• Tweet

Los sitios web maliciosos se han vuelto cada vez más sofisticados, así como difíciles de detectar y bloquear en los últimos cuatro años, además muchos motores antivirus sufren significativamente de falsos positivos y negativos, señala una nueva investigación de Google.

La compañía web ha estado bloqueando amenazas en la nube a través de su servicio llamado “Safe Browsing” por al menos cinco años, y ha analizado esos datos por cuatro años para generar el reporte “Tendencias para eludir detección de malware en la web”.

El análisis cubre alrededor de ciento sesenta millones de páginas web alojadas aproximadamente en ocho millones de sitios, y Google identifica alrededor de tres millones de alertas de malware para los más de cuatrocientos millones de usuarios de computadora cada día.

Ataques de ingeniería social, donde el malware está típicamente disfrazado como un producto antivirus o un complemento de un navegador web, se han incrementado significativamente, el reporte encontró, aunque todavía representan sólo el dos por ciento de todos los sitios que distribuyen software malicioso.

Los ataques más comunes son los de encubrimiento de direcciones  IP y los denominados “drive-by downloads”, en los que a menudo el atacante cambia de exploits para evitar la detección.

El reporte concluye que ninguna de las herramientas usadas por Google para detectar malware – máquinas virtuales, clientes que funcionan como honeypots, honeypots emuladores de clientes web, clasificación en base a  la reputación del dominio web y motores antivirus – son efectivas en cuanto al aislamiento del software malicioso.

“Encontramos que el uso de la ingeniería social va en aumento y plantea desafíos a las máquinas virtuales honeypot. Ofuscación de código JavaScript que interactúa bastante con el Modelo Objeto Documento (DOM por sus siglas en inglés) puede ser usado para evadir emuladores de navegadores web y motores antivirus”, afirma el reporte.

“En características operacionales, los motores antivirus también sufren significativamente de falsos positivos y falsos negativos. Finalmente, observamos una alza en el encubrimiento de direcciones IP para frustrar esquemas de detección de contenido”.

La habilidad de Google de detectar y prohibir ataques de malware estuvo en tela de juicio a inicios de esta semana cuando Imperva mostró una investigación afirmando que los hackers podrían estar generando más de  ochenta mil peticiones de búsqueda al día usando botnets para identificar los objetivos más vulnerables en la web.

Imperva insta a Google y a otros motores de búsqueda en la web a mejorar su inspección de tráfico de red y sus herramientas anti-automatización.