Últimas noticias
13 de marzo de 2023 | Texto: Markus Selinger | Antivirus para Windows
Software de seguridad contra las técnicas de ransomware más recientes
En una prueba exhaustiva, AV-TEST ha examinado productos de seguridad para usuarios privados y empresas. Todos los productos tuvieron que enfrentarse a técnicas de ransomware actuales. Se utilizaron técnicas refinadas como archivos Polyglot, DLL side-loading o nested password protected self-extracting archives, como utiliza, por ejemplo, Emotet en sus ataques. En total se sometieron a la prueba 25 productos, que superaron con éxito muchos desafíos, pero no todos. El presente artículo de la serie de test Advanced Threat Protection analiza los resultados haciendo una rápida evaluación.
Software de seguridad contra ransomware
en el test Advanced Threat Protection
Junto a los clásicos test de detección, el laboratorio de AV-TEST examina muchos productos de seguridad para usuarios finales y empresas mediante una prueba en vivo contra ransomware y sus pérfidas y refinadas técnicas. En el examen actual, el laboratorio utiliza técnicas de ataque como las que usa, por ejemplo, Emotet:
Archivos Polyglot: Con esta técnica, los atacantes utilizan archivos preparados especialmente para cooperar. En este test se utilizó un archivo combinado, LNK e ISO. Esto dificultó a muchos productos el análisis, la detección y el evitar la ejecución de estos archivos.
DLL side-loading: Para estos ataques se aprovechan fallos de programación habituales de software estándar. Se copia un DLL malicioso en el directorio de la aplicación. Esta no lo nota y carga el DLL. En este proceso se ejecutan las especificaciones del atacante, lo que, sin embargo, parece normal e inofensivo.
Nested password protected self-extracting archives: Emotet también utiliza esta técnica con archivo autoextraíble anidado protegido por contraseña para evitar la detección por parte del programa de protección.
Un producto que supera el test de Advanced Threat Protection obtiene como distinción un certificado especial, pero solo si consigue una puntuación de protección de al menos un 75 por ciento de los 30 puntos máximos, es decir, 22,5 puntos. Los productos para usuarios privados reciben el certificado “Advanced Certified”; los productos para empresas, el certificado “Advanced Approved Endpoint Protection”.
Encontrará una explicación más detallada de las tablas de evaluación y de los códigos cromáticos del sistema de semáforo en el artículo “Prueba y estudio: ¿Detienen las soluciones de seguridad para Windows 11 el ransomware actual?“.
Software de seguridad para usuarios privados contra ransomware
En la prueba de Advanced Threat Protection se utilizan técnicas actuales, como las que usa Emotet en sus ataques
Protección para empresas contra ransomware
Las soluciones para empresas demostraron en los test Advanced Threat Protection lo bien que protegen también contra ataques de ransomware realizados con las técnicas más nuevas
Productos para usuarios privados en el test Advanced Threat Protection
En el laboratorio se examinaron los paquetes para usuarios finales de estos fabricantes: Avast (2 versiones), AVG, Bitdefender, F-Secure, G DATA, Kaspersky, Malwarebytes, Microsoft, Microworld, Norton, PC Matic y VIPRE Security.
Avast con One Essential, AVG, Bitdefender, F-Secure, Kaspersky, Microsoft, Microworld y PC Matic detectaron todas las técnicas de ataque especiales en los 10 escenarios diferentes de ransomware y recibieron los 30 puntos máximos para la puntuación en protección.
Otros productos detectaron a los intrusos con fiabilidad, pero no pudieron detenerlos o solo parcialmente. G DATA tuvo problemas en uno de los test; detectó el ransomware, pero solo pudo bloquearlo parcialmente, permitiendo la encriptación de algunos archivos: 29 puntos.
VIPRE Security obtuvo 28,5 de los 30 puntos posibles, ya que en una ocasión detectó el ataque, pero no pudo hacer nada contra la encriptación.
Algo semejante le ocurrió a Norton en uno de los casos. Detectó el ransomware, pero no evitó la encriptación del sistema: 27,5 puntos.
Malwarebytes Premium detectó a los 10 atacantes, pero tampoco pudo bloquearlos a todos. Por eso, tres programas maliciosos consiguieron encriptar algunos archivos: 27 de los 30 puntos.
Avast (Free Antivirus) se tuviera que dar por vencido en uno de los escenarios. Detectó al intruso, pero el ransomware pudo campar a sus anchas. En los otros 9 ataques defendió a la perfección. Esto deja al paquete con 27 puntos.
Productos para empresas en el test Advanced Threat Protection
Para la protección de empresas, las siguientes soluciones llevaron a cabo una actuación impecable y recibieron los 30 puntos máximos en la puntuación de protección: Avast, Bitdefender (2 versiones), Check Point, Xcitium, Kaspersky (2 versiones), Microsoft, WithSecure y VMware.
G DATA y Trellix detectaron a todos los atacantes, pero, en uno de los test, los productos no pudieron bloquear por completo al agresor, que encriptó algunos archivos. Se quedaron con 29 puntos para la puntuación en protección.
Escenarios de prueba avanzados contra atacantes refinados
La serie de test Advanced Threat Protection es un desafío para todos los productos examinados, ya que se enfrentan a escenarios de ataque difíciles y dinámicos, tal y como en la vida diaria. Los procesos utilizados en estos test describen los escenarios de prueba 1 a 10 descritos en las pestañas más abajo. Para que los expertos puedan clasificarlos más fácilmente según estándares internacionales, el laboratorio utiliza para la descripción los códigos de “Techniques” de MITRE ATT&CK.
La prueba demuestra que muchos paquetes de seguridad para usuarios privados protegen a la perfección contra ataques de ransomware: Avast, AVG, Bitdefender, F-Secure, Kaspersky, Microsoft, Microworld y PC Matic. Pero, 5 de los 13 productos de seguridad tuvieron problemas con los intrusos. Hubo detecciones parciales y algunos archivos encriptados.
Los productos para empresas demostraron un mejor rendimiento: 10 de los 12 productos detectaron de inmediato a todos los atacantes y los detuvieron por completo: Avast, Bitdefender, Bitdefender Ultra, Check Point, Xcitium, Kaspersky Endpoint Security, Kaspersky Small Business Security, Microsoft, WithSecure y VMware. Las otras dos soluciones tuvieron problemas, que ocasionaron una encriptación parcial.
