Las oleadas de ataques de malware son constantes y sin cuartel. Prueba de ello es el mensaje que ha llevado Kaspersky a la última RSA alertando sobre la imposibilidad de poder responder a las amenazas, solicitando a los gobiernos e instituciones que tomen cartas en el asunto y colaboren con las empresas de soluciones y servicios de seguridad TI en frenar los indiscriminados ataques.

Entre ellos están ganando protagonismo los conocidos como Zero Day, o Día Cero, porque se producen sobre las aplicaciones más extendidas, antes de que los suministradores hayan atajado una vulnerabilidad. Unos ataques que ya se encuentran entre las grandes pesadillas de los responsables de TI, entre otras razones porque el software antivirus basado en firmas generalmente no ofrece protección ante esta vertiente de criminalidad online.

En concreto, durante el año pasado se detectaron numerosos ataques día cero sobre aplicaciones de la suite Microsoft Office, apuntando a vulnerabilidades que sólo los atacantes aparentemente conocían y que consiguieron regatear todas las protecciones antivirus de puestos y de redes. Estos ataques presentan un importante dilema dado que la tecnología antivirus depende sobre todo de su capacidad para detectar, capturar e identificar la muestra de malware y, de forma inmediata, determinar y revertir el código que produce el mal para, finalmente, escribir y distribuir las firmas.

Algunos expertos como Roger Thompson, uno de los pioneros de los antivirus que ahora dirige el Exploit Prevention Labs en Atlanta, aseguran que el modelo basado en firmas ya no es tan eficaz como lo era en el pasado, especialmente desde que los atacantes afinan sus códigos tanto como para sortear la detección. Cuando se detecta e identifica es tarde y ha logrado llegar a su objetivo e infectarlo.

Esta decadencia del software basado en firmas es lo que ha impulsado a los fabricantes de soluciones de seguridad a innovar sus tecnologías y redefinir sus respectivos modelos de producto. Las grandes compañías de esta industria como Panda Software, Symantec, McAfee y Trend Micro renuevan su oferta de suites de soluciones y tecnologías, ofreciendo múltiples capacidades, entre ellas, antispyware, cortafuegos personales, políticas de seguridad de extremo a extremo o sistemas de prevención de intrusión.

Como complemento de ese refuerzo de las aplicaciones aparecen nuevos servicios y metodologías, como son el Malware Radar o el modelo de Inteligencia Colectiva, ambos desarrollados por Panda Software y que, en opinión de la compañía, proponen un nuevo paradigma en cuanto a seguridad. En concreto, Malware Radar, el más moderno servicio de Panda Software, detecta las amenazas que escapan de las soluciones tradicionales, a las que complementa. Un servicio basado en el mencionado enfoque de Inteligencia Colectiva, también desarrollado por la firma; un sistema experto que reside en una red de data centers que cuenta con más de un centenar de servidores y que tiene como pilares de su funcionamiento la capacidad de recolectar datos de la comunidad y de aprender de la experiencia, la explotación automatizada de los datos, analizando y clasificando miles de nuevas muestras diariamente; y la puesta a disposición de los usuarios del conocimiento extraído en forma de servicios Web o a través de actualizaciones de los ficheros de firmas.

En opinión de Bruno Rodríguez, director de la Unidad de Negocio de Malware Radar, "el enfoque de Inteligencia Colectiva permite abordar un problema que se hace cada vez más evidente, que es la detección de las nuevas amenazas. Gracias a ello, Malware Radar puede descubrir más ataques que si escaneáramos una red con varios anti-malware a la vez". Una situación que la compañía afirma que es muy real y, de hecho, invita a los responsables de TI de las empresas a que lo verifiquen probando gratuitamente el nuevo servicio de Panda.

Para Sixto Heredia, director de Expansión de Panda Software, las soluciones tradicionales no son suficientes para defenderse de la nueva dinámica del malware. "Hacen falta nuevos servicios como la auditoría automatizada y la aplicación de técnicas de inteligencia artificial que van más allá de la detección, entre otras cosas porque la percepción de seguridad es bien distinta a la realidad". Una percepción tan errónea como que un 76 por ciento de las empresas que han aplicado Malware Radar estaban infectadas, a pesar de que contaban con soluciones de seguridad instaladas.

Desde Moscú, donde la inseguridad es moneda corriente y, posiblemente por eso, la seguridad preocupa, Eugene Kaspersky, fundador de Kaspersky Lab, asegura que "se hace lo que se puede. Ya no se puede hablar sólo del antivirus del PC o del puesto de red. Hay que pensar en soluciones 'anti-todo'. Soluciones capaces de bloquear comportamientos sospechosos, realizar detecciones heurísticas, y con capacidades anti-spam, anti-spyware y anti-rootkit".

