MENU
14 de febrero de 2024 | Texto: Markus Selinger | Antivirus para Windows
  • Compartir:

Más protección contra la encriptación y el robo de datos

La mayoría de los ataques a usuarios privados o empresas se llevan a cabo con ladrones de datos, data stealer, o ransomware. Por eso es fundamental saber si los programas de seguridad y las soluciones que existen actualmente en el mercado son capaces de detectar las amenazas más nuevas y sus técnicas de ataque. En el último test de Advanced Threat Protection, los expertos de AV-TEST han examinado 25 productos de seguridad mediante un prueba ampliada. En los 10 escenarios de ataque reales desempeñó un papel especial la técnica denominada “process hollowing”, en la que usan procesos habituales en Windows para enmascararse. Si bien muchos productos de seguridad se percatan de esta nueva técnica de ataque, pierden valiosos puntos, ya que, a pesar de ello, los ataques tienen éxito.

Test de Advanced Threat Protection: 25 productos defienden contra ladrones de datos y ransomware en la prueba ATP
Test de Advanced Threat Protection:

25 productos defienden contra ladrones de datos y ransomware en la prueba ATP

zoom

En la prueba actual, el laboratorio de AV-TEST ha examinado 25 productos de seguridad para usuarios privados y empresas. Para ello se comprueba en 10 escenarios reales lo bien que los productos defienden contra los ataques con las técnicas de protección existentes. Estas funciones de seguridad ampliadas pueden detener el avance del ataque, aunque falle la clásica detección de un malware. Son precisamente estos pasos siguientes de los que el laboratorio hace un seguimiento y puntúa todas las fases de los 10 ataques en un gráfico de resultados.

ATP: 25 productos en el test ampliado

En esta serie especial de test de Advanced Threat Protection realizada en diciembre de 2023 participaron los siguientes fabricantes con productos para usuarios privados: AhnLab, Avast, AVG, Avira, Bitdefender, F-Secure, Kaspersky, McAfee, Microsoft, Microworld, Norton y PC Matic.

En el caso de las soluciones para empresas se presentaron los siguientes proveedores: AhnLab, Avast, Bitdefender (con 2 versiones), Check Point, Kaspersky (con 2 versiones), Microsoft, Rapid7, Seqrite, Symantec, Trellix y VMware.

En la prueba con 10 escenarios de ataque reales, algunos productos se hicieron con los 30 puntos máximos para su puntuación en protección. Sin embargo, en alguna que otra ocasión, la detección fue insuficiente y el malware pudo completar su labor destructiva.

El ataque de un malware se puede comparar con una batalla en la que el atacante intenta burlar la defensa para hacerse con un bien valioso. En estos ataques se suelen utilizar diversas estrategias. Una de ellas es el uso de algún enmascaramiento para que los guardianes no los descubran. En tecnología, este tipo de inyección de procesos se denomina “process hollowing”. Consiste en vaciar un proceso conocido e introducir un malware en esa envoltura conocida de un proceso aparentemente inofensivo. De este modo se intenta evadir la vigilancia tecnológica.

Test ATP: paquetes de seguridad para usuarios privados

En la prueba de Advanced Threat Protection con Windows contra ransomware y ladrones de datos solo dos productos tuvieron dificultades, el resto la superaron con la mejor nota

zoom ico
Test ATP: soluciones para terminales de empresas

Las soluciones para empresas tienen que proteger a la perfección los terminales. En la prueba actual de diciembre de 2023, Microsoft fue el único que no detectó al atacante en un caso; todos los demás productos actuaron de manera impecable

zoom ico

1

Test ATP: paquetes de seguridad para usuarios privados

2

Test ATP: soluciones para terminales de empresas

Técnica y escenarios de ataque

En estos 10 escenarios se envía, mediante un ataque de “spear phishing”, un anexo de correo que contiene un archivo batch o un script que activa PowerShell, abre otras herramientas e inyecta el malware como si fuera el “RegAsm.exe” de confianza. La aplicación de Windows es, en realidad, la herramienta de registro de ensamblados. Esta aplicación se inicia y se vacía para colar y ejecutar el código del ladrón de información o del ransomware. La tarea del software de seguridad consiste en detener al atacante nada más llegar al sistema o durante la ejecución. Si no se detecta durante los primeros pasos (“Initial Access“ o “Execution“), las herramientas EDR y otros mecanismos deberían detectar el ataque y contenerlo en pasos posteriores.

Los gráficos muestran los resultados en cada uno de los pasos del ataque. Si los primeros campos están en verde significa que se ha detenido el ataque. El color amarillo indica problemas y el naranja que la defensa no tuvo éxito y el ransomware o el ladrón de datos pudo actuar libremente.

Los ladrones de datos y el ransomware recopilan información sobre los datos existentes. Los stealers filtran después los datos a un servidor C2. El ransomware a veces también envía datos, pero, por regla general, envía solo una lista de archivos. Después comienza la encriptación de los datos y el cambio de nombre de los mismos. A continuación, en el ordenador de mesa se muestra un archivo de texto informando del ataque y exigiendo un rescate.

