Los sistemas de seguridad reactivos, basados en firmas tradicionales para el código malicioso y listas negras para el phishing, están obsoletos y se muestran insuficientes para abordar una realidad cuyos números y efectos se desconocen.

La Real Academia Española describe "poner puertas al campo" como frase coloquial usada para dar a entender la imposibilidad de poner límites a lo que no los admite.

Por definición, tanto el código malicioso como el phishing son conjuntos finitos, si bien están en continuo crecimiento. La producción actual es tan prolífica que a efectos prácticos es imposible luchar de forma efectiva intentando poner una nueva "puerta" para cerrar la vía de entrada de cada nuevo caso de código malicioso o phishing.

¿Se desconoce la magnitud del problema?

El que trabaja dentro del sector tiene acceso a material de primera mano y tendencia a perder la perspectiva que se distingue del problema desde el exterior. Es normal que difiera la percepción de un usuario respecto a un profesional de la seguridad.

Tener puntos de vistas diferentes suele ser complementario y enriquecedor. Además, tradicionalmente las casas de seguridad han realizado, en ocasiones o de forma puntual, un mal uso de las estadísticas y las alertas, utilizándolas como herramienta de ventas para provocar la necesidad de adquirir unos determinados productos. No es de extrañar que el usuario de hoy mantenga cierta actitud crítica, por otro lado recomendable, cuando se le habla de los peligros que acechan en Internet.

Ahora bien, cuando se lee en la prensa que aparecen 2.000 nuevos virus cada mes, de boca de un reputado experto en seguridad, ya no es un simple problema de percepción entre usuarios finales y profesionales del sector. La brecha es mayor.

Algunos números

Un laboratorio antivirus puede recibir cada día una media de mil nuevas muestras de código malicioso para las que su solución no disponía de firma de detección específica. No hay ninguna errata en los números, hablamos de 1.000 en 24 horas, Y hay casos donde el volumen es mayor.

El phishing y el robo de credenciales de acceso a la banca, al contrario del código malicioso, tal vez sea una actividad más visible. No en vano la estrategia más común por parte de los atacantes es realizar un envío masivo de mensajes para hacer llegar la dirección falsa al mayor número de víctimas potenciales. Todos hemos recibido varios mensajes de ese tipo, y más o menos podemos hacernos una idea del volumen.

Ahora bien, cuando hablamos de troyanos bancarios o de phishing segmentado entramos en un terreno mucho más oscuro. Como dato, en el laboratorio de Hispasec analizamos más de 100 troyanos bancarios cada día.

¿En qué se traducen estos números?

La situación es algo contradictoria. Vivimos la época con mayor número de amenazas e incidentes en Internet, si bien la percepción general sobre la inseguridad se ha relajado respecto a años anteriores.

Algunos culpables

El código malicioso ha dejado de ser noticia. Antes solía aparecer regularmente un gusano de propagación masiva que obtenía la atención de los medios tradicionales y protagonizaba titulares.

Ahora la estrategia de los atacantes ha cambiado. En vez de un gusano de propagación masiva que infecta miles de usuarios en poco tiempo, pero que también provoca que los antivirus reaccionen en tiempo destacable, prefieren distribuir miles de variantes que infectan a más usuarios, pasan más desapercibidas, y dificultan la labor de detección de los antivirus.

Además el código malicioso actual es menos perceptible por los usuarios infectados. Atrás quedaron los virus que mostraban efectos en las pantallas de los usuarios, eliminaban archivos, o los gusanos que provocaban un aumento en el tráfico de red. Los troyanos y los programas espía, reyes indiscutibles de la escena actual, están diseñados para permanecer ocultos en los sistemas y no dar señales de su actividad.

La situación actual

A efectos prácticos, el disponer de un antivirus o no hacer caso a los mensajes de phishing no garantiza a un usuario que su sistema no esté infectado o sea víctima de una estafa.

De hecho, es muy común encontrarse sistemas con antivirus instalados donde conviven varios troyanos y/o programas espía. Con frecuencia los usuarios nunca llegan a ser conscientes de las infecciones, más de una vez habremos escuchado la frase: "parece que este Windows tiene demasiado tiempo, va muy lento y con errores, toca formatearlo de nuevo". Sí, en muchas ocasiones la responsabilidad no es del sistema de Microsoft (comodín para todos los males), o al menos no en exclusividad.

Tampoco faltan casos de usuarios que han sido víctimas de fraude a través de la banca electrónica por Internet, que además de disponer de antivirus actualizado nunca han visitado una página de phishing.

Lo que hay que exigir

Los sistemas de seguridad totalmente reactivos no son suficientes, tenemos que exigir prevención y proactividad. Por ejemplo, las firmas tradicionales siguen siendo imprescindibles para los antivirus en la actualidad, si bien debemos adquirir soluciones que complementen esa capa de detección con buena tecnología heurística o basada en el comportamiento, capaces de detectar código malicioso nuevo y desconocido.

No existe antivirus infalible, pero a buen seguro conseguiremos un mayor grado de protección.

En el caso del phishing debemos exigir a nuestras entidades sistemas de autenticación más robustos, utilizar el típico usuario y contraseña o PIN estático para el acceso y autorización de transacciones es a todas luces insuficiente.

Aunque son muchos los factores en contra a los que se debe enfrentar una entidad para implantar un sistema de autenticación multifactor y/o multicanal, la mayoría ajenos a la tecnología, la experiencia demuestra que cualquier avance, por pequeño que sea, es significativo en la lucha contra la falsificación de sitios.

Un ejemplo, las tarjetas de coordenadas no dejan de ser un pseudo intento de OTP (One-Time Password) primitivo. A algunos le resultará contradictorio que en pleno siglo XXI tengamos que mirar una tarjeta de plástico y jugar a los barquitos para introducir una contraseña. Pero las entidades que las han implantado han visto reducir drásticamente su nivel de fraude por Internet.

Tampoco es, ni mucho menos, la solución definitiva. Sistemas más robustos que las tarjetas de coordenadas (certificados, tokens, canales alternativos vía móviles, etc.) pueden ser, y serán atacados, con efectividad. De hecho algunos de ellos ya son objetivos puntuales en la actualidad. Pero mientras existan entidades con sistemas más débiles, basados en el usuario y contraseña tradicional, los atacantes y el phishing se cebarán en ellos.

Resumiendo

Es una frase manida, pero no por ello le quita razón: la seguridad es un proceso continuo. No vamos a encontrar la solución mágica contra los ataques y el fraude, desconfié de quién le ofrezca el producto definitivo y 100% seguro.

Tampoco es menos cierto que la seguridad es una responsabilidad compartida. Aunque cada vez se tiende a hacer los sistemas de seguridad más transparentes para el usuario, pocos pueden resistir cuando no se hace un uso responsable de la tecnología.

Debemos aprender a evolucionar en el tiempo. Como usuarios tendremos que in/formarnos continuamente sobre las nuevas amenazas que van surgiendo, no en vano la educación en materia de seguridad es una las principales y más útiles barreras contra los ataques. Nos tocará también adquirir nuevos hábitos y adaptarnos a nuevas tecnologías.

Pero, sobre todo, debemos exigir a los proveedores unos niveles mínimos de seguridad en todos los sistemas que nos rodean, desde la solución antivirus de nuestro ordenador, pasando por la banca electrónica de nuestra entidad. A día de hoy muchos están por debajo de lo que exige la situación actual.

Tú eres el usuario, tú mandas, ¿hora de cambiar?.