13 de febrero de 2025 | Texto: Markus Selinger | Antivirus para Windows

Prueba ATP: 26 paquetes de seguridad defendiendo contra ransomware y ladrones de información

En 2024 se publicaron constantemente noticias sobre ciberseguridad en las que ransomware o ladrones de información atacaban ordenadores y servidores y encriptaban o extraían los datos. Sea como sea, a continuación siempre se exigía un rescate. Pero, ¿hubieran podido evitarse los ataques? ¿Puede el software de seguridad detectar y detener a los atacantes actuales? La más reciente prueba ATP responde estas preguntas en relación con 26 productos de seguridad para empresas y usuarios privados. La prueba de protección contra amenazas avanzadas (Advanced Threat Protection) muestra claramente lo bien que las soluciones de protección actúan con Windows y defienden el sistema. En los test, los examinadores de AV-TEST utilizan ejemplares actuales de ransomware y ladrones de datos y lanzan a los atacantes contra los sistemas utilizando las estrategias y técnicas de ataque más nuevas. Algunos productos se dejan avasallar; otros, sin embargo, se mantienen firmes.

26 productos de seguridad en la prueba ATP con Windows:

los paquetes de seguridad para usuarios privados y empresas defienden contra ladrones de datos y ransomware

Los 26 productos para Windows examinados en la prueba se dividen en 11 paquetes para usuarios finales y 15 soluciones para terminales de empresas. Todos ellos deben proteger el sistema Windows frente a los agresores mediante diversas técnicas y módulos de defensa. Estas empiezan con el escaneo clásico y la detección de malware y continúa con la detección basada en comportamiento y el desenmascaramiento de métodos de ataque. Y es que los atacantes no envían simplemente malware por correo electrónico. Más bien utilizan estrategias refinadas mediante las que falsifican y camuflan e-mails a la perfección para evitar la detección. También se sirven de las técnicas más nuevas para echar abajo la defensa. Justo estos procedimientos son los que examina la prueba de Advanced Threat Protection.

26 productos de seguridad en la prueba de Advanced Threat Protection

En la prueba, todos los productos se enfrentan a un examen ampliado en escenarios de ataque reales. Los paquetes para usuarios finales proceden de los siguientes fabricantes: Avast, AVG, Avira, Bitdefender, ESET, F-Secure, G DATA, K7 Computing, McAfee, Microsoft y Norton. Los fabricantes de soluciones para empresas que participaron en la prueba: Acronis, Avast, Bitdefender (con 2 versiones), ESET, Kaspersky (con 2 versiones), Microsoft, Microworld, Net Protector, Qualys, Rapid7, Symantec, Trellix y WithSecure. La prueba se llevó a cabo de noviembre a diciembre de 2024 con Windows 10.

Paquetes de seguridad para usuarios privados en la prueba ATP

Los productos de seguridad tienen que demostrar en 10 escenarios lo bien que defienden contra ransomware y ladrones de datos con Windows 10

Soluciones de seguridad para empresas en la prueba ATP

La prueba de Advanced Threat Protection con Windows 10 muestra que hay un amplio abanico de productos seguros para los terminales de empresas

Paquetes de seguridad para usuarios privados en la prueba ATP

Soluciones de seguridad para empresas en la prueba ATP

Todos los productos tienen que defender en 10 escenarios reales contra 5 variantes de ransomware y 5 ladrones de información. El transcurso de cada ataque se documenta en todos sus pasos y después se valora. Cada ataque se describe en una matriz basada en el estándar MITRE ATT&CK. El laboratorio otorga puntos por cada ataque detectado y detenido. En la prueba, los autores de los ataques fueron 5 veces ejemplares de ransomware y 5 veces ladrones de información. El ransomware se debe detectar en tres pasos fundamentales; en el caso de los ladrones de información, se dispone de cuatro acciones. Con cada acción de defensa, un producto puede ganar medio o un punto entero. Por lo tanto, el laboratorio puede otorgar cinco veces 3 puntos por cada ransomware detenido, y cinco veces 4 puntos por cada ladrón de información. Si en una paso de defensa solo se detiene parcialmente al atacante, solo se obtiene medio punto o incluso ninguno. La máxima puntuación de protección que puede obtener un producto es de 35 puntos.

