4/01/2016

Juraj Malcho

Chief Research Officer de ESET

Abundan en la Web listas de antivirus con pretensiones de ranking, y lo curioso es que no hay dos listas que coincidan en sus valoraciones. Se explica no tanto por las diferencias de tecnología, cuanto por las necesidades múltiples, de las que se derivan criterios – ¿objetivos? – dispares. En realidad, el problema de los antivirus es que a la vez que son imprescindibles, se reconoce que no pueden ser infalibles como el usuario quisiera. La entrevista que publica este blog tuvo lugar durante un seminario convocado en Nueva York por la empresa eslovaca ESET, en el que una parte de las sesiones giró en torno a los problemas del testing del antimalware, del que mucho depende su credibilidad.

Juraj Malcho

Juraj Malcho

Una caracteristica de ESET es que es parte de una floración de empresas de seguridad nacidas en los países de Europa del Este después de la caída del muro de Berlín y la desaparición de la Unión Soviética, que aún siguen dando que hablar en este terreno. Pocas han conseguido trascender sus fronteras e implantarse en los mercados occidentales, y ESET es una de las más exitosas. Juraj Malcho, su chief research officer, es su figura más notoria como ponente habitual en conferencias internacionales y miembro de comités sectoriales.

Aparentemente, la seguridad tiende a integrarse en los sistemas y dispositivos. En este contexto, ¿cuál será el papel de una compañía como ESET, especializada en antivirus?

La razón de existir del software antimalware no ha perdido vigencia en absoluto. Más bien al contrario: su papel es resolver problemas que no existían o que no fueron resueltos cuando se diseñaron los sistemas operativos y los dispositivos en uso. El software se ajusta a los cambios, pero tiene que cumplir con ciertos requisitos permanentes: el software ha de ser ágil, adaptarse rápidamente y remediar los problemas que se presentan. Déjeme decirlo rotundamente: siempre habrá necesidad de contar con este elemento de seguridad que son los antivirus; pensar lo contrario es una ilusión. Lo que pasa es que con los años, el diseño de los sistemas operativos ha madurado: hoy no hay muchas diferencias entre Linux, Mac OS o Windows desde el punto de vista de la seguridad, y ninguno de ellos es inmune. Para mí, una confirmación de que la seguridad es inherente al diseño, la encontramos en el Internet de las Cosas. Si no atendiéramos ese problema, no habríamos aprendido nada de la historia del malware.

¿Qué problema específico de seguridad plantea IoT?

Varios. Uno, digamos que el más elemental, es que se trata de dispositivos típicamente baratos, fabricados en masa, normalmente en China o en países con muy bajos costes de producción. Y como IoT es un nuevo mercado, que ha aflorado en una época en que la industria tiene prisas por encontrar nuevas fuentes de ingresos, todos quieren estar entre los primeros en explotar esa fuente. Por estas razones, es grande la tentación de sacrificar la seguridad.

¿Qué podría hacer la industria?

Por un lado, tenemos el caso de los sensores básicos, extremadamente baratos y que justamente por serlo no llevan un firmware actualizable: la estrategia más lógica sería aceptar que expiren tras un ciclo de vida corto, de uno o dos años, como mucho tres. Ya que no pueden ser actualizados, no parece razonable dejarles vivir más; podrían traer problemas graves, que yo considero intrínsecos a esos tres atributos que he mencionado: baratos, masivos y no actualizables.

Los sensores serían sólo la base de la pirámide de IoT […]

Para los dispositivos más complejos, como los routers domésticos, tìpicas víctimas de ataques en este momento, pero también en la electrónica de los coches, sobre todo si son conectables, lo sensato sería diseñarlos para que sean actualizables, pero esto – además de no ser una operación sencilla para los usuarios – iría contra el interés de la industria, que prefiere asegurarse la rotación. Hasta aquí he hablado sólo del diseño, pero desde el punto de vista de la seguridad, con IoT se plantea un enorme dilema: los dispositivos son tantos y tan variados, con escalas intermedias, que no es posible defenderse en todos los frentes […]

Eso los diferencia de los ordenadores y otros dispositivos que básicamente interactúan con los humanos…

Así es […] En ese mundo que hemos convenido en llamar IoT, se puede hacer detección secundaria, monitorizar la red, identificar anomalías, etcétera. Pero esas medidas tienen sus límites: en un ordenador, con protección endpoint, cualquier actividad maliciosa se hace visible en algún momento, generalmente cuando afecta al usuario. Aunque los ataques no se ven venir, en teoría hay posibilidades de detectarlos y bloquearlos; es posible encriptar el software e incluso advertir al usuario de que su dispositivo puede estar afectado, y aconsejarle las medidas a tomar. En IoT no hay interacción, y por tanto no es posible.

¿Qué otra cosa se podría hacer, aparte de monitorizar las conexiones?

Monitorizar da mucha información sobre la actividad maliciosa potencial: el escaneado de la red es un mecanismo fundamental. La seguridad endpoint funciona satisfactoriamente en soluciones empresariales, pero ¿funcionaría en un frigorífico conectado a Internet? ¿Aceptará el usuario que merece la pena protegerlo? Hemos empezado por los routers domésticos, porque está a nuestro alcance y porque son una notoria vía de infección: un antivirus puede resolver el problema cuando el riesgo se materializa, cuando es visible que alguien está explotando una vulnerabilidad, pero ¿se puede hacer lo mismo con un smart TV, que nadie parece haberse dado cuenta de que sería atacada si hubiera un motivo para hacerlo? ¿qué decir de los coches conectados?

…son preguntas retóricas. ¿Cuáles son sus respuestas?

