Comenzó inocentemente con una pregunta en el foro de seguridad ESET Security Forum titulada "ESET: ¿Realmente necesito un antivirus en mis distribuciones de Linux?". Sin embargo, la respuesta a esa pregunta aparentemente sencilla sobre antivirus para Linux es mucho más compleja que un simple "sí" o "no".
El hecho de que existe mucha menos cantidad de malware para Linux que para Windows no está en duda: una búsqueda en la enciclopedia de amenazas VirusRadar® de ESET demuestra que solo hay unas pocas miles de muestras de software malicioso para Linux.
A pesar de que el número suena importante, ESET procesa un promedio de 250.000 muestras maliciosas diarias y lanza actualizaciones de varios miles de firmas para malware dirigido a Windows cada pocos días.
Además, uno debe recordar que el término "firma" es bastante amplio estos días: una sola firma puede ser capaz de detectar múltiples familias de malware; mientras que una misma familia de malware puede requerir decenas de firmas para detectar todas sus muestras conocidas.
Así es: el panorama de amenazas está dominado por malware dirigido a Microsoft Windows. Eso se debe a que, al ser el sistema operativo para equipos de escritorio más ampliamente utilizado en todo el mundo, también es el objetivo más frecuente de los ataques.
Hay muchas razones por las cuales Linux no tiene los mismos tipos de problemas de malware que Windows. Estos motivos radican en las diferencias entre los modelos de seguridad de los sistemas operativos, la fragmentación del mercado como consecuencia de la gran cantidad de distribuciones de Linux y su aceptación por parte de los usuarios cotidianos como sistema operativo para equipos de escritorio.
Pero aún así, "pocas amenazas" no es lo mismo que "ninguna amenaza en absoluto". Y mientras que algunos de los fanáticos más entusiastas dirán que Linux no tiene problemas de virus informáticos, hoy en día prácticamente tampoco los tiene Windows: solo alrededor del 5 o 10% del malware informado diariamente al sistema telemétrico de amenazas LiveGrid® de ESET es de naturaleza viral.
La escasez de malware para Linux es algo que ya mencioné anteriormente en el Informe de ESET sobre amenazas publicado a mediados de 2014, que podrás leer aquí, si te sobra una hora de tu tiempo. No obstante, si no lo puedes leer, ésta es la diapositiva pertinente de la presentación:
En caso de que no mires la presentación completa, explicaré el significado del gráfico. Lo que estás viendo representa las actualizaciones de la base de datos de firmas de virus que ESET fue lanzando entre el 1 de enero y el 1 de junio de 2014. Todo lo que aparece de color celeste es algún tipo de malware para Microsoft Windows, a los que en general le anteponemos el prefijo “Win32/” cuando les damos un nombre para informar su presencia en el equipo (“BAT/“, “MSIL/“, “NSIS/“, “VBA/“, “VBS/” y “Win64/” también son tipos de malware específicos de Windows); todos los demás datos restantes del gráfico no corresponden a Windows. Si tienes problemas para visualizar las amenazas que no están dirigidas a Windows, quizá necesites hacer un zoom y agrandar la pantalla.
Sin embargo, como dice el dicho atribuido popularmente (pero por error) a Mark Twain, "hay mentiras, grandes mentiras y estadísticas", por lo que te aconsejo que trates el gráfico con una gran dosis de escepticismo.
Por una parte, no proporciona ninguna clase de información sobre la cantidad de malware para Linux detectado por ESET, ya sea en números absolutos o en porcentajes: solo figura la cantidad de firmas agregadas para cada una de las plataformas. Por lo tanto, desde una perspectiva puramente de medición de amenazas, esto hace que el gráfico no resulte tan útil. Pero no importa, ya que esa no era mi intención en primer lugar.
En la presentación original para la cual elaboré este gráfico, necesitaba demostrar a simple vista otra métrica que me pareció muy interesante. Cumple una función similar a la de llevar un canario a una mina de carbón para ver si sobrevive y determinar si el aire es seguro: solo indica la cantidad de esfuerzo por parte de los investigadores de ESET para proteger cada una de las plataformas.
A pesar de que es imposible (y engañoso) hacer correlaciones de 1 a 1 entre valores numéricos como la cantidad de firmas y la severidad de las amenazas que representan, tan solo comparar el volumen de firmas agregadas en cada plataforma me resulta una métrica interesante, y a continuación explico por qué.
