Seguridad Los 4 virus más difíciles de detectar por los antivirus

Virus metamórficos

Cuando un virus es detectado por primera vez, éste pasa a formar parte de la base de datos de los fabricantes de antivirus de inmediato. Al añadirlo a la base de datos y ser su código detectable, cualquier persona que lo tenga en su ordenador pasará a ser alertada de su presencia.

Sin embargo, ¿qué pasa si el antivirus está diseñado para cambiar su código constantemente? Esos virus, llamado metamórficos, pueden traducir, editar y reescribir su propio código de manera automática en cada infección, de manera que el antivirus no puede detectarlo. De hecho, no sólo cambia el propio código de infección, sino que también cambia el motor de mutación.

Para detectar este tipo de malware es necesario ir un paso más allá de las firmas que usan los antivirus actuales, y utilizar heurística y técnicas de análisis basadas en comportamientos. Así, es posible intentar identificar patrones para poder detectar mutaciones futuras y pasadas.

Virus polimórficos

Aunque con un nombre y finalidad parecida, los virus polimórficos son diferentes de los metamórficos. Mientras que estos últimos cambian por completo su código, los polimórficos cambian sólo una parte de su código, manteniendo parte de su código igual. Para realizar estas transformaciones, el malware utiliza normalmente técnicas de ofuscación e incluso cifrado. Gracias a ello, puede mantener el motor de generación idéntico, pero cambiando su huella.

Vulnerabilidades de día cero

Existen otro tipo de infecciones más allá del malware clásico detectable por los antivirus, como las vulnerabilidades de día cero. Estas vulnerabilidades consisten en encontrar un fallo en el software o en el hardware de un dispositivo que no ha sido parcheado. Al no estar parcheado, es posible llevar a cabo ataques sin que el sistema pueda llegar a detectarlo.

Hay algunas vulnerabilidades de día cero que sí son detectables por antivirus si alguien intenta utilizarlas, pero en muchos casos esto no es así. Este tipo de fallos suelen encontrarse realizando pruebas como desbordamientos de búfer, saturando programas hasta que se cuelgan, y se hace posible inyectar código malicioso.

Entre el código malicioso que se puede inyectar se encuentra un ransomware que cifre todos los contenidos del ordenador. Este fue el caso por ejemplo de WannaCry, que a través de una vulnerabilidad sin parchear en Windows 10, permitía instalar un ransomware en un ordenador e ir infectando todos los demás dispositivos conectados dentro de la misma red local.

Rootkits

Las vulnerabilidades de día cero pueden dar lugar a infecciones de rootkit. Un rootkit es lo peor que podemos llegar a sufrir en un ordenador. El antivirus es capaz de detectar código malicioso ejecutándose en el sistema operativo. Pero, ¿y si el código estuviese a un nivel más cercano al hardware que el del sistema operativo? Pues, en ese caso, el antivirus no puede detectarlo.

Eso es un rootkit: un tipo de malware que tiene acceso perpetuo a un ordenador, pero que se mantiene oculto ante el usuario y no tiene manera de detectarlo. Su objetivo puede ser modificar el firmware de un dispositivo, o ir orientados a espiar todo lo que pasa por la memoria del ordenador del usuario.

Estos rootkits pueden introducirse en el kernel del sistema operativo para saltarse la detección, pero también pueden llegar a las capas más bajas del ordenador, como la BIOS. En esos casos, ni siquiera formatear puede ayudarnos a eliminar la amenaza.

Por suerte, cada vez hay más mecanismos de detección de rootkits en los antivirus. A eso se le suma que hay mecanismos como Secure Boot que nos permiten proteger todo el segmento de arranque del ordenador para evitar la ejecución de código malicioso.

Alberto García - adslzone