Lamento decirlo, pero mi respuesta es negativa. Podemos disertar acerca de muchas posibilidades, pero sólo hablaríamos de algo que podría ocurrir pero no sabemos cómo: teóricamente, habría una enorme cantidad de potenciales vías de ataque. Y cada solución teórica que encontráramos, nos remitiría a problemas intrínsecos del diseño. Con IoT, el juego del gato y el ratón está trastornado, de manera que la solución sería un diseño ideal, pero bien sabemos que nada es ideal y que su implementación necesariamente tendrá fallos. Aunque encontráramos el remedio, deberíamos ser capaces de evitar que el adversario responda al remedio, lo que – como nos dice la experiencia – tratará de hacer cuanto antes. Y nosotros estar preparados.

¿Hay más flexibilidad para contener los ataques en un PC o un dispositivo móvil? ¿O nos parece así porque sabemos cómo actúan?

Es difícil generalizar porque hay diferentes plataformas: Windows con su modelo abierto, iOS el suyo cerrado, y en algún punto intermedio está Android. Así que mucho depende de la plataforma sobre la que trabaje cada dispositivo. Si usted usa un iPhone, sabe que vive dentro de una jaula llamada iOS, y presuntamente se sentirá más seguro que fuera de la jaula, pero yo diría que no excluya nada, por definición. Si es usuario de MacOS, necesita flexibilidad, para disponer de las funciones que son propias de un ordenador, lo que deja la posibilidad de abrir la puerta a un troyano que se va a instalar mediante algún truco de ingeniería social, y en esto MacOS no se diferencia sustancialmente de Windows, salvo en la escala de la base instalada.

¿Una plataforma PC y otra para smartphones plantean problemas de seguridad distintos?

Una diferencia es la forma de descargar el software. En los smartphones, lo típico es hacerlo desde una app store. En este sentido, la flexibilidad de Android entraña más riesgos que IoS, mucho más controlado.Y luego está la evolución de Windows, con su propia tienda de aplicaciones: uno puede preguntarse cuál es el grado aceptable de restricción para que el usuario se sienta más seguro. En el fondo, se trata de limitar su privilegio de hacer estupideces […]

Se habla a menudo de la muerte del antivirus, al menos como lo conocemos. En su lugar proponen lo que llaman seguridad de próxima generación. ¿Qué opina?

Que son operaciones de marketing. Básicamente, la propaganda promete resolver problemas que un antivirus no puede resolver. Nueva generación es una consigna sugestiva, bajo la cual puede haber ideas interesantes, pero no remedios mágicos. Cuando se dice «usamos inteligencia artificial, semántica, técnicas de análisis de comportamiento, no nos basamos en las anacrónicas listas de firmas…» lo que hay detrás de esas frases es una lucha por la cuota de mercado. La deficiencia básica de los antivirus es de sobra conocida, sabemos cuál es su pecado original: los primeros virus eran producto de entusiastas que querían mostrar al mundo sus habilidades; hoy nos enfrentamos a delincuentes organizados, y a lo largo de los años hemos tenido que diseñar nuevas líneas de defensa, para estar en condiciones de interceptarlos. La seguridad hay que montarla por capas, y tienen que ser dimensionadas según el valor de lo que se quiere proteger.

Estamos en el primer año de Windows 10, supuestamente más seguro que sus antecesores. Microsoft dice intercambiar información con las empresas de antimalware. ¿Es el caso de ESET?

Dicho en general, esta es una industria en la que el conocimiento circula más que en otras. Ha habido intentos de formalizar los intercambios, dentro de los límites de la competencia; de ellos ha surgido un marco de trabajo que ayuda mucho. Con Microsoft tenemos relaciones no muy distintas a las que mantenemos con otros vendedores de soluciones de seguridad, pero es un caso aparte por tratarse del proveedor del sistema operativo más usado en todo el mundo, lo que le obliga a un esfuerzo para tratar de que sea los más seguro posible en todo momento. En su propio interés, comparte información con nosotros y con otras compañías de seguridad. Imagino que con todas las fiables.

¿Cómo ha evolucionado Microsoft en esta materia? Todos recordamos los tiempos en que los problemas de seguridad se atribuían invariablemente a Windows… ¿es hoy más seguro que antes?

Naturalmente, no puedo hablar en nombre de Microsoft, pero tengo una observación al respecto: el intercambio de muestras de malware es limitado, porque no todos las intercambiamos con todos. En este punto, Microsoft ha jugado un papel positivo al crear un mecanismo que nos estimula al intercambio de metadatos, a seguir políticas de testing compatible, que disuaden a quienes presumen de superioridad […]

¿Espera que Microsoft caiga en la tentación de vender productos de seguridad propios? Ya una vez lo intentó, y se llevó un revolcón con las empresas del sector.

No tengo manera de conocer sus intenciones, pero si entre ellas estuviera la idea de ser un proveedor de seguridad para Windows – potencialmente el único, como reflejo de su dominio – sería una pésima iniciativa. Pero, personalmente, no lo creo.

Se supone que Windows 10 es un sistema operativo universal

Podría serlo, en el sentido de funcionar en distintas clases de dispositivos. Si el sistema operativo está bien diseñado, y la herramienta de seguridad que ofrece por defecto es buena, no hay nada que objetar, pero no anularía nuestro papel. Es deseable que Windows 10, y sus sucesores, sean cada vez más seguros. Pero, como creo haber dicho, ni siquiera Microsoft puede decir que tiene una solución universal para los problemas de seguridad.

[informe de Pablo G. Bejerano]


Contacto Suscríbete RSS


Sobre el autor. Copyright © 2024 El dominio norbertogallego.com es propiedad y está administrado por Diandro SL. B85905537. Creative Commons