Soluciones Antimalware

Publicado en Cibersegur...

Soluciones Antimalware

¿Qué es un malware?

Es necesario definir este concepto, Mal-ware es la abreviatura de malicious software (software malicioso).

Es un programa informático creado con un fin malicioso, con la intención de acceder sin autorización a una red o sistema privado para:

Dañarlos,

Controlarlos externamente,

Robar datos confidenciales (como información personal, números de tarjetas de crédito, etc.)

Causar daño en un servidor.

Una vez que un equipo es infectado con malware, este suele operar de manera automática, ejecutando las líneas de código correspondientes para realizar diversas actividades sin el consentimiento del usuario y burlando las medidas de seguridad del dispositivo ← Y aquí es donde entra el alcance de este trabajo.

¿Qué es un anti-Malware?

Tipo de software diseñado para prevenir, identificar y eliminar programas maliciosos de los dispositivos y sistemas informáticos.

Es una forma de protección muy básica y muchos sistemas operativos traen incluido un antimalware desde la fábrica, como es el caso de Windows Defender, que está incluido en Windows.

……………………………………………………………………………

Abrimos un corto paréntesis. Los softwares piratas (que no recomendamos instalar ya que son ilegales) como requisito de instalación, te piden que desactives el antivirus. ¿Por qué será?

……………………………………………………………………………………………………………

Este tipo de programa puede ser instalado en:

Dispositivos individuales (como laptops, workstations, smartphones).

Dispositivos de red o en servidores.

Software antimalware que funciona en la nube.

Integrado al firmware (soporte lógico inalterable es un programa informático que establece la lógica de más bajo nivel que controla los circuitos electrónicos de un dispositivo de cualquier tipo Firmware - Wikipedia, la enciclopedia libre) de un dispositivo.

¿Cuál es la diferencia entre antimalware y antivirus?

Para diferenciarlos hay que definir los conceptos de virus y malware.

Virus informático: Tipo de programa que, al ser ejecutado, se replica y se adjunta a otros archivos ejecutables, como documentos, insertando su propio código malicioso. Requieren la interacción del usuario.

Pueden clasificarse en dos tipos:

Inofensivos: solo muestran una imagen o mensaje.

Destructivos: modifican o eliminan datos.

Los antivirus están diseñados específicamente para detectar y eliminar este tipo de virus. Por ejemplo, pueden generar una alerta cuando un usuario abre un documento que contiene un virus ofuscado.

Malware: Como se definió anteriormente, es un tipo de software malicioso diseñado para dañar, interrumpir o acceder sin autorización a sistemas informáticos. En muchos casos, el malware se presenta en forma de scripts (fragmentos de código malicioso) que se inyectan en los sistemas dependiendo de su tipo y vulnerabilidades.

Estos scripts, conocidos como payloads, suelen estar disponibles en Internet y están diseñados específicamente para atacar ciertos sistemas operativos. Su funcionamiento se basa en la explotación de vulnerabilidades conocidas, errores de configuración o incluso vulnerabilidades no divulgadas públicamente, conocidas como 0-days.

Tipos de malwares:

Spyware: Espía al usuario, rastrea su actividad, registra teclas y recopila datos. A menudo viene junto a troyanos o software legítimo.

Adware: Muestra anuncios, generalmente en navegadores. Suele estar acompañado de spyware.

Backdoor (puerta trasera): Permite acceso remoto no autorizado, eludiendo autenticaciones. Opera en segundo plano y es difícil de detectar.

Ransomware: Secuestra el sistema o los datos y exige un pago. Se propaga por phishing o vulnerabilidades.

Scareware: Usa tácticas de miedo para engañar al usuario a instalar software infectado, haciéndole creer que su sistema está en riesgo.

Rootkit: Modifica el sistema para abrir una puerta trasera y dar acceso remoto. Aprovecha vulnerabilidades para obtener privilegios altos. Es difícil de detectar.

Troyano: Se disfraza como software legítimo, pero realiza acciones maliciosas. No se propaga sólo; engaña al usuario para instalarlo.

Gusano: Se replica y propaga por la red sin intervención del usuario ni necesidad de un archivo anfitrión. Se difunde rápidamente, aprovechando vulnerabilidades.

Virus: también entra en esta categoría.

Los antimalware son un programa que posee técnicas defensivas contra toda la gama de malware mencionada.

Se encarga de identificar y eliminar todo tipo de software malicioso.

Evolución de los anti-malwares

Inicialmente, las amenazas informáticas eran simples virus que se propagaban por disquetes o correos electrónicos básicos. Con la evolución de Internet, el malware se ha vuelto:

Más complejo (ej. ransomware que cifra archivos).

Más dirigido (ataques a empresas específicas mediante malware personalizado).

Más persistente (con técnicas como rootkits que ocultan su presencia).

Evolución del Malware:

Principios: El malware se originó con gusanos que se propagaban a través de redes.

Años 90: Se popularizaron los virus, gusanos, troyanos y software espía.

