La compañía Cyveillance ha creado un informe en el que se concluye algo
que resulta tan obvio como "real". Los porcentajes de detección de los
antivirus son bajos. Detectan por firmas el 19% del malware "fresco"
mientras que pasado un mes, sube al 61.7%. El estudio puede servir de
excusa para recordar el estado de la industria del (anti)malware.

Cyveillance recopiló 1.708 binarios reconocidos como malware por al
menos tres antivirus de los 13 contemplados en el estudio. Estos
binarios eran archivos recolectados en los tres últimos días por la
empresa con sus propios métodos. Analizó los archivos cada 6 horas
durante 30 días con los 13 motores. La media de detección iba desde el
19% del día 1, hasta el 61.7% el día 30.

Apreciaciones sobre ciertos puntos

* Catalogan como malware confirmado el binario que es detectado por al
menos tres motores de los 13 que contemplan. Nuestra experiencia con
VirusTotal (subjetiva), nos dice que el malware realmente "fresco",
suele ser detectado (a través de firmas) por menos de tres casas
antivirus. En ocasiones, por ninguna. Además, los falsos positivos
son comunes. El hecho de que tres motores detecten un binario no es
definitivo para concluir que deba ser reconocido. Sólo un análisis
manual lo es.

* Es injusto comparar los antivirus solo por sus firmas. Aunque el
informe no especifica explícitamente que se haya realizado el estudio de
esta forma, todo apunta a que así se ha hecho. Esto no es nada nuevo:
desde siempre, los virus "recién creados" han sido menos detectados por
firmas en un principio. Tampoco es difícil crear específicamente
troyanos "no detectados" por firmas. Los atacantes lo hacen todos los
días. Otra cosa es que sean detectados por comportamiento en el sistema
una vez ejecutados, que es el punto fuerte de las suites antivirus en
estos momentos.

No es ningún secreto que el modelo de detección por firmas es cada vez
"una parte más" de los antivirus, y no se puede juzgar a un producto
exclusivamente por la detección estática de muestras. Es lo mismo que
ocurre con VirusTotal. Los resultados obtenidos al enviar una muestra
son analizados de forma estática, por tanto pueden diferir de lo que un
usuario obtiene con el antivirus instalado en su sistema. Las suites,
cada vez más, se basan en el comportamiento de las muestras para
detectar el malware. Hacen una buena labor en ese sentido, y no es
posible hoy en día evaluar un producto completo sólo por una de sus
funciones. Si se quiere evaluar la calidad y cantidad de firmas, se debe
ser consciente de que eso es sólo una parte del producto. También cabe
recordar que, aunque las propias casas antivirus utilizaron esta métrica
errónea de las firmas en el pasado cuando los números le eran
beneficiosos, cada vez abandonan más esta práctica.

* ¿Son 1.708 binarios suficientes? No sabemos la naturaleza de los
binarios. Por ejemplo, sabemos que las casas antivirus tienen serios
problemas para detectar los "rogueware" (falsos antivirus). Pueden pasar
semanas hasta que algún motor los detecta por firmas. La producción
actual es tan prolífica que a efectos prácticos es imposible luchar
contra ello de forma efectiva. Solo se puede mitigar el problema.

Sabemos que un laboratorio antivirus puede recibir cada día más de mil
nuevas muestras de malware para las que no disponen de firma de
detección específica. 1.000 firmas que crear en 24 horas. Utilizan
sistemas automatizados para catalogar, con todas sus ventajas e
inconvenientes. Solo las muestras muy relevantes o nuevas pasan a ser
analizadas manualmente. Que, tras 30 días, la media suba del 19 a algo
más del 61% de detección por firmas, es incluso un buen trabajo.

* Es evidente en cierta forma que la industria antivirus se encuentra en
"quiebra técnica". Deben mantener una lista negra actualizándose
constantemente; una heurística agresiva para detectar nuevos especímenes
que no estén en su lista negra; y una lista blanca más pequeña y que se
actualiza menos, para evitar detectar demasiado goodware como malware y
provocar algún daño en el sistema, por ejemplo. A pesar de sus
esfuerzos, siguen sufriendo muchos problemas: o bien están detectando
como malicioso software legítimo, o bien siguen sin detectar malware de
verdad, o en el peor de los casos, ambas cosas.

* Sí es cierto que el usuario medio suele ser víctima del marketing de
las casas antivirus, y creen que la suite les salvará de todo mal.
Slogans como "Protección total" o "Blindaje del sistema" calan en el
usuario que concluye que realmente es lo único que necesita. Este tipo
de informes, puede ayudar a desterrar esa idea aunque, por otro lado, a
veces también pueden llegar a polarizan la opinión: "¿Acaso, a pesar del
dinero invertido en la solución antimalware, no estoy protegido por
completo?" o "Las soluciones antimalware no sirven para nada". Ninguna
de las dos posiciones es adecuada. Como concluye el informe, las
soluciones antivirus son imprescindibles, pero es necesario combinarlas
con otros métodos de prevención.

En definitiva, estudiar porcentajes de detección de forma objetiva hoy
en día es una tarea compleja... para todos.

Recomendaciones

Ya lo sabemos: la seguridad es un proceso continuo y que se debe
complementar en diferentes capas... seguridad en profundidad. El
principal consejo para los usuarios de sistemas operativos en general
y los de Windows en particular es no usar la cuenta de administrador.
Actualizar el sistema, y no sólo Windows, sino todos los programas que
tengamos instalados deben estar actualizados a la última versión de su
rama. También mantenerse informado sobre tendencias de seguridad,
malware y estado en general de la seguridad en la red. ¿Y el antivirus?
Por supuesto. También es imprescindible tener un antivirus actualizado a
diario.

Aunque el informe no especifica explícitamente que se haya realizado el
estudio de esta forma, todo apunta a que así se ha hecho. Nos hemos
puesto en contacto con ellos para aclarar este punto, pero no ha habido
respuesta.

Más información:

Cyveillance testing finds AV vendors detect on average less than 19% of
malware attacks