El rol del sentido común en la lucha contra el malware.
Hace poco tocaba el tema sobre las falsas expectativas que se crean los usuarios con respecto al software antivirus y como la gran mayoría espera por un lado que les resuelva todos los problemas y los proteja de cuanta amenaza informática exista aunque por otro lado, ni se molestan en actualizar el antivirus o revisar la PC periódicamente ya que como he mencionado antes, más del 50% de los usuarios tiene algún tipo de malware en su equipo sin darse cuenta.
Todo el mundo tiene claro que es necesario evitar el malware. Pero los consejos que se brindan al respecto vienen siendo los mismos desde hace muchos años. ¿Realmente tenemos claro cómo debemos prevenir infecciones y contra qué nos estamos intentando defender?.
¿Basta con el sentido común?
La infección en Windows se ve como algo con lo que se debe convivir, y que debe ocurrir cada cierto tiempo. Los mismos consejos se perpetúan en el tiempo desde hace muchos años. Básicamente: "sentido común, antivirus y cortafuegos", como un mantra al que aferrarse pero que, por alguna razón, también se intuye que no sirve para nada: "al final cada cierto tiempo, hay que formatear". La experiencia demuestra que estos consejos no pueden ser los más adecuados por antiguos, por los niveles de infección actuales y porque no atacan el problema de raíz.
Parece existir un fallo de enfoque. Se entiende el proceso de detección y desinfección pero quizás no se tenga tan claro el proceso de infección y por tanto, luchamos contra el problema cuando ya ha llegado a reproducirse en el sistema. La detección del malware en el equipo por un antivirus, aunque sea temprana, no es una prevención real... es detección preventiva.
Imaginemos que queremos hacer un viaje a un país donde no se han erradicado ciertas enfermedades y en el que el riesgo de contraerlas es muy alto. Imaginemos que en vez de informarnos de cuáles son las enfermedades concretas, sus vías de contagio y vacunarnos, lo que hacemos es preparar una maleta llena de antibióticos de amplio espectro y analgésicos de todo tipo para cuando nos pongamos enfermos o lo intuyamos. Otro ejemplo: es como si una persona muy promiscua guardase en el armario un arsenal de medicamentos contra los efectos de decenas de enfermedades de transmisión sexual, pero no contemplara el preservativo como algo esencial en su estilo de vida, confiando en su sentido común y sus medicamentos.
Y aunque no lo creamos, todos somos muy "promiscuos" en la red, por todo lo que exponemos. Por tanto, igual que es necesario abordar en capas el bastionado de los sistemas o redes protegiendo cada estadio, la prevención del malware pasa por varias fases. La primera es ese (sobrevalorado) "sentido común" con muchos matices; en medio existe una amplia gama de herramientas además del cortafuegos (irrelevante en la mayoría de los casos de malware actual); y... la última es la del antivirus.
La infección en Windows se ve como algo con lo que se debe convivir, y que debe ocurrir cada cierto tiempo. Los mismos consejos se perpetúan en el tiempo desde hace muchos años. Básicamente: "sentido común, antivirus y cortafuegos", como un mantra al que aferrarse pero que, por alguna razón, también se intuye que no sirve para nada: "al final cada cierto tiempo, hay que formatear". La experiencia demuestra que estos consejos no pueden ser los más adecuados por antiguos, por los niveles de infección actuales y porque no atacan el problema de raíz.
Parece existir un fallo de enfoque. Se entiende el proceso de detección y desinfección pero quizás no se tenga tan claro el proceso de infección y por tanto, luchamos contra el problema cuando ya ha llegado a reproducirse en el sistema. La detección del malware en el equipo por un antivirus, aunque sea temprana, no es una prevención real... es detección preventiva.
Imaginemos que queremos hacer un viaje a un país donde no se han erradicado ciertas enfermedades y en el que el riesgo de contraerlas es muy alto. Imaginemos que en vez de informarnos de cuáles son las enfermedades concretas, sus vías de contagio y vacunarnos, lo que hacemos es preparar una maleta llena de antibióticos de amplio espectro y analgésicos de todo tipo para cuando nos pongamos enfermos o lo intuyamos. Otro ejemplo: es como si una persona muy promiscua guardase en el armario un arsenal de medicamentos contra los efectos de decenas de enfermedades de transmisión sexual, pero no contemplara el preservativo como algo esencial en su estilo de vida, confiando en su sentido común y sus medicamentos.