Siglo XXI: El malware se ha vuelto más complejo, con la aparición de ransomware, rootkits y malware basado en inteligencia artificial.

Actualmente: El malware se adapta constantemente para evadir las defensas, utilizando técnicas de ingeniería social y aprovechando vulnerabilidades en el software.

Evolución de las Defensas Antimalware:

Antivirus tradicionales: Detectaban y eliminaban virus basados en firmas.

Defensas avanzadas: Incorporan análisis heurísticos(método de evaluación de la usabilidad en el que expertos evalúan un producto (como una interfaz web o una aplicación) comparándolo con una serie de principios de diseño predefinidos, llamados heurísticas). El objetivo es identificar problemas de usabilidad y proponer mejoras para optimizar la experiencia del usuario. inteligencia artificial y análisis de comportamiento para detectar malware desconocido.

Uso de inteligencia artificial y machine learning para detectar amenazas desconocidas.

Integración con sistemas de respuesta automática ante incidentes.

Protección multiplataforma (Windows, macOS, Linux, móviles). Para todo tipo de sistema.

Desafíos para el futuro:

La ciberseguridad enfrenta el desafío de mantenerse al día con la constante evolución del malware.

La creciente adopción de tecnologías, la falta de cultura de seguridad y la brecha digital amplifican el riesgo.

Es fundamental que gobiernos, empresas y ciudadanos trabajen juntos para fortalecer las ciberdefensas y promover la educación en seguridad digital.

Caso: Implementación de Symantec Endpoint Protection en una empresa energetica alemana

Symantec Endpoint Protection , desarrollado por Broadcom Inc. , es un paquete de software de seguridad que consta de funciones antimalware, prevención de intrusiones y firewall para servidores y computadoras de escritorio.

Contexto segun Infosys: La empresa alemana enfrentaba los siguientes desafios:

Tenían múltiples versiones obsoletas de Symantec Endpoint Protection desplegadas en miles de endpoints y servidores.

Las políticas de seguridad eran inconsistentes y desactualizadas, lo que incrementaba el riesgo de brechas de seguridad.

La gestión y actualización de políticas era manual y fragmentada, generando ineficiencias y vulnerabilidades.

Mejoras: Se desarrolló e implementó una estrategia de consolidación y modernización:

La solución SEP, al actualizarse a su última versión, mejoró las capacidades de detección de malware mediante el uso de firmas actualizadas y la tecnología de prevención de intrusiones.

Reconfiguración de políticas de seguridad, alineadas con las mejores prácticas de ciberseguridad.

Unificación de la consola de administración para centralizar la gestión de más de 20,000 endpoints y servidores.

Automatización de tareas de mantenimiento y reporte, reduciendo la carga operativa del equipo de seguridad.

Resultados en relación a la ciberseguridad:

Se lograron bloquear más de 8,000 ataques de todo tipo en los primeros 6 meses tras la implementación.

Se eliminó la fragmentación en la gestión de versiones y políticas.

Se mejoró la visibilidad y el control sobre todo el parque informático protegido.

La eficiencia operativa aumentó gracias a una infraestructura de seguridad más moderna, centralizada y automatizada.

Prevención de malware desconocido:

SEP utiliza una combinación de análisis basado en la nube y la inteligencia artificial para identificar y bloquear amenazas avanzadas y malware desconocido.

La empresa mejoró su defensa contra malware y otras amenazas cibernéticas que no podían ser detectadas con métodos tradicionales basados únicamente en firmas.

Resumen de la guía de implementación de dicho software

Fase	Detalle	Actividades
1	Planificacion y preparacion	Evaluar las necesidades de seguridad (PCs)
		Definir la políticas de seguridad (Fw/IPS)
		Establecer estructura de grupos de endpoints
2	Instalacion y activacion	Descargar e instalar SEP en los endpoints
		Activar la licencia
		Configurar el servidor de admin “SEM”
3	Configuracion y personalizacion	Configurar parámetros de seguridad para cada grupo
		Implementar según lo definido en la política de la F1
		Personalizar la configuración según las necesidades
4	Pruebas y validación	Realizar pruebas que aseguren el funcionamiento del SEP
		Validar la detección y respuesta ante amenazas simuladas
5	Mantenimiento y actualizaciones	Actualizar periódicamente el soft y las definiciones de amenazas, ya que evolucionan con el tiempo
		Monitorear el rendimiento y aplicar medidas correctivas

Caso: Falsa detección de actualización de Windows como malware por parte de Webroot (2017)

En abril de 2017, la empresa de seguridad Webroot sufrió un grave error cuando su software antimalware identificó erróneamente archivos del sistema operativo Windows como amenazas.

Detectó erróneamente archivos del sistema operativo Windows como malware ("W32.Trojan.Gen").

Como consecuencia:

Envió archivos críticos a cuarentena, afectando el funcionamiento del sistema.

Marcó sitios web legítimos, como Bloomberg y Facebook, como sitios de phishing.

Provocó que muchos equipos se volvieran inestables o inoperativos.