¿Son las listas blancas tan efectivas como parecen?
En la industria de la seguridad informática siempre se están investigando nuevas técnicas de detección de malware con la finalidad de ofrecer la mayor protección posible a los usuarios. Si analizamos la evolución de los antivirus en el tiempo vemos como, en su origen, se limitaban a añadir firmas para cada muestra de malware que aparecía. Esta técnica empezó a ser inviable cuando la cantidad de muestras empezó a crecer de forma alarmante y por eso se incluyeron técnicas de detección heurística y de análisis de comportamiento, permitiendo así detectar una amenaza analizando su código o ejecutando el archivo sospechoso en un entorno controlado y revisando que acciones realizaba.
Aun con la heurística y el análisis de comportamiento, aun quedaba un margen para el error y entonces se empezaron a añadir nuevas técnicas como las basadas en la nube, lo que, en teoría, ayudaría a reducir considerablemente el tiempo existente entre la detección de una muestra y el lanzamiento de un firma que permitiera su eliminación. No obstante, una de las técnicas que más ha dado que hablar en los últimos años es la que usa una lista blanca de aplicaciones firmadas digitalmente como referencia para bloquear aquellas que no lo estén o no tengan un firma autorizada. Para hacer un símil fácil de comprender, sería como poner a un portero de discoteca (el antivirus) a la entrada de nuestro local (el sistema) con una lista de invitados (la lista blanca).
En teoría, esta sería una solución ideal puesto que la gran mayoría del malware actual viene sin ser firmado digitalmente. Pero, no obstante, cada vez hay más excepciones. No hay mas que recordar el reciente caso del malware Stuxnet para ver como se puede encontrar malware con firmas digitales perfectamente válidas. Como ejemplo, esta captura de pantalla realizada por el investigador de ESET Pierre-Marc Bureau en la que se puede observar como una muestra del Stuxnet viene firmada digitalmente con un certificado validado para la empresa JMicron.
Viendo ejemplos como el anterior y, sabiendo que cada vez se observan ejemplos de malware mejor elaborado, parece que la opción de añadir listas blancas de aplicaciones permitidas tanto a las soluciones de seguridad como a los propios sistemas operativos no es tan infalible como aparenta. Se trata de una capa adicional de seguridad, sin duda, pero dista mucho de ser la panacea que algunos se esfuerzan en proclamar.
Desde el laboratorio de ESET en Ontinet.com pensamos que toda capa de protección adicional es bienvenida. No obstante debemos evitar pensar que la instalación de una solución de seguridad solucionará todos nuestros problemas. Como muchos otros programas, no está exento de fallos y es imposible asegurar una protección al 100% viendo la cantidad creciente de muestras que se reciben cada día. Para evitar poner en riesgo nuestro sistema, lo mejor es mantenerse informado acerca de las amenazas más recientes y usar nuestro sentido común.
Josep Albors
Related Posts
-
Win32/Spy.Ranbyus modifica código Java en sistemas RBS de Ucrania
No hay comentarios | Dic 21, 2012
-
La vulnerabilidad más reciente de Drupal ya está siendo aprovechada por los delincuentes
No hay comentarios | Mar 4, 2019
-
Mi nuevo móvil, seguramente seguro (II)
No hay comentarios | Mar 13, 2013
-
Nuevos casos de phishing que utilizan a Apple y a Gmail como gancho
No hay comentarios | Ago 30, 2012
Sobre el Autor
Josep
Director de Investigación y Concienciación de ESET España. Apasionado de la tecnología, los videojuegos y trabajando en el mundo de la seguridad informática desde 2005. Siempre dispuesto a aprender y a compartir conocimientos para concienciar a los usuarios y así disfrutar de la tecnología de forma segura.