Oficial retirado del ejército ruso, Kaspersky, que fundó su compañía en 1997 y ha conseguido impulsar su expansión mundial, reconoce la importancia y el valor de responder a un ataque de malware en tiempo real.

"Estamos perdiendo el partido ante los criminales de la informática. Son demasiados y actúan desde el subsuelo de Internet, en China, en Latinoamérica, también desde Rusia; y nos obligan a trabajar las 24 horas de cada día simplemente para estar a su mismo nivel," asegura Kaspersky.

Pájaros carpintero

En una sala llena de monitores último modelo, Kaspersky presenta a eWEEK sus 'woodpeckers', el equipo de jóvenes cazadores de virus que tienen las empresas de seguridad TI y que son los responsables de identificar amenazas en tiempo real y de codificar y distribuir las firmas a millones de ordenadores.

El secreto del éxito de estas compañías es tener la máxima capacidad para elaborar y distribuir firmas antivirus permanentemente, las 24 horas de los 365 días del año. "Pero, como usuarios, no sólo dependemos de las firmas," reconoce Kaspersky, "también necesitamos backup de información, control parental, antiphishing. El mundo ha cambiado mucho. Hace diez años, peleábamos contra chicos listos que 'hackeaban' por hobby. Ahora nos enfrentamos a criminales organizados que pretenden controlar equipos para obtener dinero con ello. Un mundo diferente que exige protecciones diferentes".

No quedan ahí las necesidades. Las nuevas suites han de proporcionar prevención contra la fuga de datos y la gestión de parches y configuraciones desde una única consola. Los analistas coinciden con la visión un tanto fatalista de Kaspersky, reconociendo que la fiesta fue muy buena mientras duró, que se ha ganado mucho dinero y que ahora la escena ha cambiado: los usuarios exigen más y las empresas de seguridad tienen que aprender a vivir en un mercado muy competitivo con precios a la baja.

Microsoft, un gigante que espera su momento

Una de las grandes amenazas, aunque desde el plano competitivo y no del malware, es la seguridad reforzada del sistema operativo Windows Vista y el marketing y la estrategia de producto de Microsoft, definitivamente orientada a ofrecer tecnologías y soluciones con y de seguridad personal y corporativa. Una estrategia que puede debilitar la posición de las compañías pequeñas, como Kaspersky Lab, aunque para los observadores las que más van a sentir el empuje de Microsoft serán las grandes.

Subestimar a Microsoft será un gran error, aseguran. No hay más que tener en cuenta que la compañía de Redmond hace tiempo que ha entrado en el sector de la seguridad TI, gracias a las adquisiciones de Sybari, que aporta tecnología de antivirus para empresas; y Giant Software, experta en sistemas de protección en tiempo real contra spyware y malware. Los desarrollos Sybari están siendo remodelados como Microsoft Forefront y la tecnología de Giant es en la que se basa el software Windows Defender.

En una pirueta de lo más interesante, Microsoft comercializa a sus grandes clientes el escáner antivirus de Kaspersky Lab como parte de la estrategia multiescaner de Forefront. Asimismo, el núcleo del antivirus de Kaspersky es la base de productos de Aladdin Knowledge, F-Secure, G Data Software, Alt-N Technologies, Microworld y Borderware.

Una política de licencias que sitúa a Kaspersky en una posición única como competidor, aunque a través de sus partners y OEM. Con objeto de diferenciarse, la compañía va a presentar el nuevo motor Versión 6.0 de su suite, aunque sus socios sólo podrán implementar la Versión 5.0.

Lejos de ser un segmento en decadencia, según Gartner el mercado global de seguridad informática superará este año los 10.000 millones de dólares, una cifra interesante incluso para Microsoft.

Desde la perspectiva de consumo, la suite de seguridad OneCare de Microsoft todavía tiene dificultades para avanzar en un mercado dominado para las grandes de la seguridad, a pesar de las inversiones que ha realizado. Aunque nadie, salvo Microsoft, sabe a ciencia cierta las posibilidades de mercado de su OneCare, mínima para algunos y no tanto para otros, el analista de Gartner, John Pescatore, subraya que Microsoft ha invertido mucho en tres años de desarrollo de ese producto y muy poco en el marketing del mismo: "he visto muchos anuncios en televisión de Zune y de Vista, pero ninguno de OneCare".