Investigadores de la URV diseñan, en colaboración con científicos de la Universidad de El Pireo, un sistema que detecta el malware evasivo, capaz de modificar su comportamiento para evitar ser detectado

Un estudio coliderado por la Universitat Rovira i Virgili ha desarrollado una herramienta capaz de identificar software malicioso sofisticado —también llamado malware o “virus informáticos”— que evade las técnicas de detección habituales. El modelo analiza todas las posibles formas en las que el malware podría ejecutarse, incluso cuando modifica su comportamiento habitual para evitar ser detectado. Los resultados demuestran que este nuevo sistema es más eficiente que las herramientas comerciales actuales, con una precisión cercana al 99% en la detección de archivos maliciosos.

A medida que la tecnología evoluciona, los ataques informáticos son cada vez más sofisticados. Muchas amenazas digitales, cuyos objetivos son robar datos personales, sabotear infraestructuras críticas —como la sanidad o el sector energético— o cometer fraudes financieros, consiguen penetrar las defensas tradicionales. Detrás de los ataques se encuentran ciberdelincuentes que buscan beneficios económicos o grupos organizados de hackers que explotan vulnerabilidades para desestabilizar empresas, instituciones o gobiernos.

Uno de los métodos más utilizados para detectar malware consiste en ejecutarlo en un entorno virtual o sandbox. Estos simuladores imitan un sistema operativo real para observar el comportamiento del virus. Así, si detectan que un archivo sospechoso actúa de forma nociva, pueden ponerlo en cuarentena o eliminarlo. Sin embargo, muchos programas maliciosos han evolucionado para reconocer estos entornos y ocultar su actividad para evitar ser detectados.

Ejecución simbólica

Para hacer frente a este desafío, los investigadores han implementado un modelo que incorpora la ejecución simbólica. A diferencia de los sistemas tradicionales, que solo pueden observar cómo actúa el virus en un escenario concreto, esta técnica permite analizar todas las posibles situaciones en las que el código malicioso podría ejecutarse, anticipándose incluso a comportamientos ocultos. Fran Casino, investigador del Departamento de Ingeniería Informática y Matemáticas, explica que, para probar el nuevo sistema, utilizaron una base de datos de referencia con más de 14.000 muestras de malware y más de 1.500 archivos inofensivos —como aplicaciones legítimas del sistema operativo que no representan ningún riesgo para los usuarios.

Además, con el objetivo de optimizar el proceso, se empleó un método de clasificación que agrupa los archivos similares. “Esto nos permite analizar solo los archivos que no tienen una estructura conocida, reduciendo la carga de trabajo sin comprometer la precisión del sistema”, recuerda Casino.

Una capacidad de detección superior

El modelo demostró una capacidad superior para detectar programas maliciosos en diversos sistemas operativos, en comparación con herramientas comerciales de tipo sandbox. En concreto, logró identificar correctamente cerca del 99% de las muestras de malware, superando el rendimiento de las alternativas comerciales, que solo detectaron con precisión el 78% de las mismas muestras.

El sistema de ejecución simbólica también superó a los entornos sandbox en la detección de falsos positivos. Consiguió clasificar correctamente el 93% de los archivos inofensivos, mientras que los modelos sandbox de referencia lo hicieron solo en un 89% de los casos. Se trata de una mejora notable, ya que reduce la posibilidad de que programas legítimos sean bloqueados por error.

Otra de las ventajas destacadas del método de ejecución simbólica es su eficiencia. Mientras que los sistemas tradicionales necesitan entre treinta segundos y cuatro minutos para analizar cada archivo, el nuevo sistema tarda, de media, poco más de 30 segundos en hacerlo. Esto representa un ahorro de tiempo y recursos significativo, que marca la diferencia en entornos que deben analizar grandes cantidades de archivos cada día. Más allá de esto, el nuevo sistema proporciona información detallada sobre el funcionamiento interno del código malicioso, útil para mejorar las medidas de protección.

A pesar del potencial de este nuevo modelo, Casino señala que quedan retos por afrontar. “Uno de los principales desafíos es la adaptación de la ejecución simbólica a software complejo y programas que utilicen librerías dinámicas avanzadas”, destaca. Además, aunque la ejecución simbólica es una gran opción para realizar un análisis exhaustivo de muestras, los modelos existentes aún necesitan desarrollarse completamente para ser soluciones viables en un sistema operativo convencional.

Referencia: Vasilis Vouvoutsis, Fran Casino, Constantinos Patsakis. Beyond the sandbox: Leveraging symbolic execution for evasive malware classification, Computers & Security, Volume 149, 2025, 104193. ISSN 0167-4048, https://doi.org/10.1016/j.cose.2024.104193