Y aunque no lo creamos, todos somos muy "promiscuos" en la red, por todo lo que exponemos. Por tanto, igual que es necesario abordar en capas el bastionado de los sistemas o redes protegiendo cada estadio, la prevención del malware pasa por varias fases. La primera es ese (sobrevalorado) "sentido común" con muchos matices; en medio existe una amplia gama de herramientas además del cortafuegos (irrelevante en la mayoría de los casos de malware actual); y... la última es la del antivirus.
Todo el mundo tiene claro que es necesario evitar el malware. Pero los consejos que se brindan al respecto vienen siendo los mismos desde hace muchos años. ¿Realmente tenemos claro cómo debemos prevenir infecciones y contra qué nos estamos intentando defender? ¿Basta con el sentido común?
Mantenerse informado vs. sentido común
No podemos proteger lo desconocido o luchar contra lo que ni imaginamos. Debemos saber la "mecánica básica" del sistema operativo, y estar al tanto de las últimas tendencias en el malware. Aconsejar "sentido común" es muy sensato, pero si probamos a preguntarle a un usuario cualquiera qué significa usar un sistema con "sentido común", es más que probable que no tenga muy claro qué hacer. Quizás, como mucho, mencione que sabe que no tiene que dar sus datos a cualquier página o que no debe creer todos los correos que le llegan. Pero eso cubre un minúsculo espectro de todo lo que está ahí fuera. Incluso para los que saben qué significa el sentido común en la red, quizás lo sobrevaloren. Al insistir en el sentido común como el arma más efectiva contra todo mal en la red, parece que basta con no ejecutar los adjuntos del email para mantenerse a salvo. El sentido común, aunque imprescindible, no te va a proteger cuando un atacante cuele en la publicidad de una página web de confianza, un exploit que aproveche un fallo en Flash del navegador para el que todavía no existe parche. No has hecho nada extraño, has aplicado el sentido común de manera impecable... pero acabarás infectado.
A Internet no se llega con el mismo concepto de sentido común que se presupone en la vida real. En la vida real, el sentido común es un resultado de todas esas experiencias vitales que se ha afinado durante el desarrollo de muchos "experimentos" propios y ajenos ocurridos durante buena parte de nuestra juventud y adolescencia. Pero cuando un usuario accede a Internet por primera vez o lo hace ocasionalmente, no tiene por qué tener la más mínima experiencia en la red, y por tanto apelar solo a su sentido común es sano, pero quizás prematuro e incompleto.
Mantenerse informado sobre las amenazas y las nuevas protecciones, sin embargo, es invertir en "ganar y mejorar" el sentido común con el tiempo, conocer en qué momentos es recomendable aplicar más cuidado con ciertas situaciones (cuando aparecen nuevas vulnerabilidades o tipos de estafa renovados).... y lo que es más importante: saber las limitaciones de cada medida que se toma.
Cortafuegos vs. todo lo demás
Es habitual ver largas listas de anti-todo que se pueden instalar en el sistema para "estar protegido". La mayoría, sin embargo, suelen apuntar al mismo eslabón de la cadena: la detección o detección temprana (que sigue sin ser "prevención" real). Pero es mucho más interesante conocer para qué sirve cada programa y sobre todo, las fases más comunes de una infección.
Para cubrir esas fases es necesario (esencial) fortificar el sistema operativo (que para eso viene con decenas de interesantes protecciones... la mayoría desactivados por defecto) y aplicar prevención real contra todas las fases de una infección: actualización de los programas (para eliminar vulnerabilidades), antiexploits (para
evitar que, si no hay parche, esas vulnerabilidades sean aprovechadas), antipayloads (para evitar que, incluso si los exploits tienen éxito, instalen el malware) y sandboxes (para evitar que si incluso el antipayload fracasa, el malware dañe el sistema). Así se pueden cubrir muchas de las "capas" previas al antivirus.
Con respecto al cortafuegos, en realidad no juega un papel decisivo contra el contra el malware actual en entornos domésticos (porque da por hecho que está instalado y lo evita). Podría servir de algo el firewall saliente... pero no se inyecta en los procesos habituales. Y aun así, seguiría siendo un sistema que intenta limitar la actividad del malware, no la infección en sí. Por último, manejar un cortafuegos saliente, para el usuario medio, es extremadamente tedioso.
Antivirus vs. malware
Finalmente, si absolutamente todo lo anterior fallase, sería interesante que el antivirus (o el anti-todo de turno) pasara a la acción y reconociera el bicho que se cuela en el sistema. Pero es el último que debe entrar en juego, porque el antivirus es el medicamento contra la enfermedad que ya, al menos, ha entrado en contacto con tu organismo. Pero si ha llegado hasta ahí, el antivirus es una tecnología a la que bien puedes encomendarte para detectarlo y eliminarlo.