La cantidad de firmas agregadas puede servir como una guía muy general del esfuerzo que se requiere para proteger cada una de las plataformas. Esto, a su vez, nos proporciona un reflejo del empeño que están poniendo los ciberdelincuentes en atacar dichas plataformas.
¿Qué tipo de información valiosa podemos obtener de dichos datos? Bien, a simple vista nos dicen que los creadores de códigos maliciosos están esforzándose mucho más en desarrollar amenazas para Windows que para otras plataformas. ¿Y qué podemos inferir de ello? La respuesta más simple es que esta actividad genera la tasa más elevada de retorno de su inversión (al escribir malware). Por más extraño que parezca, o al menos, contrario al sentido común, la mención de este tema en los debates sobre malware es central.
Más de 99% del malware observado por ESET a diario está escrito con el único propósito de apoyar algún tipo de actividad criminal por motivos económicos, se trate de un ataque (de denegación de servicio distribuido), robo de identidad, envío de spam o el típico robo de siempre, aunque realizado a través de modernos métodos para robar cuentas y credenciales de transacciones bancarias pertenecientes a diversas instituciones y servicios financieros.
No obstante, este artículo no se ocupa del malware dirigido a Windows o, al menos, no era la intención. Cuando pasamos a Linux y observamos cómo encaja en las actividades online de los criminales, el panorama de amenazas en un tanto distinto. Linux ha sido una plataforma fundamental en el mundo del hosting de sitios web, y si observas más de cerca la informática en la nube, notarás que por dentro tiene más del pingüino Tux que, por decir, del ayudante de Office.
Esto es aún más evidente cuando miras las supercomputadoras modernas. En la lista TOP500 de los equipos más potentes de 2014, solo dos de los sistemas incluidos ejecutan alguna versión de Windows.
Quisiera resaltar que, cuando hablo de Linux, me refiero a las diversas distribuciones de Linux, no solo al kernel de Linux en sí. Es más, incluso sería mejor extender este concepto para que no solo abarque las distribuciones sino también el grupo de software que funciona en ellas, se trate del clásico conjunto de soluciones LAMP para servir las páginas web o de los mecanismos internos de la red que hacen mover los bytes.
Una gran parte de Internet se ejecuta en Linux, en general bien alejada de la vista pública, en vastos centros de procesamiento de datos (data centers). Hasta cuando Linux está frente a nuestros ojos suele ser invisible, porque se ejecuta en forma inadvertida en dispositivos como módems, routers y decodificadores de señales de televisión. Sin embargo, antes de seguir, me gustaría enfocarme en esos centros de procesamiento de datos.
Linux es muy grande...
¿Qué es lo que convierte a Linux en la plataforma ideal en el entorno de los centros de procesamiento de datos? Los data centers están conformados por decenas, miles e incluso cientos de miles de servidores, y gestionar tanta cantidad de equipos es un gran desafío.
Los costos de las licencias de los sistemas operativos para servidores varían, pero las distribuciones de Linux esencialmente comienzan en cero, aunque las corporaciones terminan pagando por documentación, soporte y mantenimiento, y a veces tienen que destinar empleados para personalizarlas según las necesidades específicas.
Asimismo, la compatibilidad que ofrece Linux para diversos protocolos de red, lenguajes de scripting y shells de comandos (que es mucho más variada que la de Windows, al menos en los productos como se venden en el mercado, sin agregados) significa que, en comparación, resulta más fácil y económico administrar los sistemas mediante scripts. Además, ofrece una buena escalabilidad.
Y luego está el problema del rendimiento. Como uno de los primeros sistemas operativos que originaron la era de Internet, y viniendo de un entorno más educativo que comercial, Linux se diseñó desde su base para conectarse con otros sistemas a través de protocolos estándar como TCP/IP. De hecho, les llevó años a los sistemas operativos de Microsoft Windows para servidores poder alcanzar a Linux en varias pruebas de rendimiento de red en bruto.
... y Linux es muy pequeño
Así como Linux es capaz de crecer para abarcar equipos muy grandes, también puede personalizarse para que se ejecute en dispositivos muy pequeños. Android de Google, que en gran medida impulsa la industria de smartphones y tabletas, se basa en Linux.
