Según fueron pasando los años, la tecnología utilizada para la detección de los virus fue mejorando considerablemente. Los creadores de los virus iban siendo cada vez más hábiles para hacer que los antivirus no detectaran sus códigos, mientras que los desarrolladores de antivirus creaban nuevos métodos de detección y desinfección.
Cuando Internet empezó a popularizarse, los administradores vieron cómo los virus empezaban a propagarse por canales a los que los antivirus clásicos no podían acceder. El correo electrónico, por ejemplo, supuso una fuente inagotable de sustos víricos para aquellas redes con protecciones antivirus anticuadas.
Además, los virus dejaron de ser un problema local para convertirse en una lacra a nivel global. Gracias a Internet la propagación de un virus ya no se restringía a una determinada área, sino que las fronteras pasaron a ser una mera anécdota.
Otro factor muy importante fue la velocidad con la que los nuevos virus se propagaban. Si antes un virus podía tardar meses en distribuirse, gracias a Internet el tiempo quedó reducido a unos escasos días. La actualización del software contra los virus empezaba a ser más necesaria que nunca, hasta el punto de llegar a tener una frecuencia diaria.
Los últimos tiempos han supuesto una nuevo reto en el mundo de la tecnología antivirus. La amenazas ya no tardan meses, ni días en propagarse: ¡les bastan unos minutos! Códigos como SQLSlammer, Blaster o Sasser son capaces de propagarse tan rápidamente que los usuarios no tienen tiempo material para reaccionar ante ellos. Los creadores de virus saben que existe un tiempo en el que los ordenadores están indefensos, e intentan que los virus ataquen precisamente en ese pequeño espacio de tiempo.
En un sistema antivirus clásico, los virus son detectados en función de las características que tiene cada programa. Al igual que un código genético, cada virus dispone de unos cuantos bytes que son únicos e irrepetibles, que se utilizan para buscar cada virus. Pero, como hemos comentado antes, es necesario un tiempo para distribuir la actualización del antivirus que detecte y elimine el virus.
La solución a los nuevos virus no puede basarse en una detección a posteriori, ya que el tiempo para detenerlos es escaso, sino que debe estar organizada en torno a las acciones que el virus pueda llevar a cabo. Si observamos cómo se comportaron los virus anteriormente citados, todos ellos explotaban alguna vulnerabilidad del sistema operativo, por lo que a través de ella puede conseguirse la solución. Y no me refiero al clásico “parcheado” de los equipos, que aunque se ha demostrado completamente eficaz para la prevención no es llevado a cabo con la rapidez necesaria. Me refiero al control de los “exploits” para las vulnerabilidades.
Sasser, por citar el ejemplo más cercano, producía un desbordamiento de buffer aprovechando una vulnerabilidad. Si se instala en el ordenador un sistema de vigilancia de las tareas que están ejecutándose, y de su actividad a la hora de interactuar con el sistema operativo, puede evitarse un uso inadecuado de la pila de datos de los programas (el buffer) que pueda resultar perjudicial para el sistema. La idea no es nueva. Cuando los virus de boot estaban ampliamente difundidos, muchos fabricantes de placas base desarrollaron sistemas “antivirus”, simplemente grabando programas que evitaran escrituras en los sectores de arranque de los discos. Es una protección básica, que intenta evitar la acción del virus en lugar de detectar y eliminarlo.
La protección futura contra códigos maliciosos basado en la vigilancia de procesos es la clave para poder proteger no ya solo un ordenador, sino toda una red, contra las nuevas amenazas que se difunden a gran velocidad. Funcionando en conjunto con los antivirus clásicos, y soportado por un sistema de vigilancia y desarrollo de las empresas antivirus que pueda dar respuesta casi inmediata a las sospechas de virus transmitidas por el sistema, es ya, sin duda, la protección que las empresas necesitan.
Sin embargo, no todas las empresas desarrolladoras de antivirus actuales son capaces de ofrecer este nuevo tipo de tecnologías. Sólo podrán ofrecerlas aquellas que tengan departamentos de investigación, desarrollo e innovación trabajando en ellas, y hayan sabido detectar el problema con antelación.
Fernando de la Cuadra Editor Técnico Internacional Panda Software - http://www.pandasoftware.com
|