Encontrará una explicación más detallada de las tablas de evaluación y de los códigos cromáticos del sistema de semáforo en el artículo “Prueba y estudio: ¿Detienen las soluciones de seguridad para Windows 11 el ransomware actual?”.

Los 10 escenarios de prueba

Todos los escenarios de ataque están documentados de acuerdo con los estándares de la base de datos de MITRE ATT&CK. Los diferentes subpuntos, por ejemplo “T1566.001”, aparecen en la base de datos de MITRE para “Techniques” bajo “Phishing: Spearphishing Attachment”. Cada paso de la prueba, por lo tanto, está definido por especialistas y es trazable y comprensible. Además se explican todas las técnicas de ataque y cómo se hace uso del malware en ellas.

01
zoom ico
02
zoom ico
03
zoom ico
04
zoom ico
05
zoom ico
06
zoom ico
07
zoom ico
08
zoom ico
09
zoom ico
10
zoom ico

1

01

2

02

3

03

4

04

5

05

6

06

7

07

8

08

9

09

10

10

Productos para usuarios privados en el ATP test

Son muchos los usuarios privados amenazados por el ransomware y los ladrones de datos, por eso en la prueba ATP se han examinado los productos de estos fabricantes: AhnLab, Avast, AVG, Avira, Bitdefender, F-Secure, Kaspersky, McAfee, Microsoft, Microworld, Norton y PC Matic.

9 de los 12 fabricantes concluyeron la prueba perfectamente y consiguieron los máximos 30 puntos para su puntuación en protección: AhnLab, Avast, AVG, Bitdefender, F-Secure, Kaspersky, McAfee, Norton y PC Matic.

Microworld fracasó en una ocasión. Detectó el ataque del ransomware como tal, lo cual se le puntuó (10 ataques detectados), pero aisló el archivo equivocado. Atrapó el archivo “RegAsm.exe”, utilizado para el enmascaramiento, pero el verdadero malware ya estaba haciendo de las suyas. Se quedó con 27,5 puntos para la puntuación en protección.

Microsoft y Avira tuvieron mayores problemas. Microsoft no detectó el ataque de uno de los ladrones de datos y Avira incluso dos, uno de ransomware y otro de un ladrón de datos. Esto les costó a ambos puntos importantes para la puntuación en protección. Microsoft obtuvo 27 puntos, Avira tan solo 24 puntos.

Todo producto para usuarios privados que consigue al menos un 75 por ciento de los 30 puntos posibles en la puntuación de protección, es decir, 22,5 puntos, recibe el certificado “Advanced Certified”. En la prueba de diciembre de 2023, todos los productos superaron este obstáculo y fueron galardonados.

Productos para empresas en el ATP test

En el grupo de las soluciones de seguridad para empresas se presentaron al examen los siguientes fabricantes: AhnLab, Avast, Bitdefender (con 2 versiones), Check Point, Kaspersky (con 2 versiones), Microsoft, Rapid7, Seqrite, Symantec, Trellix y VMware.

Casi todas las soluciones pudieron acumular los 30 puntos posibles para la puntuación en protección, ya que identificaron y detuvieron a los atacantes en los 10 escenarios. Microsoft fue el único que no detectó en una ocasión el ataque de un ladrón de datos, que filtró todos los datos a un servidor. Por eso, en la tabla aparecen solo 9 ataques detectados y 27 puntos en la puntuación en protección.

Toda solución para empresas que consigue al menos un 75 por ciento de los 30 puntos posibles en la puntuación de protección, es decir, 22,5 puntos, recibe el certificado “Advanced Approved Endpoint Protection”. Todos los fabricantes alcanzaron este objetivo en la prueba de diciembre de 2023.

No hay que temer una encriptación o un robo de datos

La actual prueba de Advanced Threat Protection con Windows 10 tuvo lugar en noviembre y diciembre de 2023. Esta muestra que muchos productos para usuarios privados y también para empresas ofrecen una excelente protección. Así lo demuestran las tablas y la enumeración de las puntuaciones en protección. Pero no todos los productos consiguieron la puntuación máxima de 30 puntos.

Casi todos los paquetes de seguridad para usuarios privados alcanzaron la máxima puntuación en protección. Solo Avira tuvo dos veces problemas a la hora de enfrentarse con su producto para usuarios privados.

Microsoft, por el contrario, fracasó en los dos grupos de usuarios con su Defender Antivirus para consumidores y para empresas al no detectar respectivamente a un data stealer. Los especialistas de Redmond deberían hacer mejoras urgentemente.

Usuarios Privados 12/2023

V3 Internet Security
Free Antivirus
Internet Security
Internet Security for Windows
Internet Security
Total
Standard
Premium
Total Protection
Defender Antivirus (Consumer)
eScan Internet Security Suite
Norton 360
Application Allowlisting

Soluciones para Empresas 12/2023

V3 Endpoint Security
Ultimate Business Security
Endpoint Security
Endpoint Security (Ultra)
Endpoint Security
Endpoint Security
Small Office Security
Defender Antivirus (Enterprise)
Rapid7
Endpoint Security

Social Media

¡Nos gustaría mantenernos en contacto con usted! Reciba de manera sencilla y periódica las noticias actuales y las publicaciones sobre pruebas.