Crónica
Según un informe publicado por el editor de noticias de seguridad de BleepingComputer, Catalin Cimpanu, aproximadamente el 75 por ciento de todas las muestras de malware que se cargan en escáneres no distributivos no se comparten con varios escáneres más adelante. VirusTotal, el análisis de malware de Jotti y otros sitios similares envían información sobre los archivos analizados a los laboratorios de seguridad que luego la utilizan para realizar investigaciones adicionales sobre infecciones maliciosas.
Sin embargo, este tipo de intercambio de datos puede generar algunas posibles señales de alerta con respecto a los problemas de privacidad. Muchas personas, especialmente aquellas con documentos confidenciales, preferirían no compartir esta información con empresas de seguridad. Esto es especialmente cierto para aquellos que utilizan Internet con fines maliciosos, ya que no desean divulgar lo que hayan hecho con sus conexiones.
Además de esto, los escáneres sin distribución no brindan ningún tipo de API a personas externas. Como resultado, los laboratorios de investigación de seguridad no se benefician de los archivos cargados en estos escáneres. En promedio, parece que reciben muchos menos datos de los que se creía originalmente.
Recorded Future, una empresa de seguridad con sede en EE. UU., Afirma que esto significa que una gran cantidad de malware sigue siendo desconocido para quienes escriben el código para el software de escaneo. Muchos productos antivirus eventualmente podrán detectar estas vulnerabilidades a pesar de este hecho, pero ralentiza enormemente la cantidad de tiempo que lleva detectar nuevas infecciones.
Por lo que los expertos en seguridad pueden decir, alrededor del 45 por ciento de la pequeña cantidad de muestras que se cargan a los principales jugadores como VirusTotal fueron vistas originalmente por un escáner sin distribución. Algunos incluso han llegado a sugerir que los autores de malware están aprendiendo a no cargar muestras de su propio trabajo en VirusTotal y otros sitios similares para que no los descubran demasiado pronto.
Sin embargo, los desarrolladores de software malintencionado deben ejecutar comprobaciones antivirus en su propio código para asegurarse de que la tecnología heurística no pueda marcarlo de inmediato. Es posible que estén cargando muestras en escáneres sin distribución para evitar que cualquier fragmento de código se transmita a un laboratorio.
Sin embargo, las preocupaciones de privacidad planteadas entre los usuarios legítimos pueden significar que se producirán algunos cambios en la industria que al menos podrían ayudar a aumentar la cantidad de malware cargado en los escáneres tradicionales al tiempo que mitigan dichos problemas.
Etiquetas infosec seguridad web
