{"id":131254,"date":"2024-12-11T09:48:00","date_gmt":"2024-12-11T08:48:00","guid":{"rendered":"https:\/\/diaridigital.urv.cat\/?p=131254"},"modified":"2024-12-11T12:24:03","modified_gmt":"2024-12-11T11:24:03","slug":"modelo-antivirus-malware-evasivo","status":"publish","type":"post","link":"https:\/\/diaridigital.urv.cat\/es\/modelo-antivirus-malware-evasivo\/","title":{"rendered":"Un nuevo modelo antivirus contra el malware indetectable"},"content":{"rendered":"<p>Un estudio coliderado por la Universitat Rovira i Virgili ha desarrollado una herramienta capaz de identificar software malicioso sofisticado \u2014tambi\u00e9n llamado <em>malware<\/em> o \u201cvirus inform\u00e1ticos\u201d\u2014 que evade las t\u00e9cnicas de detecci\u00f3n habituales. El modelo analiza todas las posibles formas en las que el <em>malware<\/em> podr\u00eda ejecutarse, incluso cuando modifica su comportamiento habitual para evitar ser detectado. Los resultados demuestran que este nuevo sistema es m\u00e1s eficiente que las herramientas comerciales actuales, con una precisi\u00f3n cercana al 99% en la detecci\u00f3n de archivos maliciosos.<\/p>\n<p>A medida que la tecnolog\u00eda evoluciona, los ataques inform\u00e1ticos son cada vez m\u00e1s sofisticados. Muchas amenazas digitales, cuyos objetivos son robar datos personales, sabotear infraestructuras cr\u00edticas \u2014como la sanidad o el sector energ\u00e9tico\u2014 o cometer fraudes financieros, consiguen penetrar las defensas tradicionales. Detr\u00e1s de los ataques se encuentran ciberdelincuentes que buscan beneficios econ\u00f3micos o grupos organizados de hackers que explotan vulnerabilidades para desestabilizar empresas, instituciones o gobiernos.<\/p>\n<p>Uno de los m\u00e9todos m\u00e1s utilizados para detectar <em>malware<\/em> consiste en ejecutarlo en un entorno virtual o <em>sandbox<\/em>. Estos simuladores imitan un sistema operativo real para observar el comportamiento del virus. As\u00ed, si detectan que un archivo sospechoso act\u00faa de forma nociva, pueden ponerlo en cuarentena o eliminarlo. Sin embargo, muchos programas maliciosos han evolucionado para reconocer estos entornos y ocultar su actividad para evitar ser detectados.<\/p>\n<h5>Ejecuci\u00f3n simb\u00f3lica<\/h5>\n<p>Para hacer frente a este desaf\u00edo, los investigadores han implementado un modelo que incorpora la ejecuci\u00f3n simb\u00f3lica. A diferencia de los sistemas tradicionales, que solo pueden observar c\u00f3mo act\u00faa el virus en un escenario concreto, esta t\u00e9cnica permite analizar todas las posibles situaciones en las que el c\u00f3digo malicioso podr\u00eda ejecutarse, anticip\u00e1ndose incluso a comportamientos ocultos. Fran Casino, investigador del Departamento de Ingenier\u00eda Inform\u00e1tica y Matem\u00e1ticas, explica que, para probar el nuevo sistema, utilizaron una base de datos de referencia con m\u00e1s de 14.000 muestras de <em>malware<\/em> y m\u00e1s de 1.500 archivos inofensivos \u2014como aplicaciones leg\u00edtimas del sistema operativo que no representan ning\u00fan riesgo para los usuarios.<\/p>\n<p>Adem\u00e1s, con el objetivo de optimizar el proceso, se emple\u00f3 un m\u00e9todo de clasificaci\u00f3n que agrupa los archivos similares. \u201cEsto nos permite analizar solo los archivos que no tienen una estructura conocida, reduciendo la carga de trabajo sin comprometer la precisi\u00f3n del sistema\u201d, recuerda Casino.<\/p>\n<h5>Una capacidad de detecci\u00f3n superior<\/h5>\n<p>El modelo demostr\u00f3 una capacidad superior para detectar programas maliciosos en diversos sistemas operativos, en comparaci\u00f3n con herramientas comerciales de tipo <em>sandbox<\/em>. En concreto, logr\u00f3 identificar correctamente cerca del 99% de las muestras de <em>malware<\/em>, superando el rendimiento de las alternativas comerciales, que solo detectaron con precisi\u00f3n el 78% de las mismas muestras.<\/p>\n<p>El sistema de ejecuci\u00f3n simb\u00f3lica tambi\u00e9n super\u00f3 a los entornos <em>sandbox <\/em>en la detecci\u00f3n de falsos positivos. Consigui\u00f3 clasificar correctamente el 93% de los archivos inofensivos, mientras que los modelos<em> sandbox <\/em>de referencia lo hicieron solo en un 89% de los casos. Se trata de una mejora notable, ya que reduce la posibilidad de que programas leg\u00edtimos sean bloqueados por error.<\/p>\n<p>Otra de las ventajas destacadas del m\u00e9todo de ejecuci\u00f3n simb\u00f3lica es su eficiencia. Mientras que los sistemas tradicionales necesitan entre treinta segundos y cuatro minutos para analizar cada archivo, el nuevo sistema tarda, de media, poco m\u00e1s de 30 segundos en hacerlo. Esto representa un ahorro de tiempo y recursos significativo, que marca la diferencia en entornos que deben analizar grandes cantidades de archivos cada d\u00eda. M\u00e1s all\u00e1 de esto, el nuevo sistema proporciona informaci\u00f3n detallada sobre el funcionamiento interno del c\u00f3digo malicioso, \u00fatil para mejorar las medidas de protecci\u00f3n.<\/p>\n<p>A pesar del potencial de este nuevo modelo, Casino se\u00f1ala que quedan retos por afrontar. \u201cUno de los principales desaf\u00edos es la adaptaci\u00f3n de la ejecuci\u00f3n simb\u00f3lica a software complejo y programas que utilicen librer\u00edas din\u00e1micas avanzadas\u201d, destaca. Adem\u00e1s, aunque la ejecuci\u00f3n simb\u00f3lica es una gran opci\u00f3n para realizar un an\u00e1lisis exhaustivo de muestras, los modelos existentes a\u00fan necesitan desarrollarse completamente para ser soluciones viables en un sistema operativo convencional.<\/p>\n<p><strong>Referencia: <\/strong>Vasilis Vouvoutsis, Fran Casino, Constantinos Patsakis. <em>Beyond the sandbox: Leveraging symbolic execution for evasive malware classification<\/em>, <em>Computers &amp; Security<\/em>, Volume 149, 2025, 104193.\nISSN 0167-4048, <a href=\"https:\/\/doi.org\/10.1016\/j.cose.2024.104193\">https:\/\/doi.org\/10.1016\/j.cose.2024.104193<\/a><\/p>\n<p>&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Investigadores de la URV dise\u00f1an, en colaboraci\u00f3n con cient\u00edficos de la Universidad de El Pireo, un sistema que detecta el malware evasivo, capaz de modificar su comportamiento para evitar ser detectado<\/p>\n","protected":false},"author":139,"featured_media":131253,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[117,102,3463,83,100,123],"tags":[],"class_list":["post-131254","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciencia-y-tecnologia","category-comunicacion-ciencia","category-ingenieria-informatica-matematicas","category-general-es","category-investigacion","category-notas-prensa"],"acf":[],"_links":{"self":[{"href":"https:\/\/diaridigital.urv.cat\/es\/wp-json\/wp\/v2\/posts\/131254","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/diaridigital.urv.cat\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/diaridigital.urv.cat\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/diaridigital.urv.cat\/es\/wp-json\/wp\/v2\/users\/139"}],"replies":[{"embeddable":true,"href":"https:\/\/diaridigital.urv.cat\/es\/wp-json\/wp\/v2\/comments?post=131254"}],"version-history":[{"count":0,"href":"https:\/\/diaridigital.urv.cat\/es\/wp-json\/wp\/v2\/posts\/131254\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/diaridigital.urv.cat\/es\/wp-json\/wp\/v2\/media\/131253"}],"wp:attachment":[{"href":"https:\/\/diaridigital.urv.cat\/es\/wp-json\/wp\/v2\/media?parent=131254"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/diaridigital.urv.cat\/es\/wp-json\/wp\/v2\/categories?post=131254"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/diaridigital.urv.cat\/es\/wp-json\/wp\/v2\/tags?post=131254"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}