¡El Antivirus es solo aceite de serpiente y daña tu seguridad! Sí, nah.
Aceite de Serpiente: sustantivo; informal.
Una sustancia sin valor medicinal real que se vende como remedio para todas las enfermedades.
El término proviene de la práctica estadounidense del siglo XIX de vender curas elixires en espectáculos de medicina itinerante. Los vendedores de aceite de serpiente afirmarían falsamente que las pociones curarían cualquier dolencia. Hoy en día se refiere a productos falsos.
Hemos visto la declaración anterior en varias publicaciones de blog a lo largo de los años. Muchos escritores han afirmado que el software antivirus causa más daño que beneficio, y que los usuarios deben mantenerse alejados de él para evitar poner en riesgo la seguridad de su computadora.
Este artículo tiene como objetivo proporcionar información privilegiada de la industria antivirus. Si bien hay un grano de verdad en lo que se arroja contra nosotros los fabricantes de software antivirus, también hay algo de información clave que falta en estos artículos de seguridad bien intencionados.
Son los bits faltantes que a menudo definen las conclusiones. Le recomiendo que aprenda más sobre la situación y luego decida por usted mismo si el software antivirus es un aceite de serpiente o una parte esencial de cada sistema informático.
¿Qué se supone que debe hacer el software antivirus / anti-malware?
Protege contra virus, troyanos, ransomware y cualquier otro tipo de malware, ¡por supuesto!
Pero espera, hay más en esta respuesta aparentemente banal. Echemos un vistazo a los orígenes del malware primero.
¿Cómo ingresa el malware a mi Computadora?
Las amenazas en línea no solo aparecen de la nada. Ni tampoco son una inevitabilidad. Es un error pensar que simplemente tenemos que aceptar el malware como una parte inevitable de nuestras vidas.
En realidad, las amenazas en línea son más como visitas no deseadas a su hogar. Al igual que los ladrones, tratarán de entrar a su hogar por diferentes medios, como ventanas abiertas o pozos de ventilación en el costado del edificio, pero la manera más fácil sigue siendo llamar a la puerta principal y convencerlo de que simplemente los deje entrar. o engañarte para que dejes la casa sin protección para que puedan colarse durante un momento no observado.
Lo que trato de decir aquí es:
¨Es sobre todo el elemento humano lo que hace que las computadoras sean inseguras, no la tecnología.¨
Nadie realmente quiere escucharlo, pero los humanos cometen errores. Siempre tenemos y siempre lo haremos, independientemente de nuestro nivel de conocimiento o habilidad. Es una de las constantes de la naturaleza, y los atacantes saben exactamente cómo usar ese hecho para su beneficio. Los atacantes esperan que:
No tiene cuidado con las actualizaciones de su software y podría perder la instalación de parches para las fugas detectadas recientemente. Esto permite a los atacantes entrar y colocar un troyano o bot mediante el uso de código de explotación.
Hacía clic en un botón de descarga si es lo suficientemente atractivo y utiliza información atractiva (y falsa) para que puedan instalar el software no deseado que le molesta con anuncios y ventanas emergentes todo el día.
Es curioso y podría abrir un archivo adjunto de correo electrónico que parece una factura o una confirmación de entrega de paquete, pero en realidad instala un encriptador que contiene todos sus archivos para pedir un rescate.
Haría clic en un enlace en un correo electrónico si se parece a todos los otros correos electrónicos que recibe todos los días. El enlace puede invitarlo a ingresar su contraseña bancaria más secreta, para que puedan limpiar su cuenta bancaria.
Simplemente haga clic en Siguiente, Siguiente, Siguiente, sin leer los cuadros de diálogo de instalación con cuidado, para que puedan instalar paquetes de adware o dañar el sistema (también conocido como sintonizadores de sistema).
Son flojos y reutilizan sus contraseñas fáciles de recordar o no implementan una fuerte política de fuerza bruta en su servicio de escritorio remoto, para que puedan ejecutar las variaciones de contraseña más probables muy rápidamente y robar sus datos o hacerse cargo de su máquina .
Echemos otro vistazo a lo que se supone que debe hacer el software antivirus:
¨Se supone que el software antivirus evita que cometas errores que puedan poner en riesgo la seguridad de tu computadora.¨
¿Qué otras medidas de protección hay?
Hace apenas una década, el antivirus era más o menos la única manera de mantener su sistema a salvo. Hoy, afortunadamente, tenemos varias capas de protección para evitar que ocurra la peor situación posible:
Permisos de Usuario
En los primeros días de la informática en Windows, todos los programas funcionaban con los mismos (más altos) privilegios, lo que significaba que básicamente cualquier script malicioso cargado desde un sitio web podía acceder completamente (y destruir) todos sus datos. Hoy en día, los permisos de usuario predeterminados son en su mayoría bastante restringidos y, aunque están lejos de ser perfectamente implementados, esos conceptos de permisos cambiaron bastante la escena del malware. Por lo general, los programas descargados deben ser confirmados para que se puedan ejecutar.
