17 de enero de 2025 | Texto: Markus Selinger | Antivirus para Windows
  • Compartir:

Ransomware: 12 paquetes y soluciones de seguridad para Win11 en la prueba ATP ampliada

La prueba de protección contra amenazas avanzadas o ATP (Advanced Threat Protection) va notablemente más allá que las pruebas clásicas. En ella, los productos de seguridad se enfrentan, en 10 escenarios realistas, a ransomware y ladrones de información que utilizan o combinan las técnicas de ataque más modernas. Durante los ataques se analiza si la defensa aguanta en cada uno de los pasos o fracasa. Los 12 productos examinados con Windows 11 para usuarios privados y empresas tuvieron que imponerse frente a técnicas como COM hijacking, reflective code loading, decoupling y low entropy encoding. Muchos de los productos cumplieron a la perfección con esta tarea, pero no todos. En algunos casos se derrumbó el último muro de contención y los datos se encriptaron, robaron o ambas cosas.

Prueba ATP con Windows 11 –

12 paquetes de seguridad para usuarios finales y empresas contra ladrones de información y ransomware

zoom

La reñida competición que mantienen los fabricantes de seguridad y los cibercriminales no parece llegar nunca a su última ronda. Tampoco en 2025. Los atacantes más bien buscan y encuentran una y otra vez vulnerabilidades o utilizan técnicas para enmascarar sus ataques con código malicioso o aprovecharse de herramientas legítimas de Windows. En la actual prueba ATP, los atacantes – pero en este caso los del laboratorio – también recurrieron a las técnicas más nuevas, tal y como se utilizan a diario en los ciberataques.

Los 12 productos a continuación se sometieron a la prueba de Advanced Threat Protection. Los programas antivirus para usuarios privados son los paquetes de Bitdefender, ESET, McAfee y NPAV. Como soluciones para empresas se presentaron a la prueba los productos de Bitdefender (con 2 versiones), ESET, Kaspersky (con 2 versiones), Microworld, Qualys y Trellix. Todos los datos se registraron y evaluaron con Windows 11 en septiembre y octubre de 2024.

12 soluciones de seguridad en una prueba con Windows 11

Los expertos de AV-TEST examinaron en 10 escenarios reales a un total de 12 paquetes de seguridad: 4 para usuarios privados de Windows y 8 soluciones para terminales de empresas. Los 10 ataques realizados en el laboratorio comenzaron con un correo de “spear phishing” y un adjunto peligroso que parece inofensivo. Este contiene archivos LNK de Windows, instaladores MSI, archivos EXE o sencillamente archivos HATA para HTML. En todos los archivos se halla malware en forma de código oculto que o bien lleva a cabo directamente ataques peligrosos o bien les abre el paso a refuerzos malintencionados.

Productos para usuarios privados en la prueba ATP

¿Defienden los paquetes de seguridad para usuarios finales también contra ransomware y ladrones de información? La actual prueba ATP con Windows 11 muestra quién es capaz de hacerlo

zoom ico
8 soluciones para empresas en la prueba de seguridad ampliada

La prueba ATP con Windows 11 de octubre de 2024 muestra lo bien que los productos endpoint plantan cara a atacantes como ransomware y ladrones de información

zoom ico

1

Productos para usuarios privados en la prueba ATP

2

8 soluciones para empresas en la prueba de seguridad ampliada

Los 10 ataques realistas contra los ordenadores de prueba con Windows 11 se llevaron a cabo con cada una de las soluciones de protección instaladas. Cada escenario de ataque se describe en una matriz basada en el estándar MITRE ATT&CK. En ella se define cada uno de los pasos del ataque y se documentan las acciones de defensa. Un malware puede ser detectado directamente al principio o también ser detenido en acciones posteriores. En la prueba, los autores de los ataques fueron 5 veces ransomware y 5 veces ladrones de información. El ransomware se debe detectar en tres pasos fundamentales; en el caso de los ladrones de información, se dispone de cuatro acciones. El laboratorio otorga medio o un punto por cada acción que se detiene. Por lo tanto, un producto de seguridad puede acumular cinco veces 3 puntos por cada ransomware detenido, y cinco veces 4 puntos por cada ladrón de información. La máxima puntuación de protección que puede obtener un producto es, por tanto, 35 puntos.

En los ataques se utilizaron las siguientes técnicas de ataque, por separado o combinadas. Estas dificultaron en todos los casos la detección de la solución de seguridad.

