Un ‘hacker’ de los buenos para frenar virus en Windows

Los dispositivos electrónicos son la puerta de entrada a cuentas bancarias, comunicaciones y a la vida de las personas. Una mirilla fácilmente manipulable por los piratas informáticos, quienes se organizan como empresas: desarrollan sus programas muy rápido y son eficientes en su proyecto financiero. Virus que necesitan medicinas o, mejor aún, antídotos para sanar. En este punto aparecen los hackers buenos. Sí, esos que utilizan el conocimiento para poner trabas a los delincuentes de la red. Se meten en su piel para conocer su siguiente movimiento y neutralizarlo. Ricardo J. Rodríguez forma parte de ese particular escuadrón.

El profesor del Centro Universitario de la Defensa de Zaragoza realizó una estancia en la Universidad de León (ULE), donde estudió la efectividad de diferentes algoritmos de tratamiento de imágenes para la detección de programas maliciosos, y más en concreto, implementación de técnicas ya usadas en la literatura para comparar su rendimiento con otros nuevos algoritmos, que se integraron en una plataforma abierta online, lo que ha permitido conseguir un gran número de muestras.

Explica que trabajan con volcados de memoria obtenidos de los ordenadores y estudian, en ese fichero que representa la memoria del sistema, qué procesos se estaban ejecutando en el momento de la captura del volcado. «Nos centramos además en el sistema operativo de Windows, dado que a día de hoy sigue siendo el mayor objetivo de los ataques de malware».

Para Rodríguez, es innovador porque las formas clásicas de detección de programas maliciosos se basan en patrones de firmas o patrones de comportamiento especialmente centrados en el análisis de ficheros ejecutables. Sin embargo, asegura, tienen ciertos inconvenientes. Por un lado, los patrones en firmas se basan en valores concretos que se encuentran dentro de los ficheros. «Es altamente probable que los cibercriminales traten de minimizar la detección de sus creaciones de malware modificando ligeramente los ficheros, con lo que se consigue evitar una detección basada en firmas». Del mismo modo, para poder analizar el comportamiento de una muestra es necesario «disponer» del fichero malicioso. Pero, ¿y si éste no se encuentra en ningún fichero porque se oculta dentro de otro componente del sistema, o directamente sólo existe en la memoria del equipo comprometido?

Por este motivo, su proyecto detecta las muestras de malware en procesos que se están ejecutando en una máquina de Windows. Y detalla: «Un proceso, cuando se ejecuta, tiene ciertas características que por su propia naturaleza dinámica hace que las detecciones tradicionales basadas en firmas, por ejemplo, no sean aplicables».

El proceso para pillar al caco virtual es hacer uso de funciones de coincidencia aproximada, en vez de funciones de firma criptográfica. O, en otras palabras, en vez de conseguir una respuesta de sí/no (intervalo [0,1]), usan unas funciones que proporcionan una respuesta de grado de similitud entre los objetos, en términos porcentuales (es decir, en intervalo [0,1]).

Respecto a las ventajas, señala que su herramienta permite a los forenses de equipos de respuestas a incidentes realizar un primer análisis para la detección de malware en equipos que se sospecha que pueden estar comprometidos. También, añade, se ahorra tiempo de análisis ya que se ayuda al analista a localizar lo más rápido posible la causa de la infección.

La idea, cuenta el profesor del Centro Universitario de la Defensa de Zaragoza, surgió tras ver cómo se aplicaban funciones similares en el campo de las imágenes, con el objetivo de detectar escenas parecidas –por ejemplo, una fotografía tomada en la misma habitación pero con otro encuadre diferente–. «Estas funciones se usan especialmente para detectar dónde se ruedan las escenas de pornografía infantil y conseguir capturar a los pedófilos», expresa.

Comenzaron en el año 2016 y su idea es seguir explotando esta línea además de intentar captar fondos de investigación en la temática, que les ayuden a progresar en este camino. «Desgraciadamente, el modelo universitario español nos exige una carga ingente en cuanto a temas de gestión y docencia que nos complica avanzar en nuestros estudios a un ritmo adecuado», lamenta Rodríguez.

En su opinión, la ciberseguridad es «un elemento trasversal» a cualquier sistema, y es un aspecto cada vez más fundamental a los sistemas que sustentan el día a día. Juega «un papel de extrema importancia» porque numerosos procesos dependen de su seguridad para funcionar correctamente, como por ejemplo, cualquier sistema de carácter crítico –un control de una planta nuclear, de una presa o el propio sistema bancario–, apunta.

Sostiene que las empresas tienen que proteger información sensible para no verse envueltas en pleitos de diverso alcance. Además, añade, está todo el posible daño de imagen para la empresa, con la consiguiente pérdida de clientes y de cuota de mercado. «Lo más importante en ciberseguridad, siempre, es saber cuánto vale la información de la que se dispone, para saber cuánto se ha de invertir en su seguridad. El problema de la inversión en ciberseguridad es que no se puede medir como un retorno de la inversión, sino que debe medirse como un retorno de la no inversión», sentencia el profesor del Centro Universitario de la Defensa de Zaragoza.