Todo lo que querías saber sobre muestreo de antivirus y nunca te atreviste a preguntar

Si has estado atento a las últimas noticias sobre geopolítica habrás oído hablar sobre la tormeta en torno a Kaspersky. La compañía antivirus sita en Rusia ha sido acusada de recopilar archivos secretos de la NSA -Agencia para la Seguridad Nacional en Estados Unidos- a través de la máquina de un cliente y compartirlos después con agencias de inteligencia rusas. Por su parte, Kaspersky mantiene su inocencia y mantienen que recopilaron los archivos como parte de una operación rutinaria, pero que después los eliminaron de sus sistemas bajo la dirección de su CEO.

Este tema pronto generó preguntas sobre los proveedores de antivirus en general. Hemos recibido y contestado algunas de estas preguntas nosotros mismos. ¿Por qué el antivirus recopila archivos de nuestros ordenadores? ¿Qué sucede con esos archivos y cómo están protegidos?

Hemos consultado con nuestro experto y jefe de Investigación en F-Secure, Mikko Hyppönen, varias de estas preguntas en el primer capítulo de nuestra serie de podcast, Cyber Security Sauna. No te pierdas a Mikko y cómo explica la manera en que tratamos los datos y archivos de nuestros usuarios y clientes y por qué es importante confiar en tu proveedor.

Además, a continuación te ofrecemos algunas de las respuestas a preguntas que nos llegaron de usuarios:

¿Por qué los archivos tiene que ser enviados desde los ordenadores del cliente a los proveedores de antivirus?

Este es el modus operandi de la mayoría de los software antivirus que operan hoy día. Los componentes de los ordenadores de los usuarios son capaces de realizar un análisis estructural bastante exhaustivo de malware. Sin embargo, ejecutar análisis de archivos maliciosos en profundidad requiere de pasos como lanzar la muestra en un entorno controlado de sandbox. Este tipo de cosas no puede hacerlas el usaurio final.

Para describir el proceso de manera sencilla, si nuestro software se cruza con una muestra maliciosa en el sistema del cliente nunca vista antes ahí, y si el software no puede por sí mismo alcanzar un veredicto sobre si el archivo es malicioso o no, la muestra puede ser descargada a nuestra nube para un análisis posterior.

La tecnología en la nube digital permite una protección mejor y más rápida porque, una vez que la seguridad en la nube determina que el archivo sospechoso es malicioso, puede proteger al resto de nuestros clientes de manera instatánea.

¿Cómo aseguramos los archivos que son enviados desde el ordenador del usuario?

Cifrado. Usamos HTTPS con certificate pinning para proteger de los ataques man-in-the-middle. Y mantenemos el anonimato de todo, así que aunque tengamos un archivo en particular, no sabremos de qué máquina proviene. Todas las solicitudes con respecto a archivos (hashes) o el historial web realizado en nuestra Security cloud están también cifrados y son del todo anónimos.

En conjunto, ¿qué archivos y datos nos transmiten nuestros clientes?

Depende del producto y de la configuración empleada. Puedes encontrar más información sobre qué información recopilamos en nuestro Data declaration document (estamos trabajando en una versión actualizada). También puedes consultar nuestros Privacy principles.

Contando con que el usuario utiliza nuestras soluciones de seguridad más modernas con la configuración apropiada, lo que incluye todos los beneficios de nuestra Security cloud, conseguimos lo siguiente:

• Los metadatos derivados de realizar un seguimiento de ejecución del archivo de un cliente (enviados solo bajo determinadas condiciones y para muestras consideradas maliciosas)
• Archivo sobre la prevalencia de información (un contador en nuestro backend contabiliza cada vez que el hash de un archivo es requerido)
• URLs maliciosas o sospechosas. Estas están normalizadas (la información personal es eliminada de la cadena). Las peticiones sobre búsquedas de URL son ejecutadas en un hash de la cadena URL normalizada
• Bajo determinadas condiciones, los archivos ejecutables maliciosos o sospechosos son descargados a nuestra Security cloud para posteriores análisis
• Las muestras que son presentadas manualmente por los clientes a través de nuestro formulario web

Lo que no conseguimos:

• Cualquier información que nos posibilitara identificar de qué usuario o máquina proviene. Así que, no sabemos qué archivos son de qué usuarios, qué usuarios han ejecutado qué archivos o qué URLs han sido visitadas por qué usuarios.
• Cualquier dato que no necesitemos para mejorar la protección de nuestros clientes. Cualquier dato no relevante par proteger a los clientes o no se recopila o se descarta tan pronto como sea posible

Antes de enviar los datos a nuestro backend, ya aseguramos el anonimato de nuestros clientes y sus datos previamente.

¿Qué hacemos con un archivo que ha sido procesado para su análisis?

Estos archivos son procesados primero en un entorno virtual basado en la nube. En la mayoría de los casos, este proceso nos da un veredicto que es enviado al cliente que cargó el archivo. Justo entonces, la muestra es eliminada de nuestros sistemas. Si el análisis no produjera un veredicto definitivo, la muestra puede ser remitida para posteriores análisis. En estos casos, el archivo se conservará en nuestro backend por un tiempo liminado mientras sea procesado. Cualquier archivo que llega a nuestro backend a través de este mecanismo recibe un trato de confidencialidad especial que refuerza su acceso limitado y previene que sea compartida con otros sistemas. Una vez el análisis se ha completado, la muestra es desechada.

¿Qué muestras que recibimos de nuestros consumidores?

Solo las muestras de archivos ejecutables son descargadas de esta manera para posteriores análisis.

¿Compartimos las copias de estos archivos con VirusTotal, las agencias de seguridad o agencias de inteligencia, locales o extranjeras?

Todos las peticiones de archivos de nuestros clientes son expresamente catalogadas como confidenciales, lo que significa que no los compartimos con nadie. Un archivo piede esa categoría solo si descubrimos que está ahí fuera y no solo en la máquina del usuario.

No enviamos archivos a VirusTotal. Solo compartimos muestras con socios de confianza pero solo las muestras que son clasificadas como no confidenciales. Las agencias de seguridad colaboran con nostros en búsqueda de análisis, no a la inversa. Compartimos algunas amenazas de inteligencia con organizaciones como CERT-FI (por ejemplo, información C&C o análisis de malware que con el punto de mira en objetivos muy específicos dentro del país), lo que podría ser enviado a su vez a la agencia de de seguridad pertinente. Resumiendo, compartir información, no muestras. La petición de muestras puede ocurrir pero solo se comparten las no confidenciales.

Para un usuario, ¿es posible compartir un archivo sospechoso con nuestros investigadores? Si es así, ¿los usuarios deberían hacerlo o no?

Instalar nuestro producto supone participar hasta cierto punto. Nos preocupamos de que nuestros clientes se vinculen con nuestra política de privacidad y nuestros principios. Nuestra Security cloud es algo que los usuarios dejar de lado, aunque esto reduce la efectividad de nuestros productos. En resúmen, habilite el antivirus y deshabilite las funciones particulares. Proporcionamos incluso la opción de excluir la recopilación de datos con nuestro scanner online totalmente gratuito.