Más de uno (muchos, seguramente) os habéis preguntado alguna vez cómo se trabaja en los laboratorios de seguridad de las empresas que luchan contra el malware. ¿Qué hacen? ¿Cómo se organizan? ¿Colaboran con otras firmas del sector? ¿Qué tipo de profesionales trabajan en ellas? ¿Es cierto que muchos son hackers? Con el fin de aportar luz a estas preguntas y satisfacer la curiosidad de muchos de nuestros clientes y otros actores del mercado, nos adentramos en el corazón de PandaLabs, nuestro laboratorio de seguridad, de mano de su director Luis Corrons.

Luis Corrons

El equipo de PandaLabs lleva trabajando desde 1990 en la detección y eliminación de las amenazas de seguridad que van surgiendo en el mercado no solo con el fin de “ser los más rápidos” en esta tarea sino, por encima de todo, ofrecer la máxima seguridad a nuestros clientes. Pero 25 son muchos años y en este periodo el proceso de detección de malware se ha perfeccionado en gran medida, afortunadamente, habría que decir pues, especialmente en el último lustro, como nos recuerda Corrons, las muestras de malware se han multiplicado exponencialmente: “Cuando Panda lanzó su primer antivirus detectamos solo tres virus en todo ese año y al siguiente 12. Entre 2003 y 2004 vimos aparecer los primeros casos de ciberdelincuencia real, muchos con el foco puesto en el sector bancario, y en 2006 ya detectamos 198.000 ejemplares de malware. En la actualidad, un día como hoy, aparecen en solo 24 horas unos 225.000 ejemplares. Solo en 2014 detectamos 220 millones de ejemplares, más del doble que en 2013”.

Automatización, la clave

La clave para que en Panda Security demos respuesta a este ingente crecimiento del malware ha sido la automatización en la tarea de detección y clasificación de éste. “Antiguamente lo hacíamos todo a mano –desvela Corrons– pero en la actualidad trabajamos con sistemas que clasifican más del 99% del software malicioso de forma automática. Claro que para el porcentaje restante donde no llegan nuestros sistemas automatizados sigue siendo fundamental el trabajo de inteligencia de nuestro equipo técnico”.

No obstante, si no fuera por la automatización de los sistemas, explica el director de PandaLabs, sería literalmente imposible abordar el reto de la protección con éxito. Se trata de sistemas desarrollados con tecnología propia, que nacieron en torno a 2003 y 2004. “Fue entonces cuando pusimos las primeras piedras de los sistemas de detección y clasificación con los que contamos hoy, que forman parte de nuestra nube y son la base de la inteligencia colectiva, el modelo de seguridad que tenemos en Panda Security que permite detectar incluso aquellos ejemplares de malware que han dejado escapar otras soluciones de seguridad”.

pandalabs
PandaLabs. Año 2006

El sistema de Inteligencia Colectiva está ubicado en una red de centros de datos que gestiona el propio laboratorio de nuestra compañía. “Mientras que lo único que percibe el usuario es que su antivirus se conecta a la red y ve la información, lo que nos llega a nosotros, lo que vemos, es el análisis de dichos datos. El sistema recoge y almacena el comportamiento de programas, características de ficheros, nuevos ejemplares de malware captados por la comunidad… Disponemos de información de más de mil millones de ficheros”, explica nuestro experto.

El siguiente paso es analizar y clasificar las nuevas muestras que aparecen cada día. “Aplicamos diversos algoritmos para ver si estos ficheros tienen similitudes con otros que ya tengamos detectados y almacenados y para ello aplicamos tecnología de Big Data”, una tecnología de la que Corrons prefiere no desvelar más detalles para “no dar pistas a los malos”. Finalmente, todo el conocimiento que se ha generado se entrega a los usuarios en forma de servicios web o a través de actualizaciones del fichero de firmas.

Secretismo pero también colaboración

“Hay bastante secretismo en este trabajo –reconoce Corrons–. Los laboratorios de las empresas de seguridad guardamos celosamente la información de la que disponemos”. De ahí que aunque en general la tarea de estos laboratorios sea similar el “ingrediente secreto”, es decir, la manera en la que cada uno detecta y procesa las muestras, que es lo diferencial, nadie la desvele. “Cada compañía desarrollamos una tecnología diferente para ello y tenemos una estrategia distinta”, sentencia el portavoz quien, por otro lado, reconoce que hay más colaboración de la que se cree entre las empresas de seguridad. “Claro que colaboramos con otras compañías, incluso intercambiamos ficheros de muestras de malware para ampliar nuestro conocimiento. Otra cosa es qué haga cada empresa para luchar contra ese malware”.