Es probable que en tu casa tengas dispositivos que usan Linux. En la sala de estar, los dispositivos como los reproductores de video, los reproductores multimedia, los decodificadores de señales de televisión y los televisores inteligentes de tu centro de entretenimiento posiblemente tengan Linux, mientras que el módem de banda ancha y el router que conecta todo a la Internet también funcionan con Linux. Si los artefactos de cocina inteligentes y con conexión digital empiezan a cobrar más fuerza, es probable que algún día también cocines con Linux.
Más allá de lo que hagan estos pequeños electrodomésticos en tu casa o en tu oficina, tienen algo en común: no se parecen mucho a las computadoras tradicionales. No tienen teclados, ni siquiera monitores (a menos que, quizá, estén integrados a tu monitor), y probablemente accedas a ellos a través de tu navegador web para configurarlos y administrarlos. Si se llegan a comunicar contigo, probablemente sea mediante una o dos luces de LED para avisarte que están funcionando.
El panorama de amenazas de Linux
Entonces, ¿cuáles son exactamente las amenazas a las que hoy en día se enfrenta Linux?
Como ya mencionamos, el uso de Linux tiende a concentrarse en dos áreas: las muy grandes (centros de procesamiento de datos) y las muy pequeñas (integrado en aparatos domésticos y similares). En el primer caso, a menos que trabajes con servidores todo el día, quizá no llegues a notar que Linux está tras muchos de los sitios web más populares y de los servicios de los que dependemos cotidianamente.
Y en el segundo caso, es posible que no te des cuenta de que tu router doméstico, tu reproductor de video, tu decodificador de señales de televisión u otros electrodomésticos "inteligentes" funcionen gracias a alguna forma de Linux. Aunque ninguno de estos dos casos son lo que solemos considerar bajo circunstancias normales "equipos de escritorio", no significa que sean inmunes a los mismos tipos de amenazas.
Los servidores Linux alojados en centros de procesamiento de datos forman parte del ecosistema de malware desde hace tiempo, aunque probablemente no de la manera que la mayoría de las personas creen. Existen muchas empresas de hosting de sitios web que usan software obsoleto y poco seguro, y cuyas prácticas de administración de sistemas dejan mucho que desear.
Suelen terminar alojando centros de comando y control (C&C) utilizados por el malware para Windows para llamar a sus creadores en busca de actualizaciones o instrucciones, para servir como zonas de colocación, donde el malware almacena la información recopilada antes de enviarla a los criminales que la robaron, y demás.
A principios de este año, los investigadores de ESET desenmascararon la Operación Windigo, una amenaza que atacaba principalmente servidores Linux (también alcanzó algunos servidores *BSD, Mac OS X Server e incluso unos pocos servidores Windows), y que en los últimos dos años afectó a más de 25.000 servidores.
A primera vista, es posible que 25.000 sistemas no parezca un número tan grande, dado que muchas botnets alcanzan diez o treinta veces esa cifra, pero al considerar que un único servidor puede alojar decenas, cientos e incluso miles de sitios web, la cantidad total de usuarios finales afectados fue en efecto desorbitante.
Una verdadera anécdota de mis propias experiencias: un foro de la web del cual soy un participante activo resultó afectado por la campaña Windigo durante varios meses. Cuando le notifiqué al administrador del sitio que me estaba encontrando con que mi software de seguridad bloqueaba algunos intentos de abrir ventanas emergentes de anuncios pornográficos, me contestó que explorara mi PC basada en Windows en busca de virus.
Tuvieron que pasar varios meses para que el proveedor de servicios de hosting del foro (más conocido por sus buenos precios que por su soporte o seguridad) admitiera que el servidor desde el que se ejecutaba el sitio había estado comprometido ya durante gran parte del año.
En el otro extremo del espectro informático, tenemos todos esos artefactos con computadoras integradas que ejecutan alguna versión de Linux. Entre ellos se incluyen dispositivos que uno no consideraría computadoras, como los televisores inteligentes y los reproductores de vídeos, así como los dispositivos a los que puedes conectar tu computadora pero no pensarías que funcionan necesariamente con un sistema operativo discreto, como los routers, las impresoras, las unidades de almacenamiento conectadas a la red, entre otros.
