Baja la calidad del malware, pero aumenta la cantidad

Durante los pasados seis meses, la creatividad técnica del malware ha caído, junto con su capacidad para ocasionar daños masivos del tipo de los provocados por MyDoom y Sasser en años anteriores, según subraya en un reciente informe Alexander Gostev, analista senior especializado en virus de Kaspersky Lab.

En el laboratorio de Gostev se ha detectado intermitentemente malware de alto nivel tecnológico, pero en su mayoría se trata “de los mismos interminables flujos de troyanos, virus y gusanos”, asegura. En muchos casos, los hackers simplemente toman el malware ya existente y crean variantes modificando ligeramente el código antiguo para esquivar el software antivirus.

A veces, el proceso de desarrollo se basa en un simple método de “prueba y error”. Los autores del malware utilizan escaners online como Virustotal, que analiza si el nuevo código será detectado por el software antivirus disponible en cada momento, según Mikko Hypponen, investigador jefe de F-Secure. Si el código resulta detectable, el hacker procede a realizar una ligera modificación y lo somete de nuevo al examen del scanner.
No obstante, la baja calidad del malware no debe ser interpretada como indicio de su menor peligrosidad. ”Me gustaría decir que estamos ganando la batalla”, explica Hypponen, “pero, francamente, no estoy tan seguro. Necesitamos nuevos tipos de soluciones”.

Trabajando contrarreloj
Debido a que gran parte del código no es nuevo, tiende a mantenerse efectivo durante períodos más cortos antes de que las compañías antivirus consigan detectarlo. Pero aún así, el tiempo requerido para su identificación y la creación de una firma para el nuevo virus, que puede oscilar entre unos minutos y unas horas, con frecuencia es suficiente para que los hackers consigan infectar ordenadores. Ello, unido a la elevada velocidad de producción de malware convierte la lucha contra el malware en una contienda difícil. “Las compañías de antivirus están trabajando al límite de sus posibilidades en términos de velocidad”, reconoce Gostev.

Por otra parte, aunque no la mayoría, algunos hackers están realizando trabajos bastante creativos. Este año ha sido testigo de algunos ataques de phishing altamente sofisticados, y los constructores de virus han diversificado su actividad introduciéndose en áreas relativamente nuevas, como la mensajería instantánea y los sitios de networking social, según Christopher Boyd, director de investigación sobre seguridad de FaceTime Communications. No obstante, en términos generales, la tendencia ha sido el predominio de la “cantidad sobre la calidad”, asegura.

El número de nuevas firmas se multiplica por cinco
El laboratorio de Kaspersky en Moscú se encuentra en las primeras líneas de la batalla. Sus analistas añadieron 2.000 firmas a su base de datos en enero de 2005; el mes pasado, incorporaron 10.000 nuevas firmas, cinco veces más, según Stanislav Shevchenko, máximo responsable del laboratorio.

Estos profesionales trabajan en turnos de doce horas, analizando pantalla tras pantalla de líneas de código detectadas. Herramientas automatizadas analizan algunas porciones de malware, pero el examen humano es imprescindible para otras. Un buen analista puede procesar una porción común de malware en cinco minutos, asegura Shevchenko. Pero algunos de los códigos más sofisticados son más difíciles de descifrar. Según Shevchenko, los virus polimórficos –aquellos capaces de cambiar secuencias de bytes para eludir el software antivirus- pueden exigir hasta una semana de trabajo.

Las firmas se añaden a una base de datos utilizada por el motor antivirus de Kaspersky, licenciado por otros suministradores de seguridad, como Juniper Networks, ClearSwift o F-Secure.

Impunidad legal
El aumento del volumen de código malicioso puede ser atribuido en parte a la impunidad que gozan los autores del malware, según Eugene Kaspersky, responsable de investigación antivirus de la compañía. A pesar de los esfuerzos legales realizados por muchas agencias gubernamentales para reforzar la cooperación internacional, la mayoría de sus creadores nunca son castigados. “Es bastante seguro para ellos”, explica Kaspersky. “Si son lo suficientemente avispados, ni siquiera existirá riesgo”.

Organismos como el Federal Bureau of Investigation de Estados Unidos y el Federal Security Service (FSB) ruso –sucesor de la agencia de inteligencia KGB- a menudo solicitan información a Kaspersky Lab, según Timur Tsoriev, portavoz de Kaspersky.
Kaspersky explica que su laboratorio se centra más en proteger a los clientes de la compañía que en la búsqueda de las raíces de la actividad criminal online, y asegura que la carga de la creciente actividad criminal online impacta de manera directa en las empresas de seguridad. “Si no existe ayuda de la policía, si ellos no desarrollan medidas para disuadir a los criminales y reducir su número, me temo que los niveles de detección de los productos antivirus terminarán cayendo”.