COM hijacking: El secuestro de COM es una técnica en la que el malware se aprovecha del marco COM (Component Object Model o modelo de objetos de componentes). Este se registra en lugar de los objetos COM legítimos para ejecutar código malicioso. Para ello, el atacante modifica entradas de registro que establecen a qué objeto COM se debe acceder. De este modo se carga peligroso código de malware cuando se accede a aplicaciones o procesos de sistema de estos componentes COM. Es decir que el malware aprovecha los elevados derechos de procesos de confianza, lo cual dificulta la detección.

En nuestros ejemplos se utiliza el COM hijacking para introducir en la estructura de registro del usuario una DLL modificada con código malicioso en forma de biblioteca de caché de vistas en miniatura y asegurar así su ejecución mediante Explorer.exe.

Reflective code loading: La carga o inyección reflexiva de código se asemeja mucho a la inyección de procesos, solo que el código se carga en la memoria del proceso en vez de en la de un proceso aparte. La inyección reflexiva puede evitar así la detección basada en procesos, ya que la ejecución del código tiene lugar enmascarada dentro de un proceso legítimo e inofensivo. Este tipo de inyección de código, por tanto, no incluye archivos, ya que solo transfiere el código a un proceso.

En nuestros ejemplos, la inyección reflexiva de código se realiza mediante un cargador de DLL definido por el usuario y escrito en el lenguaje de programación Zig que procesa toda la asignación y ejecución de malware en la memoria, esquivando así la detección de los archivos.

Decoupling: El llamado desacoplamiento se refiere a la distribución de funciones entre varios procesos, lo cual hace que a las herramientas de seguridad les resulte más difícil vincular acciones maliciosas con su origen. Mediante la ejecución de determinadas funciones en procesos separados, el malware rompe el árbol de procesos clásico, enmascara su actividad y dificulta el análisis forense. Con esta técnica a menudo se utilizan componentes confiables del sistema Windows para ejecutar tareas maliciosas.

En nuestros ejemplos, el decoupling se consigue planificando una tarea en Windows. A continuación se ejecuta código PowerShell que, no obstante, se había escrito previamente en el registro. De este modo, el malware se asegura de que se ejecuten funciones claves en uno u otro de los procesos vinculados, lo cual reduce la visibilidad de los componentes de malware peligrosos.

Low entropy encoding: La codificación de entropía baja es una técnica utilizada por el malware para enmascarar datos o cargas. Por regla general, esto se lleva a cabo mediante el uso de sencillos esquemas de codificación o tablas de consulta que hacen que el contenido codificado parezca inofensivo. Un contenido con código encriptado con una entropía superior desencadenaría mecanismos de detección.

En nuestros ejemplos se utilizan bloques de código JavaScript no relacionados para generar una tabla de consulta para la codificación, que enmascara el contenido malicioso en datos con una entropía baja y dificulta la identificación mediante análisis basados en entropía.

Los 10 escenarios de prueba

Todos los escenarios de ataque están documentados de acuerdo con los estándares de la base de datos de MITRE ATT&CK. Los diferentes subpuntos, por ejemplo “T1566.001”, aparecen en la base de datos de MITRE para “Techniques” bajo “Phishing: Spearphishing Attachment”. Cada paso de la prueba, por lo tanto, está definido por especialistas y es trazable y comprensible. Además se explican todas las técnicas de ataque y cómo se hace uso del malware en ellas.

01
zoom ico
02
zoom ico
03
zoom ico
04
zoom ico
05
zoom ico
06
zoom ico
07
zoom ico
08
zoom ico
09
zoom ico
10
zoom ico

1

01

2

02

3

03

4

04

5

05

6

06

7

07

8

08

9

09

10

10

Prueba ATP con productos para usuarios finales

Los cuatro programas antivirus examinados obtuvieron resultados muy distintos en la prueba. Los paquetes Bitdefender Total Security y McAfee Total Protection detectaron a los atacantes y detuvieron sus acciones de inmediato en los 10 escenarios de prueba. Por consiguiente, ambos paquetes recibieron los 35 puntos máximos para su puntuación en protección. Los usuarios de estos paquetes, por lo tanto, ya cuentan con uno de los mejores programas antivirus para Windows 11 de 2025.

