Entrevista a Mandingo

Mandingo se define como una persona a la que le gusta la seguridad informática, el hacking y la investigación. Lo que no dice es que se ha forjado una gran trayectoria y se ha ganado el respeto de muchos profesionales gracias a ese entusiasmo que aporta a todo lo que hace. Actualmente trabaja como analista de malware en Panda Security, y me ha dedicado un rato para contarme su visión sobre una de las amenazas más activas últimamente, el ransomware, así como el papel que juegan las casas antivirus en la batalla por la seguridad.

1. Empezamos por tus comienzos en seguridad.

Mientras estaba estudiando, cuando empezaban a moverse las primeras redes universitarias, descubrí que me gustaba saber cómo funcionaban esas redes que permitían conectar a unas personas con otras. En un principio eran redes muy bien diseñadas pero que a veces fallaban. Por ahí me fui metiendo en seguridad y todo lo relacionado con el hacking.

Posteriormente empezó a surgir, relacionado con esas redes clásicas existentes, Internet; y junto a él un movimiento de personas que empezaba a investigar el potencial de cómo explotar esas redes y como defenderlas.

Mucha gente que empieza en el hacking es gente que le encanta jugar: te ponen unas barreras y tú dispones de herramientas o de información para romperlas. Realmente te enfrentas a retos, juegos. Así pues, al final lo que hago es jugar con herramientas que me gustan porque además me permiten desarrollarme en mi profesión, ya sea como hacker, como desarrollador o reverser, que es lo que estoy haciendo ahora: analizo malware y cómo se comporta, buscando cómo mejorar la solución antivirus (AV) en la que trabajamos.

2. Como analista de malware, ¿destacarías alguna campaña concreta de malware por su complicación o daño?

Una familia que ha dado mucho que hablar es Cryptowall. Está habiendo mucho y aunque en los medios lo denominan así, desde una perspectiva técnica, en sus tripas, unas muestras no tienen nada que ver otras. Tras meses de trabajo y decenas de familias distintas, ni las casas AV tienen capacidad para dedicarles el tiempo necesario para decir si encontramos un CryptoWall, un TeslaCrypt u otra variante.

Está siendo un trabajo muy exigente que se realiza con información que se recoge de muchas fuentes (sondas, usuarios, etc.) y contra reloj para intentar bloquearlo lo antes posible, y así evitar que los ficheros de nuestros clientes lleguen a ser cifrados. Sin embargo, también hay que decir que está siendo un trabajo muy interesante.

3. ¿Y a qué atribuyes a esta proliferación de campañas de ransomware?

Motivos económicos, porque dan más rentabilidad en el menor tiempo posible. Está demostrado que la gente paga por recuperar sus ficheros. Y además de ser de lo más lucrativo es muy difícil de rastrear.

Exigir un secuestro de tus ficheros es una evolución de lo que se venía haciendo antes. Actualmente la creación de malware es una profesión, y ves programas muy bien estructurados. Son programas de alta tecnología.

4. ¿Puedes hablarme de esa evolución que ha sufrido el ransomware?

Los primeros ransomware eran programas muy sencillos que se aprovechaban de que aún no estaba de moda. Se podían permitir el lujo de pedir un rescate con técnicas sencillas como, por ejemplo, renombrar los ficheros o usar un compresor. Estos te pueden mover los ficheros, sobrescribir y limitarse o utilizar técnicas que deshabiliten los motores AV para no ser detectados.

Cuando empezó a tener repercusión se hablaba de casos particulares. La distribución antiguamente se hacía con pequeñas herramientas toscas que no ocupaban mucho (no metían librerías criptográficas ni se comprimían). Ahora, sin embargo, se ha pasado a hablar de campañas. No solo ha evolucionado la pieza de malware en sí, sino la infraestructura para distribuirlo, proveer de 0-days, campañas sociales, etc. Cuando aparece una vulnerabilidad nueva hoy en día, con alta probabilidad se trata de ransomware y bots, o de combinaciones de ambos.

En definitiva, han evolucionado a pequeñas obras de arte por todo el flujo que se sigue hasta llegar a la víctima, y la diferencia con programas legítimos es muy sutil a veces.

5. Hablando de esa capacidad de detección, ¿puedes hablarnos del papel actual de las casas antivirus?

A pesar de que siempre se critica a las soluciones AV porque no protegen al usuario, la verdad es que siguen afianzándose. Existe un equilibrio con la demanda de usuario, y no solo hay implementaciones a nivel doméstico sino también a otro nivel, en sistemas críticos.

Todas las casas AV colaboran entre sí en cierta forma y se suelen sincronizar sus motores. No existe el AV que quiera aislarse del resto. Lo más importante es estar monitorizando muchos sistemas simultáneamente y que esa información pase a bases de datos que se comparten entre distintos fabricantes, especialmente aquella información sobre muestras que pueden suponer un riesgo, o que se desconoce.

En cuanto al nivel de detección y desinfección, es cierto que un AV no puede llegar a contener -todas- las amenazas existentes. Este mundo está plagado de «programas maliciosos»: los que son conocidos ya habrán perdido fuerza de ataque, y los otros que irán llegando requerirán horas extraordinarias.

Trabajar en una empresa que desarrolla soluciones que evitan el malware es una buena oportunidad para desarrollarse en un trabajo en el que la lucha es constante, puntera, y en el que no solamente hablamos de programas, también de personas y compromiso.

6. Así pues, en el caso de amenazas como ransomware, ¿cómo puede protegernos el AV?

Diferentes productos protegen al usuario a distintos niveles. Los más básicos están basados en firmas; va a tener un conocimiento estático, aunque esas firmas no tienen por qué ser simples.
Después están los sistemas heurísticos. Estos son programas con cierta lógica que les permite saber cómo funciona, por ejemplo, un fichero javascript. Pueden tener una máquina donde ejecutar código y analizarlo.

Y a mayor nivel, sistemas que trabajan con otras fuentes (“la nube”). En Internet se consulta a un nivel en el que las firmas estáticas o las heurísticas no han sabido determinar qué es eso nuevo que ha entrado en la máquina.

7. Para finalizar, ¿aventurarías alguna predicción para 2016 sobre ransomware o sobre cómo seguir combatiéndolo?

No me arriesgo mucho si digo que el “movimiento ransomware” continuará, porque es lucrativo y sigue evolucionando. Cada vez que aparece el código fuente de un ransomware en algún medio muchos lo aprovechan para desarrollarlo. Los sistemas operativos y la forma de trabajar con ellos tienen que ser más fiable.

Por otro lado, aunque el ransomware sea uno de los “peces gordos”, los sistemas de defensa no se quedan solo ahí, tienen que luchar contra la distribución de malware y contra que se bloqueen determinados sitios que han sido comprometidos.

Este mundillo tiende a equilibrarse. Mi predicción, basándome en la situación actual, no es ir simplemente contra los peces (las piezas de malware) sino también contra su distribución y contra otros elementos de seguridad. Un AV no es solo mirar el programa que te llega, y su evolución pasa por medir mejor los sensores que nos permiten reforzar nuestra seguridad en los elementos que queremos proteger. Al final es gente que ataca gente… estas protegiendo sistemas, redes y personas.