Skip navigation

Linux: 16 paquetes de seguridad puestos a prueba con Windows y Linux

Dado que los PCs con Linux se utilizan cada vez más como eslabón de unión entre PCs con Windows, estos también deberían utilizar un paquete de seguridad. El laboratorio de AV-TEST ha puesto a prueba en Ubuntu a 16 soluciones de seguridad actuales contra atacantes de Linux y Windows. El resultado es decepcionante en el caso de algunos productos, que dejaron pasar desapercibido un 85 por ciento del malware contra Windows; el malware destinado meramente a Linux pasó inadvertido en hasta un 75 por ciento de los casos.

16 paquetes de seguridad para Linux puestos a prueba: Si bien la base instalada es pequeña, constituye una importante interfaz, por ejemplo, en los servidores web.

Tasas de detección con paquetes de seguridad para Linux: Algunas soluciones para sobremesas y servidores cometen fallos de detección espectaculares.

ESET NOD32 Antivirus for Linux Desktop: La solución para PCs obtuvo las mejores tasas de detección con Windows y Linux.

Kaspersky Antivirus for Linux File Server: Esta solución para servidor protege de forma fiable las redes de datos en Windows y Linux.

Sophos for Linux: Esta solución para ordenadores de sobremesa ofreció en la prueba una buena detección y su versión básica se puede usar de forma gratuita.

El mundo Linux sigue siendo considerado una fortaleza contra el software malicioso, como los troyanos y compañía. Pero muchos ordenadores con Linux trabajan en combinación con PCs con Windows. La mitad de los servidores web, por ejemplo, funcionan con un sistema Linux. Este, a su vez, sirve a miles de millones de usuarios en la red. Por eso, los servidores web suponen un objetivo lucrativo que puede servir como "cabecera de puente" para el malware destinado a Windows.

El 50 por ciento de todos los servidores de web funcionan con Linux

Un ataque con éxito normalmente no infecta el sistema o el kernel. El objetivo son más bien los programas que se están ejecutando en un PC con Linux o un servidor web. Estos son más fáciles de capturar y de utilizar como medio de propagación. Aplicando esta estrategia, los hackers ya han llevado a cabo grandes ataques mediante SQL Injection o Cross Site Scripting. Pero los ordenadores de sobremesa con Linux también son un objetivo que merece la pena. Al fin y al cabo, en ellos se ejecutan también programas con agujeros de seguridad, como el navegador Firefox o herramientas como Adobe Reader.

El malware infiltrado no suele provocar daños en Linux, ya que, en realidad, espera encontrar un sistema Windows. Los archivos infectados simplemente se quedan ahí hasta que surge la oportunidad de atacar un sistema de Windows. Para ello, suele bastar con copiar archivos de un entorno Linux a uno Windows.

Últimamente están apareciendo, además, cada vez más troyanos y compañía especiales para Linux. Su calidad no es muy buena, dado que los agresores también son conscientes de los buenos mecanismos de protección de Linux. Más bien cuentan con la colaboración del usuario. Este ayuda sin saberlo al software malicioso mediante errores. El más frecuente es la instalación de software o actualizaciones de fuentes ajenas. A menudo se le pide al usuario durante la instalación que conceda temporalmente permisos de root. Si el usuario los concede, importantes componentes del sistema son sustituidos por versiones manipuladas. De este modo, un agresor ha podido abrir una puerta trasera en el sistema que utilizará a su antojo, por ejemplo, para una botnet.

Algunos fallos de detección espectaculares

En el laboratorio de AV-TEST se evaluaron 16 soluciones de seguridad para sistemas Linux. La mayoría de las soluciones están pensadas para PCs de sobremesa, el resto para servidores. Como entorno para la prueba se usó la distribución Ubuntu, ya que es considerada la plataforma más extendida. Se utilizó la versión Desktop 12.04 LTS 64 Bit (Kernel 3.13.0-54). En la prueba participaron soluciones de seguridad para Linux de Avast, AVG, Bitdefender, ClamAV, Comodo, Dr. Web, eScan, ESET, F-Prot, F-Secure, G Data, Kaspersky Lab (con dos versiones), McAfee, Sophos y Symantec. La prueba se dividió en tres partes: la detección de malware para Windows, la detección de malware para Linux y la prueba de falsos positivos.

Detección de malware para Windows

Un total de 8 de los 16 productos detectaron entre un 99,7 y un 99,9 por ciento de los 12.000 agresores de Windows utilizados en la prueba. Se trata de los de Avast, F-Secure, Bitdefender, ESET, eScan, G Data, Kaspersky Lab (versión servidor) y Sophos. Solo el paquete de seguridad de Symantec consiguió detectar el 100 por cien.

Notablemente peores son las tasas de detección de McAfee con un 85,1 por ciento y Comodo con un 83 por ciento. Terriblemente malos son los resultados de Dr. Web con un 67,8 por ciento, F-Prot con un 22,1 por ciento y ClamAV con solo un 15,3 por ciento.

Detección de malware para Linux

También para Linux se desarrolla y se pone en curso malware cada vez más pérfido. El laboratorio lanzó contra los sistemas 900 agresores de Linux en realidad ya conocidos. El resultado, sin embargo, es claramente distinto que en el caso de las tasas de reconocimiento con Windows. Una detección del 100 por cien con Linux solo la consiguió la Kaspersky Endpoint Version, seguida de cerca por ESET con un 99,7 por ciento y después por AVG con un 99 por ciento. Las versiones para servidor de Kaspersky Lab y Avast detectan al menos un 98 por ciento de los agresores. Symantec, que ofreció la mejor detección con Windows, con Linux solo reconoció el 97,2 por ciento del malware. A partir de aquí los resultados caen en picado.

A la cola en cuestión de detección de malware para Linux se sitúan ClamAV, McAfee, Comodo y F-Prot, cuyos valores oscilan entre un 66,1 y un 23 por ciento. En el peor de los casos, por tanto, 77 de 100 agresores pasan inadvertidos en Linux a pesar del software de seguridad.

Distinguir bien entre amigos y enemigos

En una tercera parte de la prueba, el laboratorio hizo que todos los productos escanearan más de 210.000 archivos limpios en Linux. De este modo se comprobó la cuota de falsos positivos de cada paquete. Los resultados fueron excelentes. Únicamente Comodo generó una sola falsa alarma. El resto de productos no cometió ningún fallo.

Linux es seguro. ¿Seguro?

La mayoría de los usuarios de Linux están convencidos de que utilizan uno de los sistemas más seguros que existen. Esta afirmación es correcta si solo se tiene en cuenta el sistema y se deja fuera todo lo demás, puesto que, de nuevo, son aplicaciones inseguras o fallos de los usuarios los que convierten los PCs o servidores con Linux en propagadores de virus. Así lo demuestra también el último estudio de Kaspersky (en inglés) para el primer trimestre de 2015 : más de 12.700 ataques se produjeron a través de botnets que utilizan el sistema Linux como base; mientras que solo 10.300 ataques provenían de botnets con sistemas Windows. Además, la vida útil de las botnets basadas en Linux es mucho mayor que la de las basadas en Windows. Esto se debe a que es mucho más difícil detectar y desactivar este tipo de redes zombis, dado que el servidor con Linux raras veces está equipado con soluciones de seguridad especiales; al contrario que los equipos y servidores con Windows.

En muchos foros de Linux a los usuarios privados se les recomiendan los productos gratuitos de Comodo, ClamAV y F-Prot. Este, sin embargo, no es un buen consejo. La prueba demuestra que los usuarios privados están mejor servidos con las versiones gratuitas de Sophos para Linux o Bitdefender Antivirus Scanner para Unices. Para los sistemas de servidores está incluso la solución gratuita AVG Server Edition para Linux.

Los mejores resultados en materia de detección con Linux y Windows los obtuvieron en esta prueba la solución Desktop de ESET, seguida de las versiones Endpoint de Symantec y Kaspersky Lab para estaciones de trabajo empresariales. Para la protección de servidores son recomendables Kaspersky Anti-Virus para Linux File Server, AVG Server Edition para Linux y Avast File Server Security.

Opinión: Importante línea de defensa para redes heterogéneas

Jörg Luther,
redactor jefe de LinuxUser,
Computec Media GmbH
Web: www.linux-user.de


El uso de un producto antivirus para Linux tiene sentido sobre todo en redes heterogéneas, en las que los productos pueden actuar como filtros y evitar que el malware acceda a la parte de Windows. Esto, no obstante, presupone una tasa de detección razonable; si uno de cada diez atacantes pasa desapercibido, más vale ahorrarse el esfuerzo. En este sentido, los resultados actuales de AV-TEST ofrecen una buena base para decidir con qué solución antivirus para Linux asegurar su parque informático.

Que el software libre ClamAV fracasara en la prueba de detección no ha debido causar sorpresa a ningún experto. El requisito imprescindible para el desarrollo de una estrategia eficiente de protección contra malware es una base de datos masiva con millones de malwares y actualizada en tiempo real y una granja de ordenadores de prueba. Esto es algo que difícilmente puede ofrecer un proyecto de una comunidad. Pero el producto de F-Prot, que obtuvo aún peores resultados, y la solución de Comodo, que apenas fue mejor, ambos, por cierto, gratuitos, muestran que los proveedores comerciales tampoco es que le saquen ventaja.

El software de renombre y de pago tampoco garantiza la máxima calidad, como demuestra el producto McAfee Business, cuya actuación estuvo por debajo de la media. Destacan, por el contrario, con tasas de detección ejemplares, los productos AVG Server Edition para Linux 2013 y ESET NOD32 AV para Linux Desktop. Uno es gratuito para los usuarios finales y el otro pertenece al segmento bajo de precios; ambos están pensados para el uso en redes pequeñas. En conjunto, llama la atención que los productos que funcionan de forma fiable con Windows, tampoco tienen por qué abochornase con Linux. Algo que era fácil de suponer, pero siempre es bueno ver que los datos lo confirman.

De forma general, no obstante, hay que tener claro que los productos antivirus constituyen solo la segunda línea de defensa contra el software malicioso. La más importante está en manos del usuario. Quien se mantenga al día en cuestión de malware, actualice su sistema con regularidad, no abra puertos innecesarios, solo instale software de fuentes merecedoras de confianza, prohíba al navegador web ejecutar contenido activo automáticamente y no haga clic en todo lo que no desaparezca del cliente de correo o del escritorio a la cuenta de tres, en realidad, no tiene por qué preocuparse por el software malicioso con Linux.

Resumiendo, quien utilice una red mixta no tendrá más remedio que filtrar minuciosamente los datos en Linux antes de que pasen a los equipos con Windows. A la hora de decidirse por la herramienta adecuada, la actual prueba comparativa de AV-TEST supone una valiosa ayuda.

Compartir: