¿Se puede engañar a los virus para desactivarlos?

virus-informatico

Seguro que te suena la estrategia: un solo hombre se enfrenta a todo un ejército y sale vencedor haciendo creer a su enemigo que cuenta con muchos más recursos de los que tiene en realidad. Se trata de engañar al oponente, de disuadirle. Si piensa que se está metiendo con Napoleón, lo pensará dos veces antes de atacar o buscará un rival más débil.

Esto, que es de sentido común y se lleva aplicando toda la vida en escenarios tan diversos como la contienda bélica o la protección de los hogares (¿por qué tienes un perro y un sistema de alarma en el chalé si no es para ahuyentar a los ladrones?), parece una defensa impensable ante la alarmante escalada de ciberataques que sufren en la actualidad empresas y particulares.

La industria de la seguridad y los antivirus hace justo lo contrario. Cuando un programa nuevo se cuela en tu computadora, el 'software' de seguridad trata de aislarlo y lo ejecuta en un entorno controlado en busca de “firmas”. Básicamente, consiste en comprobar si el código presuntamente malicioso responde a los comportamientos típicos de alguna de las amenazas conocidas.

Los atacantes conocen esta técnica y la combaten de dos formas: en primer lugar, modifican su 'bicho' cada poco tiempo para asegurar que pase las pruebas; en segundo, lo programan para detectar el propio 'test' y responder, ya sea desactivándose para resultar inofensivo o contraatacando (hay 'malware' que borra el disco duro cuando sabe que está siendo analizado).

Al final, los buenos y los malos toman parte de una eterna carrera que más bien parece una persecución. Las mafias del cibercrimen saben cómo nos estamos defendiendo y se adelantan al siguiente paso. ¿Por qué no darle una vuelta de tuerca?

Es lo que proponen Pablo San Emeterio, experto en seguridad de Telefónica, y Román Ramírez, organizador del congreso Rooted Con, que han explicado en las IX Jornadas STIC del Centro Criptológico Nacional (CCN-CERT) su original enfoque para combatir el 'malware'.

Según los investigadores, las compañías de antivirus malgastan incontables recursos en analizar el 'software' malicioso que va surgiendo y “sacar firmas” para incorporarlas a sus bases de datos. En lugar de esto, Ramírez y San Emeterio proponen engañar al atacante, hacerle creer que su código está siendo analizado nada más pisar la máquina para que responda desactivándolo.

De acuerdo con su explicación, la mayoría de los programas maliciosos se vuelven benignos cuando descubren que han sido aislados ( 'sandboxing', en la jerga del sector), así que los expertos han probado con éxito una solución que dispara a propósito todas las alarmas del intruso.

Se han metido en los zapatos de un cibercriminal para reproducir cada indicio capaz de levantar sus suspicacias. Por explicarlo de la forma más sencilla, han hecho todo lo que no se debe hacer cuando se monta una 'sandbox' para ejecutar el 'malware' de manera aislada.

Entonces, ¿los atacantes se irán sin más? San Emeterio y Ramírez creen que sí, al menos la mayoría y en un primer momento. Sin embargo, admiten que hay algunos riesgos asociados a esta técnica; por ejemplo, que el 'malware' reaccione, como ya apuntábamos, eliminando toda la información del disco duro.

Además, el atacante podría percatarse del engaño al ver tantos indicios diferentes, o pensar que está lidiando con un novato incapaz de camuflar su 'sandbox'. Para evitar que esto suceda, los investigadores proponen dar solo algunas pistas, es decir, activar o desactivar los indicios que se muestran en función de la amenaza.

Esta idea de engañar al enemigo para hacer que se retire ya se ha planteado en otras ocasiones no se ha incorporado a un antivirus u otra solución estándar de seguridad.