Muchos usuarios, al adquirir un antivirus de pago, se sienten más protegidos e incluso se atreven a descargar contenido dudoso, abrir correos electrónicos sin preocuparse demasiado por los riesgos potenciales o incluso abrir archivos adjuntos recibidos en WhatsApp sin preocupación, porque “mi guardaespaldas digital” está ahí para protegerme.
Es cierto que desde julio de 2017, casi todos los antivirus conocidos en el mercado se han vuelto más meticulosos en analizar posibles malware (programas que causan algún daño a nuestros ordenadores cuando se ejecutan) en archivos ejecutados en tu ordenador o smartphone.
Muchos han comenzado a analizar el comportamiento, especialmente las acciones en segundo plano basadas en PowerShell (el lenguaje de scripting de Microsoft presente en todos sus sistemas operativos más modernos), generando alertas y bloqueos inmediatos al menor signo de escalada de privilegios administrativos de un proceso (cuando un ejecutable intenta realizar funcionalidades normalmente reservadas para un administrador) o incluso una migración de proceso (un procedimiento común de malware en un intento de mezclarse con procesos internos de tu sistema operativo).
Sin embargo, ten en cuenta que los antivirus todavía necesitan evolucionar mucho. Principalmente analizan firmas de código, es decir, con cada descubrimiento de código malicioso, se genera un hash de este villano sintetizando la causa potencial de destrucción en una firma única, que se distribuye rápidamente como “persona non grata” a todos los usuarios de ese antivirus.
Basta con que un programador con experiencia promedio altere una línea de código e implemente alguna rutina de ofuscación de datos (una especie de encriptación de código malicioso) para que el antivirus ya no reconozca el código que una vez catalogó como amenaza y notificó a todos los usuarios de un cierto producto de combate de malware. Esto se debe a que su firma (Hash) fue cambiada, y por lo tanto, es un nuevo virus no catalogado.
Recientemente realicé una prueba en mi laboratorio con un código C# para crear un shell inverso (malware que se conecta a un atacante cada vez que se ejecuta para que tenga control del equipo de la víctima) ofuscando el código malicioso, ejecutándolo en sistemas operativos Windows 7, 8 y 10 con los antivirus más variados del mercado, ya sean de pago o gratuitos. Naturalmente, las ofuscaciones más simples fueron prontamente detectadas, pero con un poco de creatividad, fue posible eludir TODOS LOS ANTIVIRUS probados. Cabe mencionar que todos los antivirus estaban actualizados antes de realizar esta prueba de concepto.
Por lo tanto, no te lo pongas fácil: la mejor defensa contra virus potenciales no es ejecutar archivos de origen dudoso. Mantén siempre actualizados tus antivirus y los parches de corrección de tu sistema operativo (esas famosas y fatídicas actualizaciones de Windows).
No estoy diciendo que debamos abandonar el uso de estas herramientas, todo lo contrario, pero recuerda que incluso en las películas, por mucho que el guardaespaldas esté dispuesto a recibir una bala por su protegido, ¡nunca serán infalibles!
