Un funcionario abre un archivo desde el computador de su trabajo y, sin querer, termina afectando todas las bases de datos de su empresa. ¿Cómo determinar que este archivo es, efectivamente, malicioso? Aunque algunos de estos softwares se pueden establecer solo en base al antivirus, los códigos maliciosos evolucionan continuamente hasta hacerse irreconocibles, lo que dificulta su prevención.
Por eso, un modelo que permite reconocer automáticamente las características de un software malicioso o malware para luego seguir acciones paso a paso con el fin de combatirlo, tomando acciones correctivas, es el resultado de la investigación del magíster en seguridad, peritaje y auditoría en procesos informáticos de la Universidad de Santiago, Juan Fernando Mejía.
El trabajo, titulado ‘Modelo de proceso para análisis, caracterización y clasificación de archivos ejecutables potencialmente maliciosos en un entorno organizacional con sistema operativo Windows’, busca aportar tanto a las empresas que son víctimas de estos ataques como a las entidades encargadas del peritaje cibernético.
La investigación propone un proceso para capturar la evidencia de malware, el cual se basa en la extracción de las características de todo tipo de programa, entregando “un listado donde se puede saber si el archivo se conectó a un sitio en otro lado, si envió archivos, si ejecutó otros programas, si se hizo autoejecutable, si se encriptó, etcétera”, explica Mejía. Posterior a esto, los archivos analizados pueden ser clasificados como limpios o maliciosos y en qué porcentaje.
“De acuerdo a lo que se ha estudiado, no existe un modelo estándar para estos fines. Cada autor propone un patrón de acuerdo a su experiencia”, asegura el investigador responsable del estudio. Para realizar este trabajo, Mejía revisó bibliografía sobre malware y extrajo las características que consideró más pertinentes para definirlo.
De acuerdo al experto, el modelo presentado arrojó un 92% de efectividad según validación cruzada –método para evaluar los resultados de un análisis estadístico a fin de especificar cuán precisos son en la práctica-.
“Además, lo llevamos a la práctica una vez realizado, ya que tuvimos una incidencia de una empresa que fue atacada con un ransomware -programa malintencionado que encripta o restringe el acceso a los archivos que infecta, para luego pedir un rescate a cambio de quitar la restricción-. Fuimos con todo y la situación nos permitió seguir el proceso, aplicando el modelo de manera exitosa”, complementa.
Mejía advierte que los ataques cibernéticos en Chile son cada vez más sofisticados. “Los ataques de malware nuevos, de ‘día cero’, pueden infectar porque todavía no han sido reconocidos. Un ataque de este tipo no se puede prevenir, pero sí analizar para tomar correctivos a futuro”, indica.
“Si un juez solicita un peritaje sobre ese malware –añade Mejía-, es necesario seguir un plan de acción. Este modelo también está pensado para esa aplicación: que el analista o el perito pueda seguir una serie de pasos para tener un marco de referencia”.
El profesor guía de la investigación, Juan Ignacio Iturbe, no descartó que el estudio posibilite la creación de un manual y cursos de capacitación para poder entender y aplicar correctamente este modelo.
De Ecuador a Chile
Juan Fernando Mejía Calle es un experto ecuatoriano becado por el Gobierno de su país para cursar el Magíster en Seguridad, Peritaje y Auditoría en Procesos Informáticos que imparte el Departamento de Ingeniería Informática.
El investigador se graduó la semana pasada y valora la experiencia de realizar este estudio en la Universidad de Santiago. “Fue una experiencia muy interesante”, señala el extranjero, que este sábado vuelve a su país con un miembro más en su familia: un hijo chileno, nacido hace tan solo cinco meses.