El análisis de McAfee indica un fuerte aumento en la cantidad de malware firmado con certificados digitales legítimos, no falsificados ni robados. La firma considera que se trata de una amenaza creciente que plantea la necesidad de contar con algún tipo de “servicio de reputación certificado”, u otro método, para frenar los abusos.

El malware firmado con certificados legítimos se ha disparado desde 2010, cuando apenas representaba 1.3 por ciento de los virus detectados, de acuerdo con McAfee. Esto casi se duplicó en 2011, hasta alcanzar 2.9 por ciento, y se triplicó a 6 por ciento en 2012.  Aunque la tasa es ligeramente más baja, en lo que va de este año la cantidad total de este tipo de ataques sigue creciendo, ya que el número de nuevo malware se duplica, más o menos, cada año.

En su intervención, en la conferencia anual de usuarios de la compañía en Las Vegas la semana pasada, David Marcus, director de investigación avanzada e inteligencia de amenazas en McAfee Labs, también habló de la existencia de malware firmado legítimamente en plataformas Android, algo casi inexistente en 2010, que ya suponía 7 por ciento de todo el malware para Android en 2012 y, en la actualidad, asciende a 24 por ciento.

“Los certificados por ahora no son piratas, no son falsos o robados, pero se abusa de ellos”, explicó Marcus. Esto significa que el atacante ha utilizado un certificado legítimo de una empresa típica asociada a una entidad emisora de certificados, como Comodo, Thawte o VeriSign. El atacante utiliza este certificado legítimo para firmar código de malware, con el fin de engañar a las defensas de seguridad, del tipo listas blancas o sandbox”, señala.

McAfee reconoce casos en los que se han firmado varios cientos de muestras de malware con el mismo certificado, mientras que en otros no se ha observado ningún uso malicioso de la seguridad del certificado. Todo esto plantea la cuestión de si debe haber un “servicio de reputación” de los certificados, para que las empresas puedan protegerse contra el malware firmado con certificados legítimos.

Certificados vulnerados, apoyo de otros ataques

Este experto estuvo acompañado en su presentación por James Wolfe, jefe de ingenieros de seguridad de información en Lockheed Martin, quien dijo que la cuestión de los certificados vulnerados que se utilizan para autenticar malware está recibiendo más atención desde principios de este año, cuando se conoció públicamente una serie de ataques dirigidos, aunque la técnica no es del todo nueva. Wolfe considera que el malware firmado con certificados legítimos puede observarse como una especie de “amenaza persistente avanzada” para la seguridad en las organizaciones.

McAfee sólo ha recopilado y analizado los datos de los últimos meses, y no los ha contrastado con las autoridades de certificación o con Symantec, y está estudiando la forma de identificar de forma efectiva los certificados vulnerados, para bloquear malware. “Esta información nos daría la capacidad de tomar una decisión”, concluye Marcus.

– Ellen Messmer, NetworkWorld