Cada compañía tiene, como decíamos, su propia estrategia. Por ejemplo, mientras que hay otras empresas de seguridad que apuestan por usar máquinas virtuales para ejecutar ficheros y ver si contienen malware, el equipo de Panda Security desecha esta opción. “Hay malware que estas máquinas virtuales no detectan. De hecho, hay ficheros de malware que no hacen nada malo si se ejecutan en máquinas virtuales y sí lo hacen en entornos reales”, explica Corrons.

Los grandes retos

En realidad, detectar malware, como afirma el director de PandaLabs, “es una tarea bastante sencilla”. El problema es que hay otro tipo de programas que “se encuentran en el límite del bien y del mal” y que hay que detectar. “Esto sí nos da mucho trabajo. Un ejemplo son los llamados PUP (Potentially Unwanted Programs) es decir, Programas Potencialmente no Deseados. Estos se instalan en ocasiones sin el consentimiento del usuario y pueden impactar en el control de privacidad y confidencialidad de éste, utilizar recursos del equipo, etc. Así que aunque pueden no ser maliciosos en sí también hay que luchar contra estos”.

Nuestro equipo de PandaLabs invierte también mucho tiempo en seguir desarrollando motores de detección que engloben miles de variantes de malware. “Así podemos detectar más fácilmente variantes que sean similares. De hecho, la mayor parte de las variantes son parecidas aunque sus creadores cambian los ficheros por fuera para que los antivirus no las identifiquen. De ahí que el análisis estadístico y el estudio sea tan importante en nuestro trabajo”.

En todo caso, afirma Corrons, detectar no es lo más difícil. “Lo verdaderamente complicado es desarrollar sistemas de protección que detecten el 100% del malware de forma automática y sin consumir apenas recursos de los equipos informáticos en los que están instalados”. Por eso nuestro equipo continúa trabajando en mejorar la automatización de los antivirus: “Si no hubiéramos logrado este grado de automatización para hacer nuestro trabajo necesitaríamos miles de personas y los antivirus costarían millones de euros”.

Los ‘cerebros’ de PandaLabs

El equipo humano de nuestro laboratorio de seguridad está organizado para trabajar las 24 horas del día los 7 días de la semana de modo para analizar cada tipo de malware (virus, gusanos, troyanos, spyware, phishing, spam, etc.) y dar respuesta a las demandas de nuestros clientes pero ¿cómo son las personas que lo componen? ¿Qué formación tienen? “No somos muy puntillosos con la formación porque, de hecho, hemos tenido profesionales que venían de otros sectores que han demostrado ser los mejores en la detección de virus. Es más uno de los mejores técnicos que han pasado por PandaLabs era albañil antes de dedicarse a nuestro sector”, asegura Corrons. Lo mejor, apunta éste, “es que vengan, nosotros ya les formaremos. Es difícil encontrar profesionales que sepan, por ejemplo, realizar ingeniería inversa de un fichero, es decir, destriparlo, es algo que tienen que aprender porque son cosas que no se enseñan en ningún sitio, pero en Panda les brindamos esa formación”.

Respecto a la idea de que los mejores técnicos en seguridad fueron antes hackers Corrons matiza: “Bueno, todo depende de qué consideremos que es un hacker. Si lo vemos como una persona creativa con inquietud, que es capaz de romper sistemas pero con el fin de resolver problemas, es decir, si no es un cibercriminal, claro que contratamos hackers. Obviamente en Panda no contratamos a cibercriminales”.

Desde luego, finaliza nuestro director de PandaLabs, “nuestros profesionales están preparados para innovar pues el malware y las tácticas de cibercrimen cambian continuamente y es preciso estar preparados. Cada vez se producen más ataques dirigidos a empresas que requieren mucho análisis y estudio por detrás y contra los que no son suficientes las herramientas automáticas. De ahí que los especialistas en seguridad hagamos cada vez más trabajo de detectives”.