El análisis de McAfee indica un fuerte aumento en la cantidad de malware firmado con certificados digitales legÃtimos, no falsificados ni robados. La firma considera que se trata de una amenaza creciente que plantea la necesidad de contar con algún tipo de “servicio de reputación certificadoâ€, u otro método, para frenar los abusos.
El malware firmado con certificados legÃtimos se ha disparado desde 2010, cuando apenas representaba 1.3 por ciento de los virus detectados, de acuerdo con McAfee. Esto casi se duplicó en 2011, hasta alcanzar 2.9 por ciento, y se triplicó a 6 por ciento en 2012. Aunque la tasa es ligeramente más baja, en lo que va de este año la cantidad total de este tipo de ataques sigue creciendo, ya que el número de nuevo malware se duplica, más o menos, cada año.
En su intervención, en la conferencia anual de usuarios de la compañÃa en Las Vegas la semana pasada, David Marcus, director de investigación avanzada e inteligencia de amenazas en McAfee Labs, también habló de la existencia de malware firmado legÃtimamente en plataformas Android, algo casi inexistente en 2010, que ya suponÃa 7 por ciento de todo el malware para Android en 2012 y, en la actualidad, asciende a 24 por ciento.
“Los certificados por ahora no son piratas, no son falsos o robados, pero se abusa de ellosâ€, explicó Marcus. Esto significa que el atacante ha utilizado un certificado legÃtimo de una empresa tÃpica asociada a una entidad emisora de certificados, como Comodo, Thawte o VeriSign. El atacante utiliza este certificado legÃtimo para firmar código de malware, con el fin de engañar a las defensas de seguridad, del tipo listas blancas o sandboxâ€, señala.
McAfee reconoce casos en los que se han firmado varios cientos de muestras de malware con el mismo certificado, mientras que en otros no se ha observado ningún uso malicioso de la seguridad del certificado. Todo esto plantea la cuestión de si debe haber un “servicio de reputación” de los certificados, para que las empresas puedan protegerse contra el malware firmado con certificados legÃtimos.
Certificados vulnerados, apoyo de otros ataques
Este experto estuvo acompañado en su presentación por James Wolfe, jefe de ingenieros de seguridad de información en Lockheed Martin, quien dijo que la cuestión de los certificados vulnerados que se utilizan para autenticar malware está recibiendo más atención desde principios de este año, cuando se conoció públicamente una serie de ataques dirigidos, aunque la técnica no es del todo nueva. Wolfe considera que el malware firmado con certificados legÃtimos puede observarse como una especie de “amenaza persistente avanzada” para la seguridad en las organizaciones.
McAfee sólo ha recopilado y analizado los datos de los últimos meses, y no los ha contrastado con las autoridades de certificación o con Symantec, y está estudiando la forma de identificar de forma efectiva los certificados vulnerados, para bloquear malware. “Esta información nos darÃa la capacidad de tomar una decisión”, concluye Marcus.
– Ellen Messmer, NetworkWorld
