Frenar ciberataques engañando al enemigo, ¿el futuro de los antivirus?
Si te van las series y películas de espías, seguro que te suena la estrategia: un solo hombre (excepcionalmente talentoso, claro) se enfrenta a todo un ejército y sale vencedor haciendo creer a su enemigo que cuenta con muchos más recursos de los que tiene en realidad. Se trata de engañar al oponente, de disuadirle. Si piensa que se está metiendo con el primo de Zumosol, se lo pensará dos veces antes de atacar o buscará un rival más débil.
Esto, que es de sentido común y se lleva aplicando toda la vida en escenarios tan diversos como la contienda bélica o la protección de los hogares (¿por qué tienes un perro y un sistema de alarma en el chalé si no es para ahuyentar a los ladrones?), parece una defensa impensable ante la alarmante escalada de ciberataques que sufren en la actualidad empresas y particulares.
La industria de la seguridad y los antivirus hace justo lo contrario. Cuando un programa nuevo se cuela en tu ordenador, el 'software' de seguridad trata de aislarlo y lo ejecuta en un entorno controlado en busca de “firmas”en busca de “firmas”. Básicamente, consiste en comprobar si el código presuntamente malicioso responde a los comportamientos típicos de alguna de las amenazas conocidas.
Los atacantes ya se esperan este enfoque y lo combaten de dos formas: en primer lugar, modifican su 'bicho' cada poco tiempo para asegurar que pase las pruebas; en segundo, lo programan para detectar el propio 'test' y responder, ya sea desactivándose para resultar inofensivo o contraatacando (hay 'malware' que borra el disco duro cuando sabe que está siendo analizado).
Al final, los buenos y los malos toman parte de una eterna carrera que más bien parece una persecución. Las mafias del cibercrimen saben cómo nos estamos defendiendo y se adelantan al siguiente paso. ¿Por qué no darle la vuelta como los espías al comienzo de estas líneas?
Es lo que proponen Pablo San Emeterio, experto en seguridad de Telefónica, y Román Ramírez, organizador del congreso Rooted Con, que han explicado en las IX Jornadas STIC del Centro Criptológico Nacional (CCN-CERT) su original enfoque para combatir el 'malware'.
Según los investigadores, las compañías de antivirus malgastan incontables recursos en analizar el 'software' malicioso que va surgiendo y “sacar firmas” para incorporarlas a sus bases de datos. En lugar de esto, Ramírez y San Emeterio proponen engañar al atacante, hacerle creer que su código está siendo analizado nada más pisar la máquina para que responda desactivándolo.
De acuerdo con su explicación, la mayoría de los programas maliciosos se vuelven benignos cuando descubren que han sido aislados ('sandboxing', en la jerga del sector), así que los expertos han probado con éxito una solución que dispara a propósito todas las alarmas del intruso.
Se han metido en las botas de un cibercriminal para reproducir cada indicio capaz de levantar sus suspicacias. Por explicarlo de la forma más sencilla, han hecho todo lo que no se debe hacer cuando se monta una 'sandbox' para ejecutar el 'malware' de manera aislada.
Entonces, ¿los atacantes se marcharán sin más? San Emeterio y Ramírez creen que sí, al menos la mayoría y en un primer momento. Sin embargo, admiten que hay algunos riesgos asociados a esta técnica; por ejemplo, que el 'malware' reaccione, como ya apuntábamos, eliminando toda la información del disco duro.
Además, el atacante podría percatarse del engaño al ver tantos indicios diferentes, o pensar que está lidiando con un novato incapaz de camuflar su 'sandbox'. Para evitar que esto suceda, los investigadores proponen dar solo algunas pistas, es decir, activar o desactivar los indicios que se muestran en función de la amenaza.
Esta idea de engañar al enemigo para hacer que se retire ya se ha planteado en otras ocasiones (sin ir más lejos, el español Jordi Vázquez dio una charla al respecto en la Kaspersky Academy en 2013), pero hasta el momento, que Ramírez y San Emeterio sepan, no se ha incorporado a un antivirus u otra solución estándar de seguridad.
----------
Las imágenes que aparecen en este artículo son propiedad de Electronic Frontier Foundation y Christiaan Colen (2)