"Es una falla espectacular para nuestra empresa, y para la industria de antivirus en general", comenta Mikko Hypponen, investigador en jefe de F-Secure, en su blog de la revista Wired, respecto a la tardía detección de virus como Stuxnet y Flame.
En la publicación, el experto en seguridad explica cómo se enteró de la existencia de Flame a raíz de que el CERT de Irán les envió una muestra del malware. Pero lo que realmente lo sorprendió fue percatarse de que en su empresa ya tenían muestras de ese código malicioso, algunas desde 2010, sin que el sistema les hubiera indicado que debían examinarlas a profundidad. De hecho, Hypponen comenta que otros proveedores antivirus detectaron muestras de Flame mucho antes de 2010. "Eso significa que fallamos por más de dos años en detectar el malware. Eso es un fallo espectacular", expresó.
Lo mismo sucedió con Stuxnet, de acuerdo con el investigador de F-Secure. No fueron capaces de detectarlo hasta que se dispersó libremente en la red. Y Duqu hizo de las suyas por más de un año antes de ser descubierto.
El problema, expresa Hypponen, es que estas tres piezas de malware no son comunes; fueron desarrolladas por agencias de inteligencia occidental como parte de operaciones encubiertas que no debían ser detectadas. Y el hecho de que, en efecto, no fuesen descubiertas durante años pone de manifiesto lo bien que se hizo el trabajo. "Stuxnet y Duqu usaban certificados para aparentar ser aplicaciones de confianza, lo cual engañaba a los motores antivirus", dijo.
Pero esto no es justificación para no haber detectado el código malicioso, opina. "Queremos detectar el malware, sin importar cuál sea su propósito. Nuestro trabajo es proteger a los equipos contra el malware. Punto." Y sin embargo, continúa, "fallamos en detectar a tiempo Stuxnet, Duqu y Flame, y eso pone nerviosos a nuestros clientes."
La verdad, de acuerdo con Hypponen, suena escalofriante. Los productos antivirus para consumidores no pueden protegernos contra ataques sofisticados diseñados por naciones opulentas hacia blancos específicos, cuyo objetivo inicial es no ser detectados. El experto señala que antes de liberar el código malicioso, los diseñadores lo probaron contra los principales antivirus del mercado para asegurarse de que pasaría desapercibido.
"Ellos diseñaron con tiempo de sobra y nosotros reaccionamos al vuelo", explica. Pero, insiste, eso no es justificación y los sistemas antivirus deben ser capaces de detectar todos los ataques posibles sin levantar falsos positivos.
Con todo, el experto reconoce que no hay protección confiable al 100% y la mejor estrategia es una defensa por capas que incluya sistemas de detección de intrusos, listas blancas de malware y monitoreo activo del tráfico de entrada y salida de la red. "La batalla no termina con Flame. De hecho, es altamente probable que otros ataques de este tipo ya se estén llevando a cabo y no los podamos detectar. Por decirlo de una forma simple: estos ataques funcionan", expresó.
Flame fue un fracaso para toda la industria antivirus, concluye. "Debimos hacerlo mejor. Pero estábamos fuera de liga, en nuestro propio juego."