La importancia de contemplar las listas blancas como una estrategia del funcionamiento del antivirus

Hoy en día no se contempla tener un ordenador si este no se le ha instalado un antivirus, el ordenador hoy en día está en todas las esferas de nuestro entorno en el hogar, en la oficina, en la universidad todos de alguna manera buscamos que no nos pase nada con estos dispositivos tan importante para realizar nuestras tareas diarias, para proteger “la corona de la reina” como es la información es necesario contemplar la importancia que tengamos que instalar un programa antivirus sin embargo muchos de las casas de fabricantes desarrollan estos productos bajo la actualización de su “datafile” que se realiza periódicamente en la nube a través de una gran base de datos, la cual dependiendo de los nuevos virus que surjan estos van modificado el motor del antivirus periódicamente, pero en
ocasiones esto no es confiable para evitar la instalación de un malware.

Durante muchos años nos han indicado que, si se tiene activado el análisis de archivo cada vez que lo abramos, previamente se realizara un análisis de su motor de antivirus para determinar si hay un riesgo con archivo determinado y de una vez nos avisa para colocarlo en cuarentena o sencillamente eliminarlo por lo cual se abstiene de abrir el archivo para no comprometer toda la información de la computadora.

Sin embargo, se ha observado que esto en algunas ocasiones no están efectivo ya que los ciberdelincuentes pueden realizar estrategias que a pesar de tener el antivirus instalado con todas las actualizaciones respectivas llega a comprometerse el ordenador.

¿Pero, que son las listas blancas?

Quiero que se imaginen que usted va a realizar una actividad social en su conjunto residencial o en un club donde tiene varios invitados, conociendo previamente quienes son los que van a asistir, usted define la lista de los invitados con su nombre e identificación, dejando dicho documento en la portería o la recepción del conjunto para que estos se han verificados por el personal encargado de la seguridad del sitio, es decir entraría únicamente aquellos que estén registrados en esa lista.

Este método garantiza que el que no esté en documento, no entraría al sitio, que tal si de la misma manera tenemos operando nuestro ordenador es decir previamente es decir en “cero” de haber instalado sistema operacional y programas básicos o permitidos por la organizacional, se realiza un inventario de aquellos programas que son autorizados u obedecen a una política de uso aceptable (PUA), e inmediatamente asegura que no se ha permitido la instalación de ningún otro programa que no sea validado a asegurado. Lo que se está haciendo bajo este escenario es utilizar la modalidad de “prohibir todo a no ser que se permita”. De esta
manera para los ciberdelincuentes sería más complejo desarrollar nuevos programas que tenga un código malicioso que pueda ser utilizado por un usuario final. No digo que con esto se eliminó cien por ciento la amenaza, en absoluto sencillamente no dependeríamos de las actualizaciones permanentes que puedan utilizar programas los cuales non están autorizados en ser instalados y ejecutados en nuestro ordenador.

Hoy en día existen herramientas que permiten realizar un inventario a todos los ejecutables en nuestro computador como (.exe, .bat,) