Infospyware estuvo presente en Infosecurity Lima 2009, un evento que agrupa a las empresas mas reconocidas en seguridad informática. Tuvimos la oportunidad de entrevistar a Sebastián Bortnik, Analista en Seguridad para ESET Latinoamérica; quien también nos dejo un saludo grabado al final de la nota por el 5th aniversario de InfoSpyware. Argentino de nacimiento y poseedor de un gran carisma. Sebastián ha terminado su exposición en el Infosecurity y sigue el break. Varios asistentes al evento lo siguen para tomarse fotos con él y preguntarle ciertos detalles; me acerco y le doy mi tarjeta personal, “Hola Sebastián soy Guillermo Pastor (izquierda) de InfoSpyware” él ve mi tarjeta y me dice “InfoSpyware, que gusto, siempre los leo”. Le pregunto ¿tendrás unos minutos para una entrevista? A lo que él accede con gentileza y estas son sus apreciaciones.
¿Sebastián, qué tan seguros estamos los usuarios al navegar por internet?
Hoy en día prácticamente todas las amenazas se han mudado a internet, es decir, internet es “la plataforma” de ataque, por lo que en primer lugar, el usuario debería saber que en internet es donde están los riesgos y por lo tanto hay que andar con cuidado. De todas formas de a poco han evolucionado las tecnologías y hay soluciones con las cuales el usuario sepa que los riesgos que están en internet no tienen que motivar la paranoia de apagar la PC y no utilizarla más, sino que hay que educar a los usuarios y concientizarlos para que, en conjunto con las tecnologías, hagan un uso responsable y seguro de internet.
Ciertamente el punto mas débil en la cadena de la seguridad informática es el usuario ¿ESET piensa implementar elementos para reforzar ese punto débil? Como por ejemplo, bloqueadores de comportamientos o mejorar aún más los escaneos heurísticos.
Desde el lado de la tecnología de nuestro producto, siempre se está pensando en evolucionar. Cuando sale una nueva versión, ya hay gente trabajando en la que viene, y en líneas generales va a haber nuevas funcionalidades y el producto va a evolucionar y ni hablar de los algoritmos heurísticos en los que se trabaja constantemente. En lo que respecta al eslabón débil, que es el usuario, es importante concientizar al usuario, la tecnología está, pero un usuario educado va a hacer un uso mas responsable de esa tecnología, es por eso que en ESET, mas allá de tener nuestro laboratorio, nuestros desarrolladores; nosotros aquí en Latinoamérica tenemos la clara vocación de concientizar a los usuarios haciendo educación gratuita en todos los países, es por eso que hemos llegado a cientos de universidades y hemos dado seminarios y charlas gratuitas, asistimos a conferencias, tenemos un blog y tenemos un centro de amenazas, entonces, desde el punto de vista del eslabón débil del usuario, nosotros creemos firmemente que hay que atacarlo con educación, por eso es que ponemos a disposición de la comunidad un montón de recursos gratuitos.
¿Y puede el usuario ser educado para evitar los ataques de ingeniería social?
Totalmente, en lo que respecta a ataques de ingeniería social el usuario debe ser educado para prevenirse, de todas formas, la forma de protegerse o la mejor solución para estar protegido es combinar la tecnología con la educación del usuario; las tecnologías actualmente han evolucionado mucho, funcionan muy bien, pero, hay muchos vectores de ataque de ingeniería social; un usuario muy educado puede protegerse ante estas amenazas, pero perderse otras mas técnicas, por eso es que para nosotros es importante la combinación, nosotros creemos que un usuario que tiene una muy buena tecnología, pero que no es consciente de los riesgos, le está faltando algo, y un usuario que no aproveche las tecnologías disponibles también le está faltando algo.
Una de las conclusiones que se puede tener en cuenta a nivel de estos congresos de seguridad es que uno de los principales puntos por el cual tenemos la principal vulnerabilidad, es el SO. ¿Podemos concluir entonces que una iniciativa por parte de usuarios o empresas para disminuir las vulnerabilidades, no es migrar a otros SO con menores vulnerabilidades?
