Existen muchos temas que generan controversia porque las interpretaciones que se pueden hacer de los mismos provocan diversos puntos de vista, y la seguridad de la información no es un tema ajeno a este tipo de situaciones. Tal es el caso de aquellas aplicaciones que son detectadas por el antivirus como "potencialmente indeseables" o "potencialmente peligrosas" (de aquí en más, PUA). Como forma de dilucidar esta problemática, hemos publicado el White Paper Aplicaciones Potencialmente Indeseables (PUA), documento que explica los diversos comportamientos y variables que se consideran cuando un software es detectado, pero no como código malicioso sino como potencialmente indeseable o peligroso. También se detallan dos casos de que podrían afectar tanto a un usuario corporativo como doméstico.
PUA proviene del acrónimo anglosajón Potentially Unwanted Application. Son programas informáticos cuyo comportamiento no puede ser clasificado estrictamente como una aplicación genuina ni tampoco como un código malicioso producto de diversos factores. Si nos remontamos unas décadas, era posible observar que las amenazas informáticas predominantes de aquella época eran lo suficientemente maliciosas como para poder catalogarlas de virus (insertan parte de su código dentro de una aplicación del sistema), gusanos (se propagan por algún medio) y troyanos (ofrecen una utilidad que no cumplen y realizan acciones dañinas y ocultas). En otras palabras, decidir si un software era genuino o no para posteriormente detectarlo pasaba por un criterio más sencillo.
Sin embargo, en la actualidad esta situación cambió bastante. El criterio de negro y blanco quedó obsoleto y hoy es necesario determinar a partir de una escala de grises, qué tan maliciosa es una aplicación como para poder clasificarla de malware o de PUA. Para esto, se deben considerar aspectos como la intención tras un programa en particular, su potencialidad o riesgo de ser mal utilizado, si la instalación de este componente es optativa y su funcionamiento está explicitado en el contrato de licencia, entre otras variables. A modo de resumen, se presentan algunos comportamientos que ameritan ser clasificados y detectados por los productos de ESET como potencialmente indeseables.
- Programas que instalan algún componente adware (despliega publicidad en el sistema en cualquier momento) que no está explicitado adecuadamente y no provee un método eficaz para su remoción.
- Productos de dudosa calidad que exageran los reportes y cantidades de errores encontrados sin que todos sean realmente válidos.
- Barras de herramientas que se instalan sin el debido consentimiento del usuario y su remoción no funciona.
- Programas que estén protegidos por un empaquetador en tiempo real que haya sido ampliamente mal utilizado por atacantes.
Existen otros comportamientos que necesitan ser considerados y que son explicados en el documento Aplicaciones Potencialmente Indeseables (PUA) que también está disponible a través de Slideshare. El caso de las aplicaciones potencialmente peligrosas es distinto. Se tratan de programas que son desarrollados generalmente por empresas legítimas y cuyo funcionamiento en un buen contexto de uso, es genuino. Por ejemplo, herramientas de administración remota utilizadas por un departamento de IT para configurar e instalar aplicaciones en ambientes corporativos. No obstante, es posible observar escenarios en los que un atacante emplea este tipo de herramientas para acceder ilegalmente al contenido de un usuario doméstico. También entran en esta categoría aplicaciones de acceso ilegal (hacker tools) que solo deben ser utilizadas por personal autorizado dentro de una empresa, componentes adware que sí son explicitados en el contrato de licencia y que permiten su remoción y presentan un comportamiento menos agresivo, entre otros.
Si esta es una situación que resulta compleja de determinar, entendemos que para el usuario también lo es. Por lo mismo, es decisión de cada persona activar la detección de aplicaciones potencialmente indeseables y potencialmente peligrosas de acuerdo a las necesidades de su entorno. En el artículo de la sección ESET Knowledgebase ¿Cómo configuro mi producto de seguridad ESET para detectar o ignorar aplicaciones indeseables o peligrosas? se detallan las instrucciones para activar o desactivar por separado, dichas detecciones. Finalmente, quienes deseen profundizar en este tema, están invitamos nuevamente a consultar el White Paper Aplicaciones Potencialmente Indeseables (PUA) y otros temas que pueden ser consultados en el Centro de Amenazas.
André Goujon
Especialista de Awareness & Research