Carles Del Collado, Barcelona ¿Cuándo comenzó a trabajar con Trend Micro?
En 1997. Antes había trabajado para McAfee. Soy muy afortunado de poder trabajar con ellos. Yo llegué a este mundo como analista de soporte técnico, en los tiempos de los virus llamados Michelangelo, virus del sector de arranque, cosas que sólo aquellos de sus lectores más veteranos recordarán.
¿En qué se diferencian los primeros virus de los actuales?
Hace veinte años los virus eran, por su naturaleza, más algo relacionado con la mitología que no una simple cuestión tecnológica. Era algo más mágico, eran palabras (escritas en lenguaje ensamblador) que podrían cambiar el mundo real. De hecho, todos los programas de ordenador son palabras mágicas, y lo mismo eran los virus en aquella época. Ese era el motivo de su existencia. Había gente que conocía las palabras mágicas. Desde ese momento, las cosas han ido a la vez a mejor y también a peor.
Cuando comenzamos en esta industria, aparecían 3 nuevos virus al mes. Hoy aparece un nuevo malware (esta palabra ha superado ya a la clásica virus) cada dos segundos y medio. Casi 50.000 nuevos malwares por día. La mayoría son versiones de otros anteriores, pero lo suficientemente distintos como para exigir que haya gente trabajando en los laboratorios para detectarlos y mitigar sus efectos.
¿A qué retos se enfrenta la industria del antimalware?
Hemos detectado tres graves problemas al modelo actual. El primero, es que el paquete de firmas cada vez es más grande, y a medida que se hace cada vez más grande, se hace más difícil trabajar con él, y el ordenador del usuario se ralentiza. Estadísticamente, un ordenador tiene entre 50.000 y 100.000 objetos a escanear, y en el paquete de firmas, 20 millones de firmas. ¿Se imagina lo que es escanear 50.000 objetos y compararlos con 20 millones de firmas? Es un problema.
El segundo es la velocidad. La mayoría de esos 50.000 nuevos malwares diarios, y tienen una duración muy breve, de una hora aproximadamente. El único motivo por el que existen estos 50.000 nuevos malwares diariamente es para intentar derrotar a la industria del antivirus.
Hacen nuevas versiones de malware existente, con el objeto de que nos cueste ofrecer al mercado el paquete de firmas. Y antes de que tengamos este paquete de firmas publicado, ellos ya han lanzado otro malware.
¿Y el tercer problema?
El ancho de banda consumido. Estamos distribuyendo nuevas firmas al cliente cada cinco o diez minutos. No como antes que se hacía una vez al mes. Se trata de un problema galopante, que tiene gran impacto en las grandes corporaciones.
¿Y cuál es la propuesta de Trend Micro?
El escaneo basado en un gran paquete de firmas residente en el equipo del usuario siempre será necesario, pero no debe ser la forma principal de enfrentase al problema del malware.
Disponemos de un servicio de reputación de archivos, que se encarga de la parte más grave del problema. Cada vez que el sistema toca un archivo, tomamos una huella digital del mismo, y lo subimos a Internet. Allí, el servicio de reputación de firmas determina si esa huella corresponde a un archivo infectado o no. Disponemos de lo que llamamos Smart Protection Network (SPN), que es una red de sistemas que se encarga de verificar la salud de los archivos, descargando en gran medida a los ordenadores locales de esta carga.
Este es un método que acaban de anunciar otras compañías en España…
Sí, pero nosotros lo hicimos hace cuatro años. Trend Micro tiene la reconocida fama de estar tecnológicamente en cabeza en el mercado de los antivirus. En 1995 por ejemplo, la compañía lanzó el primer Gateway antivirus, el Internet Scanner Wall que finalmente vendimos a Intel. Por aquel entonces, quien quería incorporar a un Gateway funciones de escáner, tenía que licenciar la tecnología de Trend Micro. Y es lo que hizo nuestra competencia.