En los ataques se utilizan diversas técnicas de agresión que los atacantes también usan actualmente en los ataques reales. Algunos ciberdelincuentes incluso combinan diversas técnicas para dificultar aún más la detección. Estas son dos técnicas de ataque que se utilizan con especial intensidad en esta prueba:

Memory-mapped file I/O: Esta técnica es un método alternativo para acceder a archivos en la unidad de disco. El acceso al archivo se lleva a cabo a través de la memoria utilizando una dirección vinculada a esta. Por ejemplo, el ransomware puede encriptar documentos almacenados en la memoria caché sin ocasionar procesos de escritura adicionales en el disco duro. De este modo, las herramientas que vigilan los procesos de escritura en el disco duro no notan que el malware accede a un documento almacenado en caché, ya que los datos se ponen a disposición en la memoria y no en el disco duro.

En nuestros ataques, el memory-mapped file I/O se utiliza para encriptar archivos con ransomware o para leer archivos durante la exfiltración.

Command line y PPID spoofing: El spoofing de líneas de comandos o de PPID (Parent Process ID) son técnicas utilizadas por el malware para colarse en actividades legítimas del sistema. De este modo se camufla para no ser detectado. En el caso del spoofing de líneas de comandos se enmascaran los argumentos transferidos a procesos maliciosos. En el del spoofing PPID se manipula el identificador de proceso padre del proceso malicioso para dar la impresión de que se ha iniciado un proceso de confianza. Estas técnicas dificultan el análisis forense y obstaculizan la detección de actividades maliciosas por parte de las herramientas de seguridad que analizan relaciones entre procesos o actividades de líneas de comandos.

En nuestros ataques, las instancias de PowerShell se inician para ejecutar tareas aisladas. Estas instancias se inician con PPID y líneas de comando falsificados.

Los 10 escenarios de prueba

Todos los escenarios de ataque están documentados de acuerdo con los estándares de la base de datos de MITRE ATT&CK. Los diferentes subpuntos, por ejemplo “T1566.001”, aparecen en la base de datos de MITRE para “Techniques” bajo “Phishing: Spearphishing Attachment”. Cada paso de la prueba, por lo tanto, está definido por especialistas y es trazable y comprensible. Además se explican todas las técnicas de ataque y cómo se hace uso del malware en ellas.

Para usuarios privados: los resultados de la prueba ATP

Los test realizados a los productos para usuarios privados dieron algunas sorpresas. Solo 4 de los 11 productos examinados concluyeron la prueba perfectamente en los 10 escenarios y consiguieron los máximos 35 puntos para su puntuación en protección: Bitdefender, ESET, McAfee y Microsoft.

Los paquetes de Avast, AVG y Norton detectaron a los atacantes en los 10 escenarios, pero sufrieron mucho con un ladrón de información y un ransomware. Los productos detectaron a los atacantes, pero no pudieron bloquearlos por completo. Ambos ejemplares de malware utilizaron para el ataque una técnica mediante la que se crea y usa un script AutoHotKey. Los productos tampoco pudieron evitar la creación del script, sin embargo sí detuvieron su ejecución y pararon el ataque. Por ello, cada producto perdió 1 punto por cada problema con el malware, es decir, 2 puntos. Al final, Avast, AVG y Norton acumularon 33 puntos para la puntuación de detección.

G DATA y F-Secure detectaron respectivamente solo a 9 de los atacantes. Ambos fracasaron con un ladrón de datos diferente, por lo que perdieron 4 puntos. A esto hay que añadir que hubo un ejemplar que ambos paquetes detectaron, pero no pudieron bloquear en los primeros pasos. Tampoco pudieron detener la creación de un script de ataque. El paquete de G DATA al menos detuvo la ejecución y, por tanto, el ataque y solo perdió un punto. El paquete de seguridad de F-Secure no lo consiguió y el sistema fue encriptado, por lo que perdió 2,5 puntos más. Al final de la prueba, a G DATA le quedaron en su haber 30 de los 35 puntos y a F-Secure 28,5 puntos para la puntuación en protección.

