26 de octubre de 2016 | Investigación
  • Compartir:

Análisis de 160 millones de páginas web: ¿Son Google y otros buscadores fuentes de malware?

Los motores de búsqueda como Google y otros conocen más de mil millones de páginas web y responden en todo el mundo de 4 a 6 mil millones de solicitudes de búsqueda, a diario. Pero, ¿cuánto software malicioso se esconde en los resultados de las búsquedas? AV-TEST ha analizado, en 2015 y 2016, 80 millones de páginas web respectivamente y ha constatado una intranquilizadora evolución.

¿Suministran los motores de búsqueda

en sus resultados enlaces con malware?

zoom

Ya en 2013, el laboratorio de AV-TEST analizó cuántas páginas infectadas se hallan en los resultados de los motores de búsqueda. Ya en aquel entonces se comprobó que los operadores de motores de búsqueda como Google y otros buscadores se esfuerzan por filtrar los resultados, pero no consiguen dominar la avalancha de software malicioso. En el examen actual están a disposición los resultados obtenidos desde enero de 2015 hasta agosto de 2016 en forma de base de datos.

Hecho: El número de resultados infectados va aumentando cada año, desde 2013, a pesar de que los operadores de motores de búsqueda intentan filtrarlos con numerosas técnicas.

El análisis de 80 millones de enlaces al año muestra

que el número de enlaces infectados aumenta constantemente.

zoom ico
Los resultados

de los diferentes buscadores y tweets de Twitter sirven como base de datos.

zoom ico
La sinopsis del análisis

muestra claramente que el número de resultados de búsquedas propuestos que contienen enlaces infectados aumenta constantemente.

zoom ico

1

El análisis de 80 millones de enlaces al año muestra

2

Los resultados

3

La sinopsis del análisis

80 millones de resultados de motores de búsqueda analizados cada año

La base de datos recopilada por AV-TEST a lo largo de 20 meses es gigantesca. A lo largo de todo el año 2015, el laboratorio ya había examinado más de 80 millones de páginas web sugeridas por motores de búsqueda para comprobar si contenían malware. El análisis continuó también en 2016. En los pasados 8 meses se inspeccionaron también más de 80 millones de páginas web. Esto hace que los resultados sean bastante comparables. Las páginas web analizadas proceden en gran parte de los motores de búsqueda de Google, Bing, Yandex y Faroo. Además, en 2015 se comprobaron más de 315 millones de tweets de Twitter y en 2016 más de 200 millones, para ver si contenían enlaces maliciosos.

Los operadores de buscadores filtran los resultados previamente y clasifican los enlaces infectados. Google quiere proteger aún mejor mediante sus herramientas de Navegación segura (Google Safe Browsing tools). Estas funcionan en la interfaz de búsqueda o están a disposición en Firefox y Chrome si se utiliza un motor de búsqueda que no sea Google. La cuestión ahora es saber si la tecnología Navegación segura detecta de forma fiable más enlaces maliciosos. Eso también se analizó.

Los miembros del laboratorio examinaron las páginas web en diferentes fases:

¿Entonces cuántas páginas web estaban infectadas?

Las dos evaluaciones de AV-TEST del año 2015 y hasta agosto del 2016 proporcionan en resumidas cuentas dos importantes valores finales (sin Navegación segura de Google):

  • En 2015, 80 mill. de páginas web examinadas: 18.280 páginas infectadas
  • En 2016 (hasta agosto), 81 mill. de páginas web examinadas: 29.632 páginas infectadas

En comparación, en 2013 ya se encontraron 5060 malwares en unos 40 millones de páginas examinadas. No hay que ser un matemático para apreciar la clara curva de crecimiento.

El resultado de este análisis ya es de por sí malo, pero cuál es el resultado si se examinan los millones de páginas con las herramientas de Navegación segura de Google:

  • En 2015, 80 mill. de páginas web examinadas: 9.725 alertas
  • En 2016 (hasta agosto), 81 mill. de páginas web examinadas: 19.794 alertas

Resulta interesante que no sean exactamente las mismas páginas web que las que el laboratorio filtra con ayuda del sistema de escaneado múltiple VTEST. El VTEST clasifica las páginas que conducen directamente a un malware descargable y las páginas que atacan al visitante directamente; estas incluyen páginas de phishing que intentan captar datos.

Por eso, el laboratorio realizó una prueba en contra: Se visitaron todas las páginas con software malicioso halladas por AV-TEST utilizando las Google Safe Browsing tools. Estas alertaron en las siguientes ocasiones:

  • 2015: 18.280 páginas con malware, 555 alertas de Google
  • 2016: 29.632 páginas con malware, 1.337 alertas de Google

Peligro adicional: tweets de Twitter

Una gran parte de los más de 80 millones de enlaces examinados provienen de tweets en Twitter. En 2015 se examinaron más de 315 millones de tweets y de ellos se extrajeron y comprobaron casi 23 millones de enlaces a páginas web. En 2016 fueron 200 millones de tweets con unos 25 millones de enlaces. Con 1100 malwares en 2015 y 1500 en 2016, los enlaces en tweets están infectados con una frecuencia comparable a los enlaces filtrados en Google. Twitter también parece examinar los enlaces y filtrar tweets peligrosos. Pero, a fin de cuentas, Twitter fracasa al igual que los motores de búsqueda.

¿Qué malware se esconde en las páginas?

En los 80 millones de páginas web examinadas se descubrieron todo tipo de ataques. 2 millones de los enlaces examinados en 2015 y 2,2 millones en 2016 no conducían a ninguna página web, sino que de inmediato se puso en marcha una descarga. En más de 10.000 ocasiones en 2015 y casi 18.000 en 2016, el malware debía deponerse directamente mediante su descarga.

En algo más del 60 por ciento de los casos se intenta atacar directamente con un archivo. En el 40 por ciento restante de los ataques se utiliza fragmentos de códigos, Java, Flash u otros exploits como puntos débiles.

El laboratorio ha registrado los tipos de archivo utilizados en los ataques y ha determinado los 5 más frecuentes. El primer puesto, como era de esperar, lo ocupan los archivos EXE. Este es el orden que siguen:

  • EXE: archivos EXE ejecutables
  • ZIP: archivos comprimidos
  • RAR: archivos comprimidos
  • SWF: archivos Adobe Flash Multimedia
  • MSI: archivos Microsoft Windows Installer

Muchos de los demás tipos de archivo registrados no superan los 10 ejemplares detectados.

Los buscadores proporcionan páginas web infectadas

Si bien el número de páginas web infectadas halladas en la prueba no es elevado, hay que tener en cuenta su potencial. Solo Google ya atiende de unos 2 a 3 mil millones de solicitudes de búsqueda al día mediante un pool estimado en 1100 millones de páginas web. No obstante, no hay que olvidar que, por ejemplo, a una popular página deportiva se accede 100.000 veces, mientras que una página sobre la cría de hámsters enanos solo se visita 100 veces. Así mismo, una página infectada puede ser propuesta 1000 veces al día y otra, en cambio, solo 10 veces.

En realidad es imposible calcular cuántas páginas infectadas con malware vagan por Internet, pero los valores recopilados en las pruebas a lo largo de los años muestran que el número de páginas afectadas por malware crece constantemente. Del 2015 a agosto de 2016 ya se registra un aumento de más del 60 por ciento en un pool de 80 millones de páginas examinadas.

Los expertos siguen recomendando el uso de software de seguridad

A pesar de los esfuerzos de los operadores de motores de búsqueda y de tecnología como las herramientas de Navegación segura, la conclusión no deja de ser que el malware sigue ganando terreno en Internet. Los expertos de AV-TEST recomiendan, por ello, a todos los usuarios una y otra vez el uso de una solución de seguridad para ordenadores y dispositivos móviles. Al respecto, el laboratorio publica continuamente en su página web pruebas sobre software de seguridad para Windows, Mac, iOS y Android

Los atacantes se aprovechan de la dinámica de la Web

Maik Morgenstern, CTO AV-TEST GmbH
Maik Morgenstern, CTO AV-TEST GmbH

Si bien AV-TEST lleva registrando 20 meses páginas web y las evalúa continuamente, se trata siempre de una mera instantánea. Internet es demasiado dinámico para realizar rígidas estadísticas a largo plazo.

Incluso para un instituto como AV-TEST no siempre es fácil investigar. Un ejemplo muy bueno de ello es la interpretación final de los datos del estudio sobre malware en los resultados de búsquedas. Si bien el estudio muestra de forma fiable cuántas páginas web o enlaces con contenido infectado o con malware son proporcionadas por los motores de búsqueda, este no puede registrar cuánto tiempo permanece en la Web una página web con malware o con qué frecuencia fue propuesta.

El laboratorio ha intentado analizar qué pasa si se introducen términos de búsqueda actuales, se evalúan las páginas web halladas y se repite el proceso 14 días más tarde. El resultado es que entretanto han aparecido entre unas 25 y 30 páginas nuevas. Estas páginas nuevas están infectadas en un porcentaje similar a las de la primera consulta. Por tanto, han llegado nuevas páginas con nuevo malware.

Internet se transforma continuamente y, por ello, no es posible hacer un estudio estático. La investigación se ve dificultada adicionalmente por el hecho de que los operadores de los buscadores exigen para poder acceder a su base de datos vía API una tasa de servicio según la cantidad a la que se acceda. Google la exige ya y está previsto que Bing lo haga próximamente.

Hay que decir claramente que los operadores de motores de búsqueda no son cazadores de virus. Esa es una tarea adicional que, no obstante, no realizan de forma totalmente voluntaria, puesto que si los usuarios acabaran cada vez más en enlaces infectados y, por tanto, con archivos infectados, podrían plantearse el uso de otro buscador.

Social Media

¡Nos gustaría mantenernos en contacto con usted! Reciba de manera sencilla y periódica las noticias actuales y las publicaciones sobre pruebas.