Prueba ATP de larga duración: 31 productos de seguridad se someten durante 6 meses a una prueba ampliada con Windows 10
Los productos de seguridad para usuarios privados y empresas cumplen una difícil tarea. Tienen que proteger los sistemas a todas horas y poder hacer frente a las amenazas más actuales. A veces, los productos detectan a los atacantes de inmediato, pero otras veces no lo hacen hasta un paso posterior en la defensa. Justo este punto es el que comprueban las pruebas de Advanced Threat Protection. En esta prueba de larga duración, 31 productos muestran no solo lo bien que detectan a los atacantes, sino también la eficacia con la que defienden los sistemas Windows 10. El resultado es interesante y alberga algunas sorpresas insospechadas.
Los usuarios privados, al igual que los responsables de las empresas, se plantean siempre las mismas preguntas: ¿Hemos apostado con esta solución de seguridad al caballo ganador? O ¿qué solución debería utilizar? Los expertos de AV-TEST dan respuesta a estas cuestiones mediante sus pruebas. La prueba de larga duración actual pone de manifiesto la continuidad de la protección que ofrecen muchos productos. Las pruebas de larga duración ATP (Advanced Threat Protection) presentan más peculiaridades. Muchos de los productos examinados han participado en 1, 2 o incluso 3 pruebas, de modo que los resultados se pueden mostrar comparativamente. La prueba aclara si los productos detectan a los atacantes y, de ser así, si además pueden detenerlos, de inmediato o en pasos de defensa posteriores.
Prueba ATP: ataques reales, como los que ocurren a diario
Pero la prueba ATP incluye otra peculiaridad: el laboratorio no simplemente copia los atacantes en los sistemas Windows. Más bien, los expertos dejan que el malware utilice sus pérfidas técnicas de ataque. Por ejemplo, introduciendo un archivo adjunto peligroso en el sistema Windows tras un ataque de spear phishing. Allí se cuela en un proceso en marcha que posee tantos derechos que puede iniciar otras herramientas de Windows y aprovecharse de ellas. A continuación puede ver una lista con las técnicas de ataque utilizadas por los atacantes en las pruebas. En parte se utilizan de forma explícita, pero también se combinan en cadenas de ataques.
Reflective code injection: En cuanto a la técnica de inyección de código reflexiva, el código se carga en la memoria del proceso. La carga reflexiva puede evitar así la detección basada en procesos, ya que la ejecución del código tiene lugar enmascarada dentro de un proceso legítimo e inofensivo. Este tipo de inyección de código, por tanto, no incluye archivos.
Fileless malware: Malware sin archivos significa que el código peligroso no se introduce en el sistema mediante un paquete de archivos. En lugar de ello, el código malicioso se autoescribe desde la memoria, por ejemplo, directamente en el registro de Windows. Para ello, el atacante utiliza herramientas de Windows, como PowerShell.
Bring a scripting interpreter: Los atacantes hacen uso de intérpretes de scripts, como PowerShell, para ejecutar scripts maliciosos. Sin embargo, muchos programas de protección vigilan los intérpretes. Una nueva variante es el ataque con intérpretes de software, como AutoHotkey (AHK). Un script instala el intérprete y luego ejecuta un script AHK, que introduce un ransomware o un ladrón de datos en el sistema Windows.
En las pruebas se utiliza también el compilador “just in time” LuaJIT para el lenguaje de programación Lua. Los atacantes esconden código malicioso en los scripts de Lua para ejecutarlo después en el ordenador de las víctimas.
Microsoft Software Installer: MSI (Microsoft Installer) es un formato de paquete de instalación de Windows que pone a disposición del ordenador del usuario final la aplicación que se quiere instalar con todos los datos y comandos necesarios en un paquete. Los ciberdelincuentes ocultan archivos maliciosos en un archivo MSI e introducen acciones de control.
NSIS (Nullsoft Scriptable Install System): Con esta herramienta de código abierto basada en scripts se pueden crear instaladores de software para Windows. Los atacantes ocultan malware y archivos ficticios en los paquetes de instalación, que se ejecutan y después inician el ransomware o el ladrón de información.
Código escondido en un archivo LNK: En un archivo de acceso directo (.LNK) aparentemente inofensivo se esconde código malicioso que se extrae mediante la PowerShell del propio sistema Windows. Después, el código carga ransomware y ladrones de información en el sistema Windows y los ejecuta.
31 productos en la prueba ATP
Todos los productos han participado en 1, 2 o 3 pruebas ATP. Cada uno de los test se lleva a cabo en un plazo de 2 meses. Por lo tanto, algunos productos se han examinado con Windows 10 durante 6 meses, de enero a junio de 2024; otras soluciones durante 4 meses y algunas durante dos meses en solo una prueba. Mientras que los productos con una prueba presentan resultados interesantes, los test realizados durante 4 o 6 meses ofrecen una buena visión de conjunto sobre la continuidad de su protección.
En la prueba ATP se registran cada uno de los pasos de la detección y la defensa en una matriz basada en el estándar MITRE ATT&CK. El ransomware se debe detectar en tres pasos fundamentales; en el caso de los ladrones de información, se dispone de cuatro acciones. El laboratorio otorga medio o un punto por cada paso que se evita o acción que se detiene. Por lo tanto, un producto puede acumular cinco veces 3 puntos por cada ransomware detectado y liquidado, y cinco veces 4 puntos por cada ladrón de información. La máxima puntuación de protección obtenible en una prueba es, por tanto, 35 puntos. Los productos que han participado en 2 pruebas pueden alcanzar 70 puntos en la puntuación de protección; con 3 pruebas son hasta 105 puntos.
Resultado de la prueba ATP de larga duración: 14 productos para usuarios privados
En la vista general de la prueba ATP con productos para usuarios privados se encuentran 14 paquetes de seguridad conocidos. Algunos productos tienen varios puntos de diferencia respecto a la máxima puntuación de protección. De ser así, significa que los productos cometieron pequeños fallos que les hicieron perder puntos.
En el primer grupo con 3 pruebas hay 4 paquetes de Microsoft, Bitdefender, Avast y AVG. La sorpresa un tanto inesperada de la prueba de larga duración es que el Microsoft Defender Antivirus (para usuarios individuales), detectó los 30 ataques de la prueba y obtuvo una puntuación de protección de 103,5 de los 105 puntos posibles. Esto coloca a Defender en la cabeza de la tabla. Inmediatamente detrás le sigue Bitdefender con 29 de los 30 ataques detectados y 99 de los 105 puntos. Los paquetes de Avast y AVG detectaron también los 30 ataques y consiguieron 94 de los 105 puntos posibles a lo largo de las 3 pruebas.
El segundo grupo con 2 pruebas está compuesto por 8 productos. Este incluye los fabricantes G Data, McAfee, Microworld, Norton, PC Matic con 70 de los 70 puntos alcanzables. Esto significa que detectaron y detuvieron los 20 ataques de las 2 pruebas.
En este grupo se encuentran además Avira, ESET y F-Secure. Estos paquetes detectaron a todos los atacantes, pero tuvieron algún que otro problema en la defensa posterior. Esto les costó valiosos puntos. Avira consiguió 69, ESET 65 y F-Secure 57 de los 70 puntos posibles.
El tercer grupo con una prueba contiene solo 2 productos: Kaspersky y Surfshark. Ambas concluyeron la prueba perfectamente y consiguieron los máximos 35 puntos para su puntuación en protección.
Resultado de la prueba ATP de larga duración: 17 soluciones para empresas
El transcurso de la prueba ATP para soluciones de empresa es idéntico al de la prueba para productos privados. En la vista general con 1, 2 y 3 pruebas hay 17 soluciones de seguridad para empresas. Aquí también algunos productos tienen varios puntos de diferencia respecto a la máxima puntuación de protección. En estos casos, los productos se permitieron pequeños fallos en la defensa que les hicieron perder puntos.
En el primer grupo con 3 pruebas se hallan 4 productos. 2 versiones de Bitdefender, así como Avast y Check Point. Todos ellos detectaron los 30 ataques. El único producto de la prueba de larga duración con 105 de los 105 puntos posibles es la solución Bitdefender Endpoint Security Ultra. Esto demuestra la gran continuidad de la protección. Directamente detrás la sigue la versión Endpoint Security de Bitdefender con 100,5 de los 105 puntos. Con 100 puntos justos las siguen Avast y Check Point con 98 puntos.
El segundo grupo con 2 pruebas de productos para empresa está compuesto por 8 paquetes. Todas las soluciones de este grupo detectaron los 20 ataques a los sistemas. Los productos de ESET, HP Security, las dos versiones de Kaspersky, Qualys, Symantec y WithSecure recibieron los 70 puntos máximos alcanzables para la puntuación de protección.
Solo Microsoft Defender Antivirus Enterprise perdió un punto en las pruebas y consiguió 69 puntos en total.
El tercer grupo con una prueba es algo más amplio en el caso de los productos de empresa. Está compuesto por 5 soluciones. Microworld, Sophos y Trellix consiguieron los 35 puntos máximos alcanzables para la puntuación de protección. Cybereason cometió un fallo y se quedó con 30,5 de los 35 puntos. Seqrite tuvo el mismo problema, pero acabó con solo 29 de los 35 puntos.
Buenos resultados en la primera prueba ATP de larga duración
Las pruebas ATP normales y continuadas aportan una y otra vez conclusiones claras sobre las soluciones de seguridad para usuarios privados y empresas. Estas pruebas muestran lo bien que defienden los paquetes de seguridad de los atacantes en escenarios reales y cómo en parte utilizan también otros módulos de protección para detener a los atacantes en los pasos siguientes.
La compilación de las pruebas muestra lo bien y constante que protegen los productos a los usuarios privados o a los empleados de las empresas. Especialmente bien lo demuestran los grupos que se han sometido a 3 pruebas a lo largo de 6 meses. De estos sorprendió Defender, el antivirus interno de Windows para usuarios privados, con 103,5 de los 105 puntos. A poca distancia le siguen los paquetes de seguridad de Bitdefender, Avast y AVG con 99 y 94 puntos.
En el grupo de soluciones para empresas con 3 pruebas, Bitdefender Endpoint Security Ultra desempeña un papel destacado, ya que es el único producto en la prueba ATP de larga duración que ha conseguido 105 de los 105 puntos. Justo detrás le sigue la segunda versión de Bitdefender sin Ultra con 100,5 puntos de un máximo de 105. Pero Avast y Check Point tampoco tienen que esconderse con 100 y 98 puntos respectivamente.
El grupo intermedio con 2 pruebas también muestra una cierta continuidad en protección, pero evidentemente esto no dice tanto como cuando se han realizado 3 pruebas. No obstante, en este grupo, la mayoría de los productos alcanzan la máxima puntuación de 70 puntos. Será interesante ver si estos productos mantienen esta constancia en los resultados de las próximas pruebas.
Las pruebas ATP que han servido de base para la prueba de larga duración son las siguientes: