08 de julio de 2025 | Texto: Markus Selinger | Antivirus para Windows

ATP: prueba en vivo contra malware que cifra o roba datos

Los usuarios privados a menudo pierden todas sus fotos de las vacaciones y otros recuerdos; en el caso de las empresas, puede estar en juego su propia existencia. Cuando los ladrones de información o el ransomware atacan, los datos acaban en manos de terceros o fuertemente encriptados de forma profesionalizada. Estos son los escenarios que debe evitar un buen software de seguridad para usuarios privados y empresas. Pero, ¿lo consiguen realmente? Las pruebas de protección avanzada contra amenazas, abreviado ATP (Advanced Threat Protection), ofrecen respuestas claras, ya que, en estas pruebas en vivo, los examinadores envían a 10 atacantes muy peligrosos contra los sistemas y observan paso a paso lo que ocurre. En la prueba actual con 16 paquetes de seguridad se encuentra de todo, desde la defensa perfecta hasta el cifrado y el robo de datos.

Prueba ATP con Windows:

así de bien evitan los paquetes de seguridad el robo de datos y la encriptación mediante malware

Cuando un ladrón de datos o un ransomware ataca, el escenario se desarrolla al principio de manera bastante similar. La mayoría de las veces llega un correo electrónico de phishing con un atacante a cuestas. Apenas aterriza en el sistema Windows, la suerte está echada en opinión de muchos: el software de seguridad detecta o no detecta el ataque. Pero esto no es totalmente cierto, puesto que aunque un software de defensa fracase en un primer momento, eso no significa que esté todo perdido. Un buen software de seguridad no solo consiste en un motor de detección, sino que tiene muchos otros módulos que cooperan entre sí en cuestión de protección y a menudo se compenetran a la perfección para defender contra un malware en pasos posteriores del ataque.

La prueba de Advanced Threat Protection, abreviado prueba ATP, demuestra que esto puede funcionar. En ella se siguió paso a paso en 10 escenarios en vivo cómo 5 ejemplares de ransomware y 5 ladrones de datos atacaron los sistemas Windows de prueba. La detección de que el malware se ha colado en el sistema y se va a ejecutar es tan solo el primer paso de la defensa. Lo interesante es que otros módulos pueden detener el malware y defender con éxito el sistema en pasos posteriores aunque no haya sido detectado al principio. A veces se produce algún daño insustancial, como que quede un archivo de texto o de imagen. No obstante, también hay casos en los que la defensa se prolonga hasta el final y acaban robando o cifrando algunos datos. Pero, a la hora de la verdad, esto no deja de ser un resultado aceptable en comparación con una pérdida total.

16 soluciones de seguridad en la prueba ATP

A esta prueba se presentaron 8 paquetes de seguridad para usuarios privados y 8 soluciones endpoint para empresas. Todos los productos se examinaron en marzo y abril de 2025 con Windows 10 Professional.

Los paquetes de seguridad para usuarios privados provienen de Avast, AVG, Avira, F-Secure, Kaspersky, McAfee, Microsoft y Norton. Los soluciones endpoint de Acronis, Avast, Kaspersky (con 2 versiones), Microsoft, Microworld, Trellix y WithSecure.

Paquetes de seguridad para usuarios privados en la prueba ATP

En la reciente prueba de Advanced Threat Protection con Windows 10 no todas las soluciones de seguridad fueron capaces de hacer frente a los ataques

Soluciones endpoint en la prueba ATP

De las soluciones de seguridad para empresas, 5 de las 8 soluciones examinadas resistieron los ataques en los 10 escenarios

Paquetes de seguridad para usuarios privados en la prueba ATP

Soluciones endpoint en la prueba ATP

En la tabla se asigna a cada solución una puntuación en protección que puede ascender a un máximo de 35 puntos. Por cada ransomware que se detiene por completo se conceden hasta 3 puntos y por cada ladrón de datos, hasta 4 puntos. En las 5 variantes por tipo de ataque se pueden también otorgar medios puntos en los 10 escenarios.

El laboratorio describe el transcurso de las acciones de defensa en una matriz basada en el estándar MITRE ATT&CK. Aunque un producto no detecte de inmediato al atacante, puede activar otras acciones de defensa posteriores y detener el ataque. La prueba muestra exactamente en qué paso lo consiguen o no.

Se usan las técnicas de ataque más nuevas

En la actual prueba ATP de marzo y abril se utilizó una técnica de ataque especial de la que se sirvieron todos los ejemplares de malware en los 10 escenarios del laboratorio:

MSBuild (Microsoft Build Engine): La confiable herramienta de Windows forma parte de .NET Framework y Visual Studio. Con su ayuda se pueden crear (compilar) aplicaciones ejecutables a partir de archivos de proyecto (.proj, .csproj etc.).

No obstante, los atacantes insertan código malicioso en un archivo de proyecto y lo ofrecen para que el usuario lo compile. En este proceso se ejecuta el código peligroso como malware sin archivos en la memoria de trabajo esquivando de este modo las medidas de protección, ya que MSBuild es considerada una aplicación de confianza.

Los 10 escenarios de prueba

Todos los escenarios de ataque están documentados de acuerdo con los estándares de la base de datos de MITRE ATT&CK. Los diferentes subpuntos, por ejemplo “T1566.001”, aparecen en la base de datos de MITRE para “Techniques” bajo “Phishing: Spearphishing Attachment”. Cada paso de la prueba, por lo tanto, está definido por especialistas y es trazable y comprensible. Además se explican todas las técnicas de ataque y cómo se hace uso del malware en ellas.

ATP: así de buenos son los productos para usuarios privados

En la prueba ATP de marzo y abril se produjeron algunas sorpresas negativas entre los productos para usuarios privados. De los 8 paquetes examinados, solo 3 productos ofrecieron una defensa sin fisuras en los 10 escenarios, por lo que recibieron los 35 puntos máximos: Kaspersky, McAfee y Microsoft.

Norton detectó a 9 atacantes, si bien un ladrón de datos pudo aun así llevar a cabo su destructiva labor. Esto le supuso la deducción de 3,5 puntos. El 10.º malware, un ransomware, pasó desapercibido, lo que le supuso la pérdida de otros 3 puntos. Norton recibió 28,5 puntos para la puntuación en protección.

Para los paquetes de Avast, AVG, Avira y F-Secure fue una prueba dura. Todos ellos detectaron solo a 8 de los 10 atacantes. Los productos dejaron pasar sin oposición respectivamente a un ladrón de datos y un ransomware. Resulta interesante que en todos los casos fueran los mismos ejemplares de malware. En total, cada producto perdió 7 puntos y al final solo les quedaron 28 de los 35 puntos para su puntuación en protección.

Los productos examinados merecieron el certificado “Advanced Certified”, otorgado por AV-TEST, ya que obtuvieron el 75 por ciento de los 35 puntos máximos (26,5 puntos).

ATP: así de buenos son los productos para empresas

Las soluciones para empresas terminaron la prueba con resultados sustancialmente mejores que los productos privados, pero no sin problemas. Los 5 productos de Acronis, Kaspersky (ambas versiones), Microsoft y Microworld finalizaron la prueba sin fallos y acumularon los 35 puntos para su puntuación en protección.

El paquete Endpoint de WithSecure también registró a los 10 atacantes, sin embargo tuvo problemas a continuación y no consiguió parar a un ladrón de datos identificado hasta varios pasos más adelante. Esto le costó un punto y solo recibió 3 de los 4 puntos posibles. También tuvo problemas con un ransomware y perdió otros puntos. Esta vez de nuevo detectó al atacante, pero no pudo detenerlo de inmediato. El producto de WithSecure no lo consiguió hasta pasos posteriores. Al final le quedaron 33 de los 35 puntos posibles para la puntuación en protección.

La solución Endpoint de Trellix detectó a 9 de los 10 atacantes. Mientras que un ladrón de datos pudo hacer de las suyas sin ser descubierto, a un ransomware lo detectó, pero no lo pudo parar. El sistema de prueba acabo encriptado. Al final a Trellix le quedaron 28,5 de los 35 puntos posibles.

La solución para empresas de Avast solo defendió sin restricciones contra 8 de los 10 atacantes. En el caso de un ladrón de datos y de un ransomware, la solución tuvo que pasar y los atacantes se hicieron cómodamente con el sistema de prueba. Al final, solo le quedaron 28 de los 35 puntos posibles para la puntuación en protección.

Todas las soluciones examinadas cumplen con las exigencias para obtener el certificado “Advanced Approved Endpoint Protection”, ya que alcanzaron al menos un 75 por ciento (26,5 puntos) de los 35 puntos posibles en la puntuación de protección. Acronis fue el único que no recibió el certificado, puesto que este está reservado a productos que también hayan sido certificados en la prueba regular mensual y cumplan sus criterios.

Conclusión: la dura prueba ATP deja huellas

En la tabla se puede constatar que algunos productos para usuarios finales sufrieron pérdidas de puntos amargas. Sin embargo, los paquetes de Kaspersky, McAfee y Microsoft demuestran que es posible no cometer ningún fallo en cuestión de seguridad. Terminaron la prueba con el mejor resultado posible: 10 atacantes detectados y detenidos y 35 puntos en la puntuación de protección.

El resultado entre los productos para empresas es notablemente mejor, pero está lejos de ser perfecto. Acronis, las dos versiones de Kaspersky, Microsoft y Microworld trabajaron de forma impecable y merecieron los 35 puntos máximos para la puntuación en protección.

Algunos productos se percataron de los atacantes en determinados escenarios, pero no impidieron que el malware realizase su desastrosa obra hasta pasos posteriores. O al contrario, a veces la defensa fracasó aunque se hubiera identificado el código malicioso.

No obstante, muchos de los productos examinados demuestran que los equipos de desarrolladores de las empresas de seguridad hacen un buen trabajo y siguen yendo un decisivo paso por delante de los atacantes.