La situación de Avira y K7 Computing se explica rápidamente: identificaron respectivamente solo 8 de los 10 ataques. En el caso de un ransomware y un ladrón de información respectivamente no hubo defensa, lo cual les costó 7 valiosos puntos (4 y 3 puntos). Al final, consiguieron 28 puntos en vez de 35 para la puntuación en protección.

Todos los paquetes de seguridad merecieron el certificado “Advanced Certified”, otorgado por AV-TEST, ya que obtuvieron el 75 por ciento de los 35 puntos máximos (26,5 puntos).

Para empresas: los resultados de la prueba ATP

Las 15 soluciones examinadas para empresas mostraron una gran efectividad en la prueba ATP. 12 de los 15 productos no dieron ninguna oportunidad a los atacantes en ninguno de los 10 escenarios y recibieron los 35 puntos máximos para la puntuación en protección: Acronis, Bitdefender (ambas versiones), ESET, Kaspersky (ambas versiones), Microsoft, Microworld, Qualys, Symantec, Trellix y WithSecure.

La solución de Net Protector tuvo ligeras dificultades en la detección de un ransomware. Detectó al atacante, pero no pudo bloquearlo de inmediato. El ransomware colocó un script de ataque. Sin embargo, la solución impidió su ejecución y detuvo el ataque. Esto le costó un punto y solo recibió 34 de los 35 puntos posibles.

La solución endpoint de Avast también tuvo sus problemas con un ladrón de información y un ransomware. Detectó al atacante, pero en un principio no pudo evitar que siguiera actuando. El malware incluso pudo crear scripts de ataque en ambos casos. Pero Avast consiguió detener su ejecución y a los atacantes definitivamente. Debido a estos problemas, el producto perdió dos veces un punto y acabó con 33 de los 35 puntos para la puntuación de protección.

La solución de protección de Rapid7 descubrió a los 10 atacantes, pero dos de ellos le llevaron al límite. Un ladrón de información libró una auténtica batalla con la solución. Primero detectó al atacante, pero no pudo detenerlo. Después, esto creó un script que empezó a recopilar datos. Rapid7 no evitó su ejecución. Al final, el malware incluso consiguió extraer algunos datos y enviarlos. Fue solo en ese momento cuando el software de seguridad consiguió detener al agresor. Este percance le costó a Rapid7 2 de los 3 puntos posibles.

La segunda complicación, esta vez con un ransomware, comenzó de manera casi idéntica. No obstante, esta vez Rapid7 no pudo hacer nada más contra el atacante. El sistema acabó siendo encriptado. Por lo tanto, la solución de Rapid7 terminó con 29,5 de los 35 puntos alcanzables en la puntuación de protección.

Todos los productos para empresas en la prueba ATP recibieron el certificado “Advanced Approved Endpoint Protection“ por conseguir al menos un 75 por ciento (o sea, más de 26,5 puntos) de los 35 puntos posibles en la puntuación de protección.

Algunos productos tienen que mejorar

La prueba ATP, con sus test detallados, demuestra, especialmente en el caso de los productos para usuarios privados, que hay tanto paquetes de seguridad muy buenos como algunos de dejan que desear. Solo 4 de los 11 protectores del sistema examinados en la prueba merecieron la máxima puntuación: Bitdefender, ESET, McAfee y Microsoft.

Las suites de seguridad de Avast, AVG y Norton también obtuvieron un buen resultado con 33 de los 35 puntos. Si bien al principio perdieron frente al malware, al final se hicieron con el control.

En el caso de las soluciones para empresas, el panorama es notablemente mejor. 12 de los 15 paquetes endpoint para Windows examinados superaron la prueba sin fallos y cruzaron la línea de meta con los 35 puntos máximos. Solo 3 fabricantes tienen que mejorar.