Ya presenciamos varios casos de televisores inteligentes de empresas como Samsung, Philips y LG cuyo control se puede tomar en forma remota, que se pueden usar para espiar lo que están viendo los usuarios e incluso directamente para espiar a los mismos usuarios mediante cámaras web integradas. Y también existen gusanos como RBrute, que modifican la configuración DNS de los enrutadores para inyectar avisos publicitarios, robar credenciales y redirigir los resultados de búsquedas.
Amenazas en los equipos de escritorio
Así como las amenazas dirigidas a los servidores Linux difieren mucho de las que atacan a los sistemas integrados, los tipos de ataques a los equipos de escritorio con Linux también tienen tendencia a variar.
Lo primero que hay que comprender sobre los ataques a equipos de escritorio Linux es que estos sistemas raramente son infectados por malware del tipo gusanos, troyanos, virus y similares. Mientras que en parte se debe al modelo de seguridad de Linux, la razón principal es simplemente la falta de penetración en el mercado de Linux en el segmento de equipos de escritorio.
Estos días, los criminales usan el malware casi exclusivamente para obtener beneficios financieros. De hecho, en la actualidad esto es tan frecuente que cuando se escribe malware con otro propósito, es noticia solo por esa razón. n ejemplo concreto es Win32/Zimuse. Cuando vemos malware específicamente escrito para Linux, nos parece que fue creado como una prueba de concepto o con propósitos de investigación, y es muy raro encontrarlo activo en los equipos de los clientes.
No obstante, esto no significa que Linux es inmune al software malicioso, en especial cuando se trata de amenazas para plataformas múltiples. HTML, Java, JavaScript, PDF, Perl, php, Ruby e incluso SWF (Adobe Flash) son todos marcos o lenguajes compatibles con Linux, y es igual de fácil atacarlos en Linux como en Windows o Mac OS X, aunque sea más difícil aprovecharse del sistema operativo subyacente. Aún así, contar con un software antimalware instalado significa que recibirás advertencias ante amenazas potenciales.
Asimismo, no es inusual que los usuarios de Linux reciban archivos adjuntos a través del correo electrónico, o que participen de redes con archivos compartidos, que pueden servir como vectores de ataque para el malware, incluso si solo está dirigido a Windows. Y, por supuesto, si un gusano específico para Linux como Linux/Ramen se está propagando a través de la red, uno va a querer proteger su equipo de escritorio de él.
Pero incluso si el único malware en la red está dirigido a Windows, el hecho de tener un software antimalware instalado puede servir como un sistema de "alerta temprana" para notificarles a los usuarios de equipos de escritorio Linux que están conectados a una red infectada.
A modo de anécdota, un amigo mío, a quien llamaré Richard, hace exactamente esto. Es un escritor técnico por vocación que cambió a un entorno de solo Linux tras haber tenido algunas malas experiencias con Windows Vista. Richard mantiene un sistema aislado con Windows XP para ocasiones en que necesita hacer algo en Windows que no se pueda hacer con Linux pero, más allá del sistema operativo que use, todas sus computadoras tienen instalado un software antimalware. Cuando las personas de su oficina envían accidentalmente un archivo infectado a su equipo de escritorio Linux, se los hace saber en forma concisa, clara e inequívoca, típica de un escritor técnico profesional.
Reflexiones finales
Aunque los equipos de escritorio Linux no son mágicamente inmunes al malware, tampoco están saturados por él, en particular al compararlos con su contraparte de Windows. Pero, tal como nos demostraron la Operación Windigo y el aumento considerable del malware para Android, donde sea que una plataforma en particular tenga éxito, los criminales estarán unos pasos detrás.
Aunque el Linux para equipos de escritorio aún sigue estando comparativamente libre de amenazas en la actualidad, este puede dejar de ser el caso en el futuro. Más allá de que sea un requisito para el cumplimiento de normativas, o simplemente un deseo de contar con una medida de prevención, el antimalware en los equipos de escritorio Linux actúa como un seguro ante ataques futuros.
Quisiera agradecer a mis colegas Oliver Bilodeau, Sebastian Bortnik, Bruce Burrell y David Harley por sus comentarios mientras investigaba este tema.
¿Usas Linux en tu equipo de escritorio? Y de ser así, ¿alguna vez encontraste malware, ya sea dirigido a Linux o a otro sistema operativo? ¿Ejecutas algún software antimalware en tus equipos con Linux? ¿Por qué? Cuéntanos abajo.