Lo que vos mencionas es una idea bastante común, pero el tiempo ha demostrado que cuando uno migre de plataforma, las amenazas van a migrar también, hace muchos años mencionábamos soluciones de browsers como seguras, y hoy en día detectamos tantos ataques en Internet Explorer como en Mozilla Firefox. Yo si tengo la clara convicción de que siempre van a haber personas dispuestas a encontrar vectores de ataque en donde nosotros estemos haciendo uso, eso no significa que no pueda haber SO mejores o peores, pero eso queda a libertad del usuario, pero no estoy de acuerdo con la idea de que si migramos van a dejar de haber vulnerabilidades, de hecho, el tema no es si hay vulnerabilidades o no, porque todos los SO tienen vulnerabilidades, el tema es cual están siendo explotadas, y claramente hoy están siendo explotadas las de MS Windows, pero asegurarte de que si cambiamos de SO va a dejar de haber ataques, creo que es una visión muy frecuente, pero que se está perdiendo una parte de la historia que es la de subestimar a los atacantes.
Pero en cuanto a la velocidad de respuesta acerca de vulnerabilidades, entre el software privativo y el software libre, hay mucha diferencia.
Si, pero siempre parcialmente, depende de que software libre estemos hablando, por ejemplo en los navegadores, han habido vulnerabilidades de Microsoft solucionadas en unos pocos días y Mozilla ha tardado un tanto más, ha sucedido al revés han habido vulnerabilidades de Mozilla arregladas muy brevemente y las de IE demoraron mucho más. Yo no creo que sea algo propio de una filosofía, yo puedo tener un software libre dando muy malas respuestas o muy buenas respuestas y puedo tener un software propietario que dan muy buenas respuestas o malas respuestas, de hecho el mismo Microsoft que es el ejemplo mas claro, ha dado excelentes respuestas a ciertas vulnerabilidades y ha dado muy malas respuestas a otras ¿eso significa que es culpa del software propietario? No, Microsoft ha estado preparado en ciertos casos, hoy en día está mucho mejor que en otros años, no es algo propio de una filosofía de desarrollo, es algo propio de cuan serio sea el equipo de seguridad trabajando atrás de esa solución.
Hay infecciones que afectaron mucho a los usuarios y al núcleo de los antivirus, como es el caso de Virut en todas sus variantes. Veo que actualmente ESET incluye lo que se llama Self Defense, ¿esto bloquearía infecciones tipo Virut?
Para darte una respuesta concreta, si, el módulo Self Defense, es exclusivamente un módulo que está intentado que ningún software malicioso pueda desactivar el antivirus o pueda quitarle funcionalidades, agregándole lo que yo mencionaba antes, que no hay que subestimar a los atacantes, los atacantes están buscando todo tipo de vector de ataque que pueda mejorar sus éxitos y uno de ellos puede ser deshabilitar un antivirus o prohibirle acceso a un foro, entonces está claro que las personas que desarrollan códigos maliciosos a veces nos encontramos con malwares muy bien desarrollados, gente que realmente a uno le da lástima ver tanta inteligencia abocada a eso. Hay siempre nuevas funcionalidades y habla de cómo los atacantes están preparados para crecer, tanto como crecemos nosotros, también ellos van evolucionando.
Existe una conocida empresa de software antivirus que está empezando a difundir el hecho de que la tecnología de defensa de usuarios y empresas tiene que venir desde el Cloud Computing, ¿ESET está pensando en una solución similar o tiene una estrategia totalmente diferente en ese aspecto?
Hay que diferenciar un poco lo que es técnicamente una solución, de lo que pueda decirse de ella, nosotros desde el punto de vista de Cloud Computing hoy en día el uso que hacen los usuarios de la computadora requiere de una instalación local, entonces de ese lado, lo que nosotros estamos dando es una respuesta al escenario de hoy, y puntualmente por el uso que se está dando de los SO, nosotros creemos que una buena protección requiere de una instalación local, que te repito, otras soluciones que dicen ser de Cloud Computing también la tienen, con lo cual en parte estamos dando lo mismo, en lo que el usuario tiene que estar seguro es que si estamos trabajando en dar la mejor solución de seguridad y por eso nuestros índices de detección, las certificaciones avalan que están siendo los mejores del mercado, pero independientemente de cualquier filosofía, lo interesante es que ese software, cuando llegue la infección al sistema sea detectado. En nuestro caso puntual creemos que por el momento el modelo que se está utilizando no está agotado ni mucho menos, y que la filosofía de Cloud Computing no es ajena a nuestro software, de hecho nuestro software hace muchos años incorporó el análisis de comunicaciones HTTP, porque somos conscientes de la utilización de Cloud Computing, pero no por eso nos hacemos llamar Cloud Computing, quiero decir, lo que si hay garantía es que si el usuario está haciendo uso de una aplicación web está siendo protegido, porque el antivirus está chequeando las comunicaciones HTTP y nosotros los archivos, de ese lado hemos evolucionado pero no hemos cambiado nuestro nombre y creemos que por donde venimos vamos por buen camino que por suerte las certificaciones lo van avalando que nuestros índices de detección son altos, entonces de ese lado creemos que va por ese camino, de todas formas si hemos puesto a disposición de los usuarios una solución como ESET scanner online para que el usuario pueda desde el navegador hacer un escaneo de su PC de forma gratuita, pero creemos que la solución final constante viene por la filosofía que venimos manejando.
Los usuarios avanzados hablan de las pocas opciones del firewall de ESET Smart Security ¿en versiones posteriores habrá mejoras con respecto a este punto?
En realidad el feedback de los usuarios para nosotros siempre es útil, entonces siempre estamos intentado evolucionar, también hay que recordar que ESS es un producto joven y la versión 4 claramente ha tenido una gran evolución respecto a su anterior y siempre intentamos ir por ese camino, obviamente con virtudes y defectos, pero siempre intentamos ir en ese camino y cualquier consejo del usuario es tomado, particularmente en Latinoamérica es una región donde la gente nos da mucho feedback y siempre se intenta mejorar sin perder el foco de que sigue siendo una solución de firewall local, por el momento.
Actualmente en el Perú, la preferencia de los usuarios hacia productos ESET ha venido en alza con respecto a años anteriores y no precisamente por software legal ¿Cómo combatir la piratería en sociedades como la nuestra?
Nosotros creemos firmemente que la mejor solución contra la piratería es la educación, a diferencia de otros modelos que se viene utilizando, el usuario debe saber que un software pirateado tiene efectos colaterales de seguridad. Obviamente todas las empresas tienen sistemas de detección de este tipo de amenazas, entonces un usuario con un software pirateado puede estar teniendo un software obsoleto en detección y ni hablar si es un crack en donde hemos detectado que la gran mayoría de los cracks incluyen malware “de regalo” entonces, la educación es la solución. Obviamente que en un ámbito empresarial, esto es mucho mas grave aún, si una empresa con información valiosa desconoce los riesgos que implica piratear un software es un poco mas grave. Además el usuario tiene que saber que el modelo de licenciamiento es una decisión, es un modelo de negocios y también el usuario empresarial valora mucho el soporte técnico que incluye el licenciamiento, es de mucho valor para la empresa, porque cuando ocurre un incidente tiene una respuesta rápida de un equipo de personas atrás de una respuesta rápida como es en nuestro caso, entonces las empresas todavía perciben mucho eso; y el usuario final, creemos en la educación y que se pueda revertir lo que se pueda y después quedará a libertad de cada uno.
¿No consideras que la piratería en determinado momento ha sido un factor difusor de la tecnología que ustedes poseen?
En el modo sencillo en que lo planteas, pues si, un usuario que usa un software pirateado, está usando nuestro software, te repito, no hay que perder de vista que este usuario que usa un software pirateado corre riesgos, después nosotros sabemos porque este usuario está usando nuestro software pirateado, es porque el software anda bien pero tiene que saber que muchos de ellos se están exponiendo a riesgos innecesarios por piratear ese software.
Precisamente en Perú, ESET se hace mas popular por la piratería, lo que representa altos índices de marketing, pero no así económicamente hablando.
En Latinoamérica tenemos altísimos índices de piratería de nuestro producto para uso hogareño, los tenemos detectados lo tenemos medido, nosotros hacemos encuestas, sabemos que en el hogar, nuestro producto es altamente usado y pirateado. Nuestro objetivo no es perseguir a la gente, sino educarlos y que entiendan que si muchos adquieren una licencia que muchas veces vale lo mismo que salir en una noche, entonces de ese lado nosotros creemos en la educación como método para erradicar la piratería y para que el usuario realmente entienda que con la licencia del software va a tener ventajas asociadas y va a correr menos riesgos, tampoco podemos abocar todos nuestros esfuerzos a perseguir un software pirateado porque deberíamos dejar de dar charlas o de dar soporte o hacer cosas que también son mucho mas importantes para nuestros usuarios legítimos que tenemos.
