El siguiente post es una traducción del texto realizado por Urban Schrott, Analista de Seguridad de ESET Irlanda, y publicado en el blog de ESET en inglés sobre el software de seguridad gratuito. Les recuerdo que ESET pone a disposición de los usuarios ESET Online Scanner como servicio gratuito a la comunidad.

Si puede no pagar, no pagará

Hace un tiempo me encontré con un artículo en una revista sobre "diez cosas por las que nunca debería pagar" y el software antivirus era uno de ellos. El argumento era sencillo: ¿por qué pagar por algo si se puede conseguir gratis? El tema ya ha sido discutido previamente, pero quizás deberíamos revisar si realmente es lo mismo (o igual de eficaz) utilizar un antivirus gratis en lugar de un producto pago.

En primer lugar, tenemos que definir el concepto de "gratuito". Vale mencionar que la mayoría de los proveedores de seguridad también ofrecen una versión "gratuita" de su software. Por lo general, poseen funcionalidades limitadas cuando se ofrecen sin límite de tiempo, mientras que las versiones con todas sus funciones se ofrecen con un tiempo de prueba limitada, tras la cual los productos se vuelven inactivos. Muchos productos "gratuitos", por ejemplo, ofrecen detección gratuita de malware, pero exigen el pago para que el mismo sea removido. Otros ofrecen detección y eliminación "gratuita", pero sólo para ciertos tipos de malware. Los mismos proveedores, sin embargo, suelen ofrecer una versión "completa" del software con funcionalidad completa, pero que es (por supuesto) paga.

Líderes de la pérdida

En el mundo actual, saturado de marketing, ofrecer cierta cantidad de un producto sin cargo es una práctica común, ya que es bueno para la construcción de la  marca. Sin embargo, una marca no se construye por el placer de ver un producto cada vez más popular sino en el largo plazo, para aumentar las ventas y los ingresos. La etiqueta "gratis" en productos de tiempo o función limitada, es sólo una introducción a la versión "completa" en lugar de un servicio gratuito para usuarios de computadoras, dada la bondad del corazón del vendedor. Por mucho que nos gustaría regalar nuestros propios productos, tenemos que comer, al igual que nuestras esposas, familias, amantes, padres ancianos, los prestamistas hipotecarios y así sucesivamente.

Luego están las suites de seguridad provistos por los fabricantes de sistemas operativos. Podría ser considerado un triunfo del marketing sobre la seguridad, ofreciendo una suite de seguridad "gratuita" que trata de garantizar la seguridad de un sistema operativo plagado de todas las vulnerabilidades que los delincuentes cibernéticos disfrutan de explotar, en lugar de fomentar la integridad en un sistema operativo desde su base. Pero además, ¿es realmente gratuita o es sólo un valor añadido a un sistema operativo que ya ha pagado? Un observador con una vena cínica podría comentar que no deja de ser una forma astuta para eliminar la competencia del sistema, para que luego el argumento de que "es una característica, no un error" pueda ser utilizado  más convenientemente. Es una suerte que usted y yo no somos cínicos...

Gratis pero falso

Hasta el momento, entonces, podemos afirmar que uno termina pagando por un productos antivirus "gratuito" de una forma u otra, ya sea a través del costo del sistema operativo o por medio de la actualización a la versión completamente funcional cuando la versión gratuita no resulta satisfacer sus necesidades. Sin embargo, este no es el único costo potencial. De un producto con funcionalidades limitadas no sólo no se espera que haga el trabajo completo en la protección del sistema, sino que además alivia la obligación moral del proveedor de garantizar la mejor protección posible y soporte. Además, muchos falsos y fraudulentos rogue (falsos antivirus) son anunciados como "antivirus gratuitos". Un usuario de computadora desprevenido buscando en la web por "antivirus gratis" puede ser fácilmente desviados a través de técnicas de BlackHat SEO (optimización de motores de búsqueda: una gama de técnicas utilizadas legítimamente por empresas y que los delincuentes cibernéticos utilizan por igual para asegurar que sus URLs aparezcan con rangos altos en las búsquedas web ). Una vez allí, son guiados a descargar contenido dañino, que es probable que resulte en la pérdida de dinero por parte de la víctima a través de fraude o extorsión.

Eficiencia

Ahora, vamos a la eficiencia. Hoy en día, un producto de seguridad completo es mucho más que un antivirus. Un objetivo esencial de los ciberdelincuentes es tratar de encontrar nuevas formas de entrar y hacer el trabajo sucio; y tienen el tiempo y los recursos necesarios para hacerlo. Las amenazas posteriores, por lo tanto, llegan en casi cualquier forma imaginable.

Canal de soporte

El malware se propaga a través de múltiples canales:

  • Mediante correos electrónicos y otras formas de mensajería
  • A través de videos solicitando descargar y ejecutar "codecs especiales" o "actualizaciones de Flash"
  • Uso de técnicas de drive-by-download (y no sólo en sitios de pornografía, como creen muchos usuarios ) y sin ninguna acción por parte de la víctima
  • Infectar sistemas a través de la función de ejecución automática (autorun)
  • Ataques aleatorios a direcciones IP en búsqueda de vulnerabilidades
  • A través de uno de los muchos programas capaces de abrir puertas traseras para que otros programas instalen malware en secreto

El precio de la libertad

La lista podría seguir y seguir. Los fabricantes de seguridad están tratando de mantenerse al tanto de la situación, tratando de tapar los agujeros de seguridad y prevenir el daño o incluso meras molestias o inconvenientes, en todos los frentes. Y como todo lo que requiere mano de obra calificada, trabajos de configuraciones de laboratorio y tecnología de alta gama; nada de esto viene gratis. Por lo tanto, mientras algunos productos de seguridad gratuitos ofrecen detección decente en algunas áreas, por lo general se centran sólo en algunos tipos particulares de amenazas. Esto es inevitable, simplemente porque se requieren demasiados recursos para cubrir toda la gama de potenciales amenazas, y mientras que algunos parecen sobresalir en ciertas detecciones, es probable que dejen una larga lista de otras vulnerabilidades descubiertas del todo. Esto es algo que algunos evaluadores tienden a pasar por alto, en su prisa por hacer que parezca que las aplicaciones de seguridad gratuitas son funcionales a la par de las soluciones comerciales.

Una parte importante de la lucha contra la cibercrimen es el pensamiento estratégico y el desarrollo de nuevas formas de combatir las amenazas. La detección de amenazas es un aspecto, que está siendo constantemente revisado y actualizado. Arrancando desde la tradicional detección por "base de firmas", ya hemos visto el desarrollo de sandboxing, detección por comportamiento, heurística, heurística avanzada, ahora integración con la nube y así sucesivamente. Dado que las técnicas de detección se han vuelto más proactivas, esto ha aumentado la necesidad de mantener un cuidadoso equilibrio entre la máxima protección y el mínimo de falsos positivos.

Si bien el paso del modelo basado en firmas al de reconocimiento por características maliciosas ha impactado en mejores resultados de detección proactiva, esta no posee la misma precisión en lo que respecta a detección de malware conocido. Además, incluso la aplicación más cuidadosa de tecnologías de manera proactiva no puede erradicar por completo el riesgo de falsos positivos, que en muchos casos han tenido efectos en la estabilidad del sistema operativo, cuando ciertos productos identificaron accidentalmente archivos de sistema como malware.

Luego está el problema de la limpieza o eliminación de la infección: a menudo la limpieza de un sistema infectado puede ser más dañina que la propia infección. Muchas tecnologías de detección genéricas necesitan la aplicación de técnicas de desinfección también genéricas, y eso es mucho más difícil. Entonces, es necesario considerar cómo prevenir otros vectores de los ataque, y esto implica tecnologías complementarias como la prevención de intrusos, los motores anti-spam, seguridad en sitios web, e incluso las posibilidades de prevención o limitación de ataques de Ingeniería Social. Estas son todas áreas que requieren un enfoque científico serio y recursos decentes para el logro de resultados eficientes. En resumen, son muchas las cosas que nadie va a poder ofrecer de forma gratuita, excepto como un evaluador para productos pagos que ofrecen algo a cambio de dicha inversión.

TANSTAAFL

El debate acerca de gratis o pago es en realidad un debate sobre cómo es el modelo de ventas de cualquier producto. Para algunos tipos de usuarios (con mayor frecuencia, los usuarios hogareños), puede haber algo así como un almuerzo gratis (está claro que muchos están usando software gratuito no legítimo que corresponde a versiones pagas) pero la gente que lo hace, legítimamente o no, puede encontrar que la comida es menos nutritiva que la que ellos esperan. No es que la industria carece de todo altruismo, pero los beneficiarios principales del software de seguridad gratuito son personas que sólo lo usarán si no tiene costo.

En ESET Irlanda hemos realizado hace poco una encuesta sobre lo que la gente considera más importante en un producto de seguridad. Las opciones fueron la detección, el consumo de recursos y el precio. Alta detección fue elegido como el factor más importante por la mayoría de los usuarios, el bajo consumo de recursos fue considerada como una característica útil, mientras que el precio casi nunca fue mencionado. Esto sugiere que los usuarios tienen sus prioridades en orden en lo que debe esperarse de una aplicación antivirus. Si sólo algunos periodistas estuvieran menos dispuestos a ser simplistas, con anuncios espectaculares sobre maravillosas soluciones simples a problemas complejos...

Urban Schrott
Analista de Seguridad de ESET Irlanda