La prueba fue realizada en tiempo real, en el mismo sistema, con idénticas máquinas virtuales (VM), utilizando los mismos archivos descargados minutos antes desde Internet. En rigor, la comparación pudo haber sido realizada con cualquier otro proveedor que, al igual que Trend Micro, se basa en las firmas de malware. La implicación es -como explicó Cylance durante el evento realizado en Londres el 28 de abril- “estamos presenciando el ocaso de las firmas”.
La demostración, a la que asistió Diario TI, estuvo a cargo de Lloyd Webb, Sales Engineering Director en Cylance. El experto habilitó dos máquinas virtuales idénticas, presentadas en pantalla a los asistentes, en las que copió ejecutables de ransomware subidos minutos antes a Internet por ciberdelincuentes. Una de las VM estaba protegida por Trend Micro, y la segunda por Cylance. El resultado fue inmediato al hacer doble clic en los archivos ejecutables: en la VM dotada del antivirus de Trend Micro apareció una dramática ventana ilustrada por una calavera y texto rojo intermitente, donde se advertía al usuariuno que sus archivos habían sido encriptados por un sistema de cifrado de rango militar, y que su recuperación implicaba el pago de “US$ 100 o EUR 100”, mediante una transacción en Bitcoin – criptodivisa no trazable. La VM protegida por Cylance, en tanto, presentó una ventana generada por el sistema operativo Windows, donde se indicaba que el archivo no podía ser ejecutado. Una ventana secundaria, esta vez de Cylance, notificaba en la barra de tareas que el ransomware había sido puesto en cuarentena.
Webb repitió el procedimiento dos veces más, obteniendo exactamente el mismo resultado. Si la primera extorsión, donde al ciberdelincuente le daba igual recibir US$100 o EUR100, ya había motivado sonrisas entre los asistentes, la segunda ventana hizo difícil contener la risa; la extorsión era firmada por el “Departamento de Protección Antimalware del Ministerio de Seguridad de la Información” sin indicarse, como era de esperar, el país de este supuesto ministerio.
Sin embargo, la realidad dista mucho de ser graciosa, según explicó durante el evento Evan Davidson, Vice President of Sales, EMEA, en Cylance. “Mientras que 2015 fue el año de las mega intrusiones, como Sony y Ashley Madison, 2016 es el año del ransomware, que se está convirtiendo en una actividad altamente lucrativa para los cibercriminales”, comentó el ejecutivo.
Davidson señaló que el ransomware no sólo está diseñado para atacar computadoras de escritorio o portátiles, sino también puede paralizar centros de datos completos. En tal sentido, citó abundante información de prensa donde destaca el caso del Centro Médico Presbiteriano de Hollywood, que en febrero de este año pagó US$17.000 en ransomware para acceder a la clave que les permitiera recuperar el acceso a sus servidores y datos.
El ejecutivo se refirió a los antivirus tradicionales como “enfoques de seguridad legados”, mismos que a su juicio son ineficaces, por varias razones: los motores antivirus no dan abasto; el sistema de firmas no es escalable; las mutaciones son la regla, no la excepción; se requiere la participación de humanos; y finalmente “para poder protegerte primero tienes que estar infectado”. Y precisamente en este último enfoque radica la principal diferencia entre Cylance y los productos antivirus tradicionales.
Lloyd Webb, por su parte, agregó que Cylance analiza el ADN del malware a un nivel molecular, con el fin de determinar, con un alto nivel de precisión, si una aplicación es maligna o benigna, independientemente de que el malware haya sido detectado anteriormente o no. En tal sentido, explicó que Cylance ha desarrollado un innovador procedimiento que impide la ejecución de malware, incluido ransomware, mediante un agente ligero (ocupa solo 1% a 3% de la CPU, y 40 MB en RAM) basado en inteligencia artificial y aprendizaje automático (machine learning), que predice y bloquea estas amenazas. La arquitectura de Cylance permite al endpoint detectar el malware mediante un modelo matemático independiente de una nube o de firmas constantemente actualizadas. El sistema permite detectar y colocar en cuarentena más del 99% del malware en redes, independientemente que estas estén conectadas a Internet o aisladas.
“Nuestro software predice los ciberataques y los bloquea en el endpoint antes que puedan ser ejecutados”, explicó Webb, agregando que el software funciona en Windows y Mac OS X, junto con ser compatible con PCI-DSS y HIPAA HITECH.
En noviembre de 2015, Cylance firmó un acuerdo con Dell para la seguridad avanzada de endpoints. Actualmente, Dell es el único fabricante de PC en ofrecer una suite de seguridad integral que incorpora las tecnologías de inteligencia artificial de Cylance.
—
Imagen principal: Evan Davidson, Vice President of Sales, EMEA, Cylance (Fotografías: Diario TI)