¿El nuevo malware, en qué es distinto a los antiguos virus?
La creación del malware está ahora completamente ligado al cibercrimen. No tiene nada que ver con el reto y el romanticismo de los orígenes.
Además, los viejos virus en ensamblador eran generalmente una única pieza de código, escrita por una única persona. En cambio, el nuevo malware está compuesto por casi cien archivos, cada uno especializado. Un encriptador, un descargador, un botnet, un payloader, etcétera. Sólo los más visibles, tres de ellos, son los que son substituidos cada minuto. Ése es el motivo por el que tenemos 50.000 cada día. El resto, los archivos ocultos, no son actualizados porque no lo necesitan. Sólo tienen necesidad de cambiar el frontend.
No se trata evidentemente del trabajo de un solo programador. Hablamos de una empresa criminal, que envía diversos programas que además pueden cambiar su comportamiento con el paso del tiempo.
¿Y quién lo crea? Diferentes partes fueron hechas por gentes distintas. Y sospechamos que partes de éstos virus y de Confliker en concreto fueron desarrollados por corporaciones que lo escribieron subcontratadas por la mafia rusa. Y lo hacen por dinero. Y no sale el dinero de una única actividad. Crearon ese botnet y una red de diez millones de ordenadores infectados y usan parte de esos diez millones de equipos zombis para enviar SPAM, otra parte para robar identidades, otra parte para espionaje industrial, etcétera. La mafia rusa del cibercrimen ofrece sus servicios criminales a otras organizaciones criminales. Eso es un gran negocio.
En concreto, ¿Para qué actividades delictivas se ha usado Confliker?
Conocemos tres. Para propagar otro malware conocido como Waledac, para robar identidades y para enviar mensajes promocionando un programa antivirus que además de costar 50 dólares, lo único que hacía era robar las identidades del usuario, del que ya contaba con su tarjeta de crédito, e instalar la variante de Confliker más nueva.
Cada vez más, los antivirus ofrecen más servicios y pesan más…
Cierto, pero no hay remedio. Los programas antimalware más modernos tienen que controlar múltiples cosas, y no puede ser de otra forma. Hasta hace unos dos años, el usuario podía escoger diversas piezas y construir su sistema de protección con piezas de distintos fabricantes, pero ahora esto es imposible. Los productos de la industria del antimalware están integrados, y comparten recursos y dispositivos comunes. No es posible, ya no sólo no recomendable, instalar dos antivirus de distintos fabricantes. Si lo hacen, es posible que se carguen el sistema.
¿Terminará el cloud computing con la necesidad de disponer de antimalware en los equipos de los usuarios?
No. En el cloud computing, las aplicaciones no se ejecutan en la nube. Se ejecutan en el equipo del usuario. Y éste no es un terminal tonto. Seguirán existiendo vulnerabilidades que se ejecutarán en el desktop que seguirá disponiendo de almacenamiento de disco, que los cibercriminales intentarán infectar con un capturador de teclado, un capturador de pantalla, un ladrón de identidades, etcétera. En este nuevo paradigma también existirán ‘oportunidades’, que sin duda serán explotadas.
¿Y qué nos depara el futuro?
Cada vez más los ordenadores van a tener un papel más importante. Por ejemplo, muchos modelos de coches Ford incorporan un sistema de Microsoft conocido como SYNC. Está basado en Windows NT 4.0, y gestiona el panel de mandos, el multimedia en el coche, la conexión del teléfono móvil y hasta la inyección de la gasolina en el motor. Es técnicamente posible arrancar el coche desde Internet y también pararlo. Activistas políticos podrían parar un día todos los Ford en las grandes autovías de Los Ángeles.
En el futuro, los cibercriminales podrán robar tu coche, entrar en tu casa, manipular el contador del gas remotamente, y pagar los costes de sus actividades repercutiendo 10 centavos a cada usuario infectado. Vivimos en el mundo de ciencia ficción de Philip K. Dirk.