El hecho permanece: los sistemas de permisos son típicamente complejos y, por lo tanto, a menudo también contienen fugas.
Actualizaciones
Muchos de nosotros recordamos los comienzos de la década de 2000 cuando se detectaron nuevas fallas importantes en Windows y su navegador Internet Explorer mensualmente. A cada uno de ellos le siguió una serie de malware de gusanos que usaba las filtraciones recientemente detectadas para engañarlo con infecciones. Si bien todavía se encuentran fugas de seguridad en el software y el hardware, la industria ha aprendido a lidiar con ellos de forma mucho más profesional para limitar su posible impacto. Windows y otras actualizaciones de software ahora se realizan automáticamente en segundo plano, por lo que el intervalo de tiempo sin protección es menor, lo que deja menos oportunidades para los ataques.
Sin embargo, el código de la computadora nunca es perfecto y no se informan todas las filtraciones a los proveedores de software para ayudarlos a corregir su código. Algunos se comercializan en el mercado negro por enormes cantidades de dinero.
Sandboxing
Los navegadores modernos están haciendo un gran trabajo para mantener los scripts de sitios web lejos de los datos almacenados en su computadora. La tecnología para separar cosas de manera segura se denomina "espacio aislado" y es más segura, ya que no hay fugas integradas que explotar en el código de la caja de arena.
Debilidades conceptuales del Software Antivirus
No es sorprendente que algunos expertos en seguridad llamen al software antivirus peligroso, porque puede serlo. Aquí es por qué:
El problema de los "privilegios"
El software antivirus necesita ejecutarse en el sistema operativo con los privilegios más altos para que pueda monitorear y escanear todo el sistema con todos sus programas instalados, y no solo los datos del usuario. Simplemente no hay una forma viable de construir un antivirus potente sin tener acceso a las cosas que se supone que debe proteger.
Pero correr con los privilegios más altos también significa que cualquier error en el software puede ser fatal en términos de seguridad, especialmente cuando permite a los atacantes hacer un mal uso del antivirus para ingresar al sistema.
Por lo tanto, la afirmación de que los antivirus pueden hacer que el sistema no sea seguro es técnicamente correcta. Pero aquí es importante tener en cuenta que lo mismo se aplica a todos y cada uno de los programas que instala en su computadora con permisos de administrador. Esto incluye todos los controladores de hardware y software que instala y cualquier otro sistema cerca de la herramienta que se ejecuta en segundo plano.
Mientras escribo este artículo, mi Administrador de tareas muestra 221 procesos activos, de los cuales 111 se están ejecutando con permisos para todo el sistema. Solo uno de ellos es el proceso de servicio de protección Anti-Malware de Emsisoft. Pero los otros 110 son al menos tan peligrosos para su seguridad como el servicio de protección.
Si bien eso no es una excusa para escribir código incorrecto, tenemos que reconocer que las posibilidades de que uno de los controladores de hardware contenga una fuga (o incluso un rootkit o backdoor intencional) es al menos tan probable como que el software antivirus lo contenga.
La verdad es que hay filtraciones potenciales en todo el software: la historia nos ha enseñado claramente esa lección. Hay filtraciones en el sistema operativo, en el antivirus y también en otros controladores y herramientas que se ejecutan con altos privilegios.
Cuando se encuentra una fuga, lo mejor que podemos hacer es arreglarlo lo más rápido posible.
El problema de "inspección SSL / TLS"
Alrededor de la mitad de los sitios web de Internet ya se sirven a través de un protocolo de comunicación cifrado y seguro denominado TLS (y su antecesor SSL, más conocido). Puede decirle a un sitio web encriptado mediante el "https" (observe la "s") al comienzo de la dirección de un sitio web.
Si bien SSL es apreciado por todos, plantea un problema interesante para algunos proveedores de antivirus, ya que muchos productos confían en una inspección profunda del tráfico del sitio web para detectar amenazas. Como SSL es un cifrado de extremo a extremo, es técnicamente imposible escanear el contenido del sitio web a menos que el antivirus instale un proxy SSL local que simule los certificados de seguridad reales de los sitios web. Sin embargo, esta es una forma muy peligrosa de usar la tecnología, ya que las cosas pueden salir mal; en el peor de los casos, podría engañar a un usuario para que crea que un sitio web está cifrado de manera segura cuando en realidad no lo está.
Pero la inspección profunda del tráfico no es la única forma de protegerse de los sitios web peligrosos, por lo que este problema no se aplica a todos los productos antivirus.
Por ejemplo, Emsisoft demuestra que la protección de navegación se puede hacer sin dañar el concepto de seguridad SSL. El filtrado basado en DNS es el camino a seguir, si le preocupa su seguridad SSL.
