El efecto Zoo de los antivirus. Si hiciéramos una encuesta con una pregunta tan sencilla como “¿Cuál es el mejor antivirus?”, es lógico que tuviéramos una respuesta obvia como “el que más virus detecte”. Sin embargo, hace mucho tiempo que quedaron atrás esas campañas de publicidad engañosa que prometían o garantizaban una protección al 100% contra los virus, tanto conocidos como desconocidos.
Hoy día se ha demostrado que cualquier antivirus no puede ofrecer esas garantías de protección.
Desarrolladores de algunas pruebas de concepto sobre nuevas tecnologías antivirus son conscientes de que aun queda mucho camino por recorrer antes de que puedan equipararse a los sistemas actuales en cuanto a fiabilidad y facilidad.
En definitiva, se trata de analizar el efecto negativo que, en los actuales sistemas antivirus de detección por firmas, provoca algunas prácticas que persiguen adulterar y engordar de forma artificial las estadísticas de virus reconocidos de cara a la galería.
Las colecciones “zoo”…
En la mayoría de certificaciones y comparativas se suele enfrentar los productos antivirus contra varias colecciones de muestras infectadas. El porcentaje de aciertos en las diferentes colecciones suele ser el indicador más determinante a la hora de valorar un producto.
Las colecciones pequeñas, de virus más significativos y activos, como la “InTheWild”, apenas presentan diferencias de resultados entre la mayoría de los productos y, más que un indicador comparativo, sirve como mínimo exigible.
Para marcar diferencias en las comparativas, y también como prueba de fuego en las certificaciones, se suele utilizar la llamada colección “zoo”, que básicamente consiste en un conjunto de todas las muestras infectadas que se posee.
La “zoo” comprende, además de los virus más relevantes y novedosos, toda muestra que el evaluador haya conseguido recolectar a lo largo de su carrera, desde los primeros virus que aparecieron, de los que hoy día ya no existen pruebas de infecciones reales, hasta aquellos que nunca han visto la luz ni infectado a nadie, pero que forman parte de pruebas de laboratorio o colecciones privadas.
En la web del zoológico (cyberzoo.org) hay una sección para enviar postales informáticas que llevan adjunto el virus I love you, o el Marburg, o el World Cup 98, o el Phantom o gusanos informáticos, entre otras opciones, que a pesar de ser reales, ya no dañan un ordenador.
La necesidad de que un antivirus detecte un virus de los años 80 que hoy día no tiene posibilidades de propagación bajo Windows, o un virus que nunca ha salido a la luz y no ha infectado a nadie, puede llegar a ser discutible. Aunque las comparaciones y extrapolaciones en este campo no son buenas, es como si alguien se vacunara contra una enfermedad ya erradicada o contra un virus biológico de laboratorio, por si algún día resulta que hay un brote.
Pero la realidad es que la posibilidad, por remota que sea, existe, y el deber de un antivirus es ofrecer el mayor grado de protección posible, en especial si se trata de virus conocidos. Así que hasta el momento, nada que objetar.
Adulteraciones en las “zoo”…
El problema real de las colecciones “zoo” es que no están depuradas, es decir, existen muestras consideradas virus (o cualquier otra variante de malware, como gusanos, troyanos, etc…) que en realidad no lo son, ni presentan ningún efecto nocivo ni dañino.
En definitiva, no tendrían que formar parte de la colección, ni tendrían que ser detectadas por los antivirus.
Para la confección de las propias comparativas antivirus de Hispasec, revistas especializadas, así como para análisis e informes técnicos, necesitamos contar con el mayor número de muestras posibles para realizar nuestro trabajo. Entre otras fuentes, regularmente recorremos las webs de creadores de virus y coleccionistas que permiten la descarga de muestras de forma pública a través de Internet y, por tanto, son especímenes que potencialmente podrían llegar a cualquier usuario.
Una de las tareas más tediosas para mantener la colección de muestras de Hispasec no es la recolección, sino la comprobación de las mismas. Afortunadamente a lo largo de los años hemos desarrollado varias herramientas que de forma automática nos hacen las primeras cribas y son capaces de descubrir las muestras falsas más comunes.
