Cuantificación de incidencias víricas (F. de la Cuadra)

Cuantificación de incidencias víricas (F. de la Cuadra)
	VSantivirus No. 1609 Año 8, jueves 2 de diciembre de 2004 Cuantificación de incidencias víricas (F. de la Cuadra) http://www.vsantivirus.com/fdc-incidencias.htm Por Fernando de la Cuadra () Fdelacuadra@pandasoftware.com Una de los datos más solicitados a las empresas antivirus de todo el mundo es el nivel de incidencias que produce un determinado virus, más aún cuando el virus es catalogado como peligroso o de riesgo. La extrapolación basándose en una determinada muestra puede ser estadísticamente correcta, pero dentro del margen de error que se suele admitir (incluso operando con sigma 3 o superior), puede haber una cantidad ingente de equipos infectados por un virus, o unas pérdidas económicas silenciadas por muy diversos motivos. A la hora de interpretar los datos hay que tener en cuenta la diversa condición de cada incidencia. Muchos fabricantes antivirus diseñan sistemas de detección genéricos para determinados virus, lo que hace que los resultados de detección de toda una familia de virus sean contabilizados como los de un solo ejemplar para unas empresas. Realizando así la detección, los datos de incidencias de un miembro único de la familia resultan distorsionados por los demás y viceversa. Otro factor que no hay que olvidar es el número de sistemas de detección instalados que reportan al fabricante. Si se dispone de un elevado parque de instalaciones en ordenadores domésticos que no efectúan ninguna conexión con los sistemas centrales, es imposible obtener cifras reales en el sector doméstico y en la pyme. Por lo que respecta a grandes empresas, el problema se vuelve aún mayor. Si el sistema de notificación de incidencias únicamente refleja una incidencia por cliente, los datos se vuelven realmente inútiles, ya que en la gran empresa el parque de ordenadores puede ser realmente grande, incluso de cientos de miles de equipos. En estas empresas la notificación de incidencias pasa por varios obstáculos: - Los departamentos de sistemas suelen tener tanto personal como sistemas perfectamente preparados para luchar contra un virus o una intrusión, por lo que generalmente se vuelven autosuficientes a la hora de luchar contra los códigos maliciosos y no suelen reportar a sus proveedores de seguridad informática. - Dentro del personal de seguridad suele haber personal externo contratado directamente a las empresas de seguridad. De esta manera, la incidencia se puede resolver mucho antes y sin necesidad de que el fabricante del antivirus tenga noticias de la incidencia, que antes podía recibirla quizá en informes semanales o mensuales. - En caso de que una incidencia grave se produzca y sea necesario la intervención de proveedor, los contratos de confidencialidad que unen a los fabricantes con los clientes suelen exigir una absoluta discreción a la hora de manejar este tipo de información. Con estos condicionantes, cualquier cifra ofrecida, siquiera aproximada, del número de sistemas afectados queda realmente desvirtuada. Por otro lado, es muy complicado determinar exactamente el nivel de daño que está ocasionando un determinado código malicioso. Cuando un cliente llama a su proveedor de antivirus para comunicar una incidencia, lo primero que hay que determinar es el tipo de incidencia que ocasiona la llamada. Se pueden establecer tres distintos tipos de llamada: - Informativa. Es el caso del cliente que, sin haber sufrido todavía el ataque, solicita información acerca del código malicioso en cuestión o instrucciones adicionales para defenderse. Esta llamada no puede clasificarse como incidencia, ya que el virus todavía no ha hecho acto de presencia en los sistemas del cliente que llama, aunque ya ha producido preocupación. - Encuentro. Técnicamente, se denomina "encuentro con un virus" a la situación en la que uno o más ordenadores han recibido un código maligno, pero no ha llegado a producir ningún daño. Puede deberse a que el sistema de protección preventiva ha detenido la amenaza antes de que se active, o bien porque los servidores de la empresa lo han filtrado adecuadamente. - Infección. Este es el primer nivel en el que se puede considerar que los problemas existen. El código malicioso ha conseguido saltarse las barreras de protección (si existieran) y ha lanzado su rutina de destrucción. Aquí hay que volver a distinguir en la manera en la que se contabilizan las infecciones, ya que no es lo mismo un ordenador infectado que toda una red infectada. Infección moderada. Diversas referencias la denominan "infección leve", aunque nunca una infección vírica puede considerarse leve. En este caso solamente un reducido número de ordenadores (inferior al 15%) han sufrido una infección. * Infección masiva, cuando numerosos ordenadores de la empresa (entre un 15 y un 30%) han recibido el código malicioso y sufren sus consecuencias. * Catástrofe, infección de ordenadores en la empresa en la que el los equipos afectados se sitúan entre el 30 y el 50%. * Colapso total, cuando más del 50% de los equipos de la red se encuentran detenidos o afectados por un virus. Tratándose de equipos domésticos o de pymes en las que solamente hay un ordenador, cualquier infección puede englobarse dentro de esta categoría, ya que, en realidad, el 100% de los sistemas (es decir, uno) se encuentra infectado. Teniendo en cuenta todas estas consideraciones, podemos deducir que cualquier cifra de ordenadores infectados debe ser siempre tomada con mucha precaución. Generalmente, el impacto de un virus debe ser cuantificado mediante otros métodos indirectos, ya que cualquier injerencia en la medida supone ya de por sí desvirtuarla. Es decir, si medimos la incidencia de un virus con un antivirus que lo elimina, desvirtuamos la expansión real y, por tanto, los datos que buscamos. (*) Fernando de la Cuadra es Editor Técnico Internacional de Panda Software (http://www.pandasoftware.com) (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com