El problema de las "incompatibilidades"
Las tecnologías de protección avanzada, como el bloqueo de comportamiento, requieren que el software antivirus resida entre la capa del sistema operativo y la capa de programas del usuario. El problema aquí es que Windows originalmente no estaba diseñado para permitir que el software de seguridad se posicione allí, ya que en aquel momento nadie imaginaba que los antivirus se volvieran más sofisticados que el simple escaneo de archivos de estilo de huellas dactilares.
Entonces, los desarrolladores tenían que ser creativos y usar interfaces de Windows indocumentadas y el llamado código 'sucio'. Hizo el trabajo, pero estaba lejos de ser la mejor y más segura práctica de codificación.
Esto a menudo condujo (y ocasionalmente todavía conduce) a incompatibilidades entre programas, dando como resultado conceptos de seguridad contradictorios (especialmente con la tecnología sandbox), o incluso bloqueos de programas y sistemas.
Afortunadamente, Microsoft y otros proveedores de software reconocieron esos problemas y comenzaron a proporcionar interfaces sólidas y estandarizadas para desarrollar tecnología antivirus avanzada. La introducción de una nueva plataforma de controlador de filtro en Windows Vista fue un gran alivio para toda la industria y permitió una tecnología antivirus mucho más robusta y compatible.
¿El Antivirus ahora es inútil o qué?
Déjame quitarme el sombrero de marketing por un momento y cambiar a mi sombrero lógico. Por supuesto, no puedo negar que me gano la vida creando software antivirus aquí. Pero si mi principal objetivo era ganar dinero, preferiría unirme al lado oscuro y crear malware. Honestamente, ¡el malware simplemente tiene (desafortunadamente) un modelo de negocio mucho mejor!
He dedicado más de la mitad de mi vida a lo que todavía creo que es más importante cuando se trata de usar computadoras: permitir que las personas las usen de forma segura.
Si el antivirus estaba obsoleto, ¿por qué se encuentran tantas amenazas?
Nuestro escáner de malware encuentra millones de archivos peligrosos y nuestra protección en tiempo real bloquea millones de ataques cada año. No hay dudas sobre la efectividad del software antivirus / anti-malware. Como lo dijo uno de nuestros revendedores:
Hemos vendido cientos, sino miles de copias de Emsisoft a través de nuestro negocio minorista. Debo decir que Emsisoft funciona tan bien que siento que puede estar perjudicando nuestro negocio de reparación. - David Gentry, Lantean Systems LLC, EE. UU.
Declaraciones como esa nos confirman que el tiempo y el dinero gastados en software antivirus / antimalware no se desperdicia. No solo detectamos el malware para detectarlo y crear una buena sensación con los clientes; estamos, de hecho, evitando que cosas malas sucedan, todos los días.
La Seguridad no es una cosa absoluta: es un equilibrio de riesgos
Una cosa que aprendí en la industria de la seguridad es que muchas personas tienden a ver solo en blanco y negro, pero no hay nada en el medio. Ven una fuga de seguridad individual en un programa específico e inmediatamente llegan a la conclusión de que todos esos programas deben ser malos.
Sin embargo, a menudo no está claro si está bien o mal, especialmente cuando se trata de sistemas y conceptos extremadamente complejos. Siempre depende de las expectativas individuales y los niveles de riesgos aceptables.
Si usted es uno de los pocos expertos en informática que puede decir con seguridad que puede evitar todas las amenazas potenciales mediante el uso de sus conocimientos y habilidades, es posible que no necesite un software antivirus. Las compensaciones por posibles fugas en el software pueden ser mayores que el riesgo de que realmente pueda contraer una infección.
Pero si no pasó los últimos 20 años aprendiendo sobre la arquitectura del sistema operativo y los conceptos de seguridad, puede descubrir que el riesgo de cometer un error humano típico es mucho mayor que el riesgo de que su antivirus se convierta en víctima de un ataque en sí.
El usuario promedio de Emsisoft Anti-Malware se salva de los ataques varias veces al año, ataques que de lo contrario habrían sido fatales para la computadora. Nuestros usuarios también están protegidos contra programas potencialmente no deseados (PUP), que ni siquiera pueden caer en la categoría de 'amenaza' desde una perspectiva de seguridad.
El mejor equilibrio de riesgos para usted como individuo es, en última instancia, su decisión.
¿Sería el mundo un lugar mejor sin un software antivirus?
Personalmente veré completada mi gran misión cuando llegue el día en que ya no necesitemos más software antivirus. En un mundo ideal, podríamos confiar en la arquitectura de la computadora que era segura por diseño y previene todo error humano potencial, pero desafortunadamente eso no existe todavía.
Mientras el software esté escrito por humanos y las computadoras sean utilizadas por humanos, probablemente habrá fugas de seguridad contra las cuales tenemos que luchar.
Hasta entonces, continuaremos nuestro viaje e intentaremos proporcionar las mejores respuestas posibles para ransomware, troyanos, virus, programas no deseados y todos los demás tipos de malware, para que pueda disfrutar de pasar el tiempo en línea sin preocuparse por la seguridad.
¡Que tengas un día bien protegido!