Ante amenazas cambiantes, soluciones cambiantes: la evolución de los virus y antivirus

Kaspersky Lab, el desarrollador líder de sistemas de manejo seguro de contenidos, acaba de publicar el artículo llamado “Ante amenazas cambiantes, soluciones cambiantes: la evolución de los virus y antivirus”, escrito por David Emm, consultor experto en tecnología de la compañía. El artículo está dirigido a usuarios y gerentes interesados en la historia de la evolución de los programas maliciosos y en el desarrollo paralelo de las soluciones antivirus.

El artículo ofrece una visión general de los cambios en las amenazas desde fines de los 80, cuando aparecieron los primeros virus informáticos, hasta la evolución de las amenazas para los dispositivos móviles, en la primera década del siglo XXI. También analiza la manera en que han evolucionado las soluciones antivirus en su afán de no perderle el ritmo a los cambios en los programas maliciosos mediante la implementación de nuevas tecnologías.

Los primeros virus afectaban al sector de arranque y los archivos DOS de los ordenadores, y a finales de la década de los 80 se les unieron algunos gusanos y los primeros troyanos. Los autores de virus usaban una serie de técnicas furtivas para alargar el ciclo vital de los códigos maliciosos, evadiendo los exámenes antivirus. Algunas de estas técnicas, como la eliminación de los mensajes de error y el polimorfismo (que hace que el código viral sea diferente cada vez que infecta un equipo) aún siguen siendo utilizados por algunos de los modernos autores de virus.

Las soluciones antivirus se diseñaron en un principio como utilidades individuales para detectar y neutralizar determinados tipos de virus. Sin embargo, a medida que crecía el número de virus, se empezaron a lanzar los “paquetes” antivirus que además incluían escaneado a solicitud, que detectaba virus conocidos, y en algunos casos una utilidad de limpieza. A finales de los años 90, el número de virus se elevó a casi 300 lo que llevó a los diseñadores de soluciones antivirus a implementar la protección en tiempo real, y a complementar el análisis de signaturas con el método heurístico, el análisis de comportamiento, el método de la emulación, y otras técnicas más.

La aparición del primer macrovirus en 1995 constituyó un hito pues a partir de entonces este tipo de virus pasó a dominar la escena por los siguientes cuatro años. Estos virus fueron los primeros que de manera deliberada infectaban los archivos de datos, y no estaban dirigidos específicamente ni a plataformas ni a sistemas operativos. Esto cambió el enfoque de los autores de virus de los códigos ejecutables a los datos. Los macrovirus resultaban fáciles de modificar, y esto permitió que se incrementara el número de autores de virus, lo que a su vez provocó que el número de virus se incrementara de unos 6.000 detectados en junio de 1995 a más de 25.000 en diciembre de 1998.

Con la evolución en el escenario de las amenazas y en el de las prácticas de negocios, las soluciones antivirus también tuvieron que cambiar. Era evidente la necesidad de soluciones para gateways y servidores, además de los filtros de archivos y las soluciones para estaciones de trabajo, para lograr la protección total de las redes.

La aparición del virus Melissa, en marzo de 1999, fue otro salto dado por los códigos maliciosos. La habilidad que Melissa tenía para expandirse por sí misma dio inicio a la era de los gusanos de correo electrónico, que se esparcían en variadas formas, y por lo general recurrían a técnicas de ingeniería social para llevar al desprevenido usuario a ejecutar códigos maliciosos. Los gusanos de Internet, que a menudo se expandían explotando vulnerabilidades (combinando esta con otras técnicas para lograr maximizar su rendimiento) volvieron en 2001, y dominaron en los años siguientes.

Respondiendo a las nuevas amenazas, los fabricantes de productos antivirus empezaron a ofrecer soluciones de mayor alcance: inclusión del cortafuegos personal, sistemas de protección contra intrusos para redes y ordenador host, monitoreo de actividad en la aplicación, y, en algunos casos, capacidad de revertir cambios no deseados efectuados por los programas maliciosos en los equipos infectados.

El decaimiento de las epidemias desde 2003 refleja un viraje en la motivación de los autores de virus: pasaron de elaborar y expandir códigos maliciosos con el simple fin de causar daño a hacerlo para obtener ganancias ilegales. Esto dio como resultado troyanos diseñados a pedido dirigidos a sistemas específicos, y programas maliciosos desarrollados para robar los datos confidenciales del usuario, como datos de sus cuentas y contraseñas bancarias y de juegos en línea. Los troyanos se pueden utilizar para crear redes zombi que a su vez se utilizan para realizar envíos de spam que puede contener códigos maliciosos. Los ataques phishing también se han expandido, y los ciberdelincuentes engañan a los usuarios para inducirlos a introducir los datos de sus cuentas bancarias en sitios falsos.

Lejos de quedarse estáticos, los autores de virus también han empezado a dirigir sus ataques a dispositivos móviles que cada vez son más y más utilizados en el ámbito empresarial. Desde que se detectara el primer gusano para teléfonos inteligentes en 2004, también han hecho su aparición virus, gusanos y troyanos para dispositivos móviles. En un periodo de pocos años, las amenazas para este tipo de dispositivos se han incrementado en la misma medida en que lo lograran los programas maliciosos para ordenadores pero en el transcurso de 20 años.

El autor del artículo concluye enfatizando que dado que el escenario de las amenazas ha cambiado más allá de lo imaginado, es imperativo para los usuarios contar con una efectiva protección. Las soluciones de seguridad deben brindar protección oportuna contra aproximadamente 200 nuevas amenazas que emergen a diario, y al mismo tiempo deben implementar tecnologías capaces de neutralizar las amenazas desconocidas a medida que aparecen.