctimas no habían hecho. Por otra parte, lo que Stuxnet pretendía hacer, lo ha hecho, y en este sentido es único: no fue concebido para robar dinero, ni datos bancarios o identidades on line, como los que hemos conocido. Lo que no puedo descartar es que en el futuro aparezcan otras amenazas que ataquen sistemas industriales e infraestructuras.
No será una revolución, pero un cambio cualitativo sí que lo es.
[…] siendo esta la primera amenaza de esta complejidad, la protección era improbable. Tenga en cuenta que sus autores contaban con unos recursos y una motivación que está fuera de nuestro alcance; nadie puede asegurar que no pueden encontrar otro agujero. Nos encontramos en una fase en la que los sistemas de protección son globales, con muchas posibilidades de detección, pero el problema no es estadístico: aunque pudiéramos detectar el 99,9%, el problema es siempre la detección inicial.
¿No hay una técnica de sandbox [literalmente: cajón de arena] para esa probabilidad?
Si hallamos un ejecutable que no está en la lista negra ni en la blanca, le aplicamos ratios de seguridad […] podemos probarlo en un entorno protegido y virtualizar sus efectos en un sandbox. El concepto es, básicamente, que si usted recibe algo sospechoso, pueda ejecutar el fichero en un entorno aislado, en lugar de hacerlo en su sistema. Esta técnica la hemos añadido a la versión 2011 de nuestros productos.
Se habla de la peligrosidad de las redes sociales como vehículos de infección […]
En principio, la gente no piensa en la seguridad, o no tanto como en la funcionalidad. Con las redes sociales ocurre que no fueron diseñadas pensando en la seguridad, lo que sus creadores querian hacer era un buen canal de comunicación. Pero, al hacerse populares, hay más malware que se distribuye por ese medio; cada red social ha montado, o está montando, sus sistemas de seguridad en el servidor. Si algo raro aparece, un simple enlace, será analizado por esos sistemas y contrastado con las bases de datos de los vendedores de soluciones de seguridad. Pero ahora, estamos en un momento peligroso.
¿No sería necesario que hubiera más colaboración entre los vendedores?
La hay. Cada día compartimos con los competidores muestras de códigos maliciosos, y esto es bueno porque multiplica la capacidad de detección. Pero es necesariamente reactivo: un virus con sólo cinco días de vida… lleva cinco días actuando o escondido para actuar. A veces, compartimos ciertas tecnologías, pero es problemático porque cada vendedor defiende su ventaja competitiva.
Tranquilizaría mucho saber que se puede mejorar en este aspecto.
Se puede, pero estamos en un mercado, y lo que prima es la competencia.