Cuando se trabaja con heurística se corre el riesgo de tener falsos positivos, ¿Cómo hace ESET para evitarlos?
No quiero que parezca sencillo pero la heurística no son mas que algoritmos inteligentes de detección, entonces de ese lado el equipo de desarrollo de ESET ha optimizado durante años los algoritmos para minimizar la cantidad de falsos positivos de hecho las mismas certificaciones que han premiado nuestra heurística han premiado también la baja tasa de falsos positivos de nuestra heurística. De hecho en AV Comparatives , que es la mas prestigiosa certificación en detección heurística, somos la única organización que hemos sacado siempre el premio mayor, y en muchos casos se debió, diferenciándonos de otras empresas, no sólo por el índice de detección, sino en muchos casos particularmente por no tener falsos positivos, ahora, dando una respuesta a un usuario que puede encontrarse con algún falso positivo que aparezca, también tenemos un esquema regionalizado en Latinoamérica, donde a través de nuestro laboratorio en Latinoamérica, si llegara a ocurrir el caso, podemos dar una respuesta muy rápida al usuario en unas pocas horas liberando el problema y modificando nuestro software si es necesario para que en unas pocas horas solucionar el problema si llegara a aparecer. Hemos tenido muy pocos casos, en Latinoamérica casi no hemos tenido en lo que va del año, pero si tenemos los recursos para que si llegara a ocurrir dar una respuesta rápida a los usuarios
¿Y qué me dices de los falsos negativos? Muchas veces hay infecciones que el antivirus no detecta ¿hay alguna solución eficaz para esto?
El tema de los falsos negativos es mucho mas crítico porque tiene que ver con el índice de detección tanto de la heurística como de la detección por base de firmas, también aquí no hay que engañar a los usuarios, ninguna tecnología va a detectar el 100% de las amenazas. Lamentablemente se dice mucho en el mercado pero nosotros tenemos la firme convicción de que esto hay que planificarlo, básicamente por la naturaleza de las amenazas de que van evolucionando y que siempre pueden aparecer ejemplares nuevos, por eso te digo, para nosotros lo mas fuerte no es engañar con un 100% falso, sino trabajar constantemente para que ese porcentaje aumente, minimizar los falsos negativos y encontrar cada día mas amenazas, y te repito, vamos por dos canales, el canal de nuestros desarrolladores del producto que optimizan la heurística y la base de firmas, y el canal de logística donde nosotros al tener un laboratorio regional en Latinoamérica podemos dar rápidas respuestas a usuarios que se encuentren con un incidente de un malware no detectado y en unas pocas horas llegar a detectarlo, dando una respuesta personalizada en idioma español a través de un soporte técnico y laboratorios regionalizados.
¿Qué espera ESET de aquí a algunos años, como esperan posicionarse de aquí en adelante en el mercado, cual es la visión que ustedes tienen?
Nosotros desarrollamos soluciones de tecnología de seguridad, software de seguridad, software antivirus, ahora tenemos a ESET Smart Security y nuestra idea es siempre crecer con la firme convicción de que hemos desarrollado un buen producto que te repito, por suerte, si en algo no hemos tenido problemas es en que nos reconozcan la calidad del producto, entonces el objetivo de ESET es crecer en líneas generales. Somos una empresa joven, que hemos crecido cuando otros ya estaban instaurados, de ese lado venimos creciendo a pasos agigantados y particularmente en Latinoamérica hemos tenido un crecimiento muy fuerte con respecto a muchos otros países, entonces en Latinoamérica la idea es posicionar la marca y que siga siendo reconocida como líder que es en detección.
Algunas palabras finales para los lectores de Infospyware.
En realidad aprovecho para resaltar algo que para nosotros es muy importante que es la educación del usuario y en este caso sitios como Infospyware son siempre ricos para los usuarios, siempre es bueno que estemos compartiendo lo que sabemos, siempre es bueno que estemos enseñando que estemos aclarado, concientizando y en ese sentido cualquier sitio que invite al usuario a aprender mas de seguridad es bienvenido.