Sin embargo, son muchas las comparativas, incluida algunas certificaciones, que a juzgar por algunos resultados no realizan una depuración de las colecciones. Como resultado, sus colecciones “zoo” están adulteradas con muestras que no son virus, y ello se extrapola a los indicadores que obtienen los diferentes productos antivirus.
Lo peor aun es que la mayoría de las casas antivirus, tal vez condicionadas por estas comparativas y certificaciones donde se podían ver perjudicadas, han optado por incluir en su base de datos de firmas esas falsas muestras como si fueran auténticos virus.
Otra posibilidad podría ser la inversa, que las casas antivirus hubieran sido las primeras en incorporarlos como virus a sus bases de datos y que las comparativas los incluyeran a posteriori en sus colecciones al comprobar que algún antivirus las reconocían como virus. Independientemente de si fue primero el huevo o la gallina, el caso es que el circulo vicioso no hace más que aumentar.
El efecto “zoo”…
¿Cómo repercute el número de firmas que reconoce un motor antivirus en su rendimiento? Parece claro que existe una relación directa, a mayor número de firmas a chequear, mayores recursos necesitará, y la velocidad de proceso será menor, lo que perjudica al resto de procesos o aplicaciones que existan en el sistema.
El hecho de que los antivirus reconozcan virus falsos, además de la publicidad engañosa que pueda generar o la búsqueda de buenos resultados artificiales en comparativas y certificaciones de dudosa calidad, tiene un efecto negativo en el comportamiento del propio antivirus que puede penalizar el rendimiento del sistema e incluso hacer peligrar la seguridad del cliente.
La solución aunque pueda parecer sencilla, bastaría con depurar las firmas de detección de los antivirus, tiene efectos negativos inmediatos a nivel comercial: podrían verse perjudicados en comparativas y certificaciones que cuenten con muestras falsas. Es la pescadilla que se muerde la cola.
Las casas antivirus se encuentran en muchas ocasiones en la encrucijada de diseñar sus productos pensando en la protección real del usuario o en los requisitos de los evaluadores. Paradójicamente, además de no coincidir en algunas ocasiones, pueden existir incluso intereses opuestos. Normalmente se opta por un punto intermedio, intentar acometer los requerimientos de ambos, aunque a costa del detrimento en la optimización del producto.
Llegados a este punto, no debemos caer en la tentación de arrojar sobre las espaldas de las casas antivirus toda la responsabilidad.
De hecho, buena parte de esta percepción errónea de lo que debe ser un buen antivirus es achacable a las revistas especializadas y analistas que nos dedicamos a crear opinión sobre las soluciones antivirus.
Si más de una vez he dicho que muchos productos antivirus se encuentran anclados en el pasado, por no integrar nuevas tecnologías de detección más allá de las firmas, las comparativas y certificaciones están mucho peor. Uno de los casos más sonados fue el de la comparativa antivirus de CNET en 2001, entre otros despropósitos, llegaron a utilizar simuladores de virus en vez de muestras reales para algunos tests. Por lo demás, la mayoría siguen basando su modelo de evaluación en arcaicas pruebas de detección ITW y Zoo.
Las comparativas y certificaciones deben de evolucionar, incluyendo nuevos tests acorde con las características de las nuevos especímenes que aprovechan Internet para su propagación, así como evaluaciones que contemplen las nuevas tecnologías antivirus que se están incorporando. Por otro lado, deberían de incorporar mecanismos para la depuración de sus colecciones para evitar el efecto “zoo”, incluyendo tests de detección de falsos virus cuyos indicadores se relacionen con tests de rendimiento del motor.
Los antivirus deberían de dejar de utilizar el concepto de número de virus detectados como arma de marketing, ya que no tiene ningún sentido que sigan en una guerra de cifras que de sobra saben no tiene ningún valor real y que tarde o temprano terminará por perjudicarles. Además, deberían optimizar su base de datos de firmas para reconocer sólo los especímenes que realmente pueden llevar a cabo acciones dañinas, eliminando los falsos virus. En caso de verse perjudicados en comparativas o certificaciones que utilicen colecciones “zoo” no depuradas, con muestras falsas, deberían denunciar públicamente los resultados.
Los usuarios deben de tomar conciencia de que el número total de virus que dice reconocer un antivirus es un dato sin ningún valor. Además de todo lo comentado con anterioridad respecto a los falsos virus, la propia tecnología de detección por firmas lleva a resultados dispares.