Dejar de lado todas las fases anteriores significa repartir toda la responsabilidad de mantener un sistema a salvo entre muy pocos actores a los que se sobrecarga (y quizás, sobrevalora) mientras otros factores y herramientas que pueden ser mucho más eficaces, son directamente ignorados.
Mantenerse informado vs. sentido común
No podemos proteger lo desconocido o luchar contra lo que ni imaginamos. Debemos saber la "mecánica básica" del sistema operativo, y estar al tanto de las últimas tendencias en el malware. Aconsejar "sentido común" es muy sensato, pero si probamos a preguntarle a un usuario cualquiera qué significa usar un sistema con "sentido común", es más que probable que no tenga muy claro qué hacer. Quizás, como mucho, mencione que sabe que no tiene que dar sus datos a cualquier página o que no debe creer todos los correos que le llegan. Pero eso cubre un minúsculo espectro de todo lo que está ahí fuera. Incluso para los que saben qué significa el sentido común en la red, quizás lo sobrevaloren. Al insistir en el sentido común como el arma más efectiva contra todo mal en la red, parece que basta con no ejecutar los adjuntos del email para mantenerse a salvo. El sentido común, aunque imprescindible, no te va a proteger cuando un atacante cuele en la publicidad de una página web de confianza, un exploit que aproveche un fallo en Flash del navegador para el que todavía no existe parche. No has hecho nada extraño, has aplicado el sentido común de manera impecable... pero acabarás infectado.
A Internet no se llega con el mismo concepto de sentido común que se presupone en la vida real. En la vida real, el sentido común es un resultado de todas esas experiencias vitales que se ha afinado durante el desarrollo de muchos "experimentos" propios y ajenos ocurridos durante buena parte de nuestra juventud y adolescencia. Pero cuando un usuario accede a Internet por primera vez o lo hace ocasionalmente, no tiene por qué tener la más mínima experiencia en la red, y por tanto apelar solo a su sentido común es sano, pero quizás prematuro e incompleto.
Mantenerse informado sobre las amenazas y las nuevas protecciones, sin embargo, es invertir en "ganar y mejorar" el sentido común con el tiempo, conocer en qué momentos es recomendable aplicar más cuidado con ciertas situaciones (cuando aparecen nuevas vulnerabilidades o tipos de estafa renovados).... y lo que es más importante: saber las limitaciones de cada medida que se toma.
Cortafuegos vs. todo lo demás
Es habitual ver largas listas de anti-todo que se pueden instalar en el sistema para "estar protegido". La mayoría, sin embargo, suelen apuntar al mismo eslabón de la cadena: la detección o detección temprana (que sigue sin ser "prevención" real). Pero es mucho más interesante conocer para qué sirve cada programa y sobre todo, las fases más comunes de una infección.
Para cubrir esas fases es necesario (esencial) fortificar el sistema operativo (que para eso viene con decenas de interesantes protecciones... la mayoría desactivados por defecto) y aplicar prevención real contra todas las fases de una infección: actualización de los programas (para eliminar vulnerabilidades), antiexploits (para
evitar que, si no hay parche, esas vulnerabilidades sean aprovechadas), antipayloads (para evitar que, incluso si los exploits tienen éxito, instalen el malware) y sandboxes (para evitar que si incluso el antipayload fracasa, el malware dañe el sistema). Así se pueden cubrir muchas de las "capas" previas al antivirus.
Con respecto al cortafuegos, en realidad no juega un papel decisivo contra el contra el malware actual en entornos domésticos (porque da por hecho que está instalado y lo evita). Podría servir de algo el firewall saliente... pero no se inyecta en los procesos habituales. Y aun así, seguiría siendo un sistema que intenta limitar la actividad del malware, no la infección en sí. Por último, manejar un cortafuegos saliente, para el usuario medio, es extremadamente tedioso.
Antivirus vs. malware
Finalmente, si absolutamente todo lo anterior fallase, sería interesante que el antivirus (o el anti-todo de turno) pasara a la acción y reconociera el bicho que se cuela en el sistema. Pero es el último que debe entrar en juego, porque el antivirus es el medicamento contra la enfermedad que ya, al menos, ha entrado en contacto con tu organismo. Pero si ha llegado hasta ahí, el antivirus es una tecnología a la que bien puedes encomendarte para detectarlo y eliminarlo.
Dejar de lado todas las fases anteriores significa repartir toda la responsabilidad de mantener un sistema a salvo entre muy pocos actores a los que se sobrecarga (y quizás, sobrevalora) mientras otros factores y herramientas que pueden ser mucho más eficaces, son directamente ignorados.
No hay comentarios:
Publicar un comentario