Los resultados de ESET y NPAV requieren algunas mejoras. En uno de los casos con ransomware, ESET ni detectó el archivo ni hizo nada en pasos posteriores. Al final, los datos fueron encriptados, lo cual le supuso la pérdida de los 3 puntos. En otro escenario, ESET sí detectó al ladrón de datos, pero no tomó ninguna medida, por lo que solo le otorgaron 0,5 de los 4 puntos. En total, ESET perdió 6,5 puntos y al final solo le quedaron 28,5 de los 35 puntos para la puntuación en protección.

El paquete de NPAV tuvo problemas en 4 escenarios. En 2 casos, si bien detectó el ransomware, no fue capaz de detenerlo. Este pudo campar a sus anchas durante los demás pasos. Solo en una ocasión consiguió el producto de seguridad evitar la encriptación definitiva; en la otra, no. Por ello solo le quedaron 3 de los 6 (2 veces 3) puntos posibles. 

Algo similar le ocurrió con 2 ladrones de datos. En ambos casos en un principio no detectó al atacante. Pero contra uno de ellos tuvieron éxito las contramedidas posteriores y se detuvo el ataque. El otro ladrón de información, sin embargo, pudo recopilar y extraer datos sin impedimentos. Por ello solo recibió 4 de los 8 (2 veces 4) puntos posibles. Al final, perdió 7 puntos y solo le quedaron 28 de los 35 puntos posibles para la puntuación en protección.

Todos los paquetes de seguridad merecieron el certificado “Advanced Certified”, otorgado por AV-TEST, ya que obtuvieron el 75 por ciento de los 35 puntos máximos (26,5 puntos).

Test ATP con soluciones para empresas

A la prueba ampliada se sometieron 8 soluciones para empresas. Y el resultado es convincente: los productos endpoint de Bitdefender (2 soluciones), ESET, Kaspersky (2 soluciones), Microworld y Trellix superaron la prueba sin cometer ni un solo fallo y, por lo tanto, consiguieron los 35 puntos máximos para su puntuación en protección.

Únicamente Qualys tuvo problemas con el malware. El protector para empresas detectó a todos los atacantes, pero tanto un ransomware como un ladrón de datos pudieron actuar sin trabas. El ladrón de datos fue interceptado parcialmente, pero, al final, salió vencedor robando algunos datos. Esto le costó una deducción de 2,5 de los 4 puntos. El caso con el ransomware discurrió de forma similar. En un paso posterior casi se le detiene, pero, al final, algunos datos fueron encriptados. Esto le supuso a Qualys la pérdida de otro punto. En total, consiguió 31,5 de los 35 puntos posibles para la puntuación en protección.

Todos los productos para empresas en la prueba ATP recibieron el certificado “Advanced Approved Endpoint Protection“ por conseguir al menos un 75 por ciento (o sea, más de 26,5 puntos) de los 35 puntos posibles en la puntuación de protección.

Conclusión: mucha luz y pocas sombras

La prueba ATP ampliada muestra muy claramente lo bien que la mayoría de los productos de seguridad mantienen a raya a los atacantes. Esto se merece un gran respeto, ya que los cibercriminales mantienen una gran dinámica en sus ataques y modifican las técnicas constantemente. Siempre resulta interesante ver en la valoración si un producto no detecta inicialmente a un atacante, pero después es capaz de detenerlo mediante otras herramientas. Incluso la encriptación de “solo algunos“ datos sueltos se tiene que valorar como algo positivo, puesto que una total encriptación de varias unidades de disco es un desastre de una magnitud muy distinta.

En el caso de los productos para usuarios privados, los paquetes de Bitdefender y McAfee actuaron de forma impecable. Se trata, por lo tanto, de dos de los mejores programas antivirus para Windows 11 existentes en 2025.

De las soluciones para empresas, 7 de los 8 productos examinados alcanzaron la máxima puntuación: Bitdefender (2 soluciones), ESET, Kaspersky (2 soluciones), Microworld y Trellix.

Usuarios Privados 10/2024

Total Security
Security Ultimate
Total Protection
Total Security

Soluciones para Empresas 10/2024

Business Security
Business Security Enterprise
PROTECT Advanced
Endpoint Security
Small Office Security
eScan Enterprise EDR
Endpoint Protection
Endpoint Security

Social Media

¡Nos gustaría mantenernos en contacto con usted! Reciba de manera sencilla y periódica las noticias actuales y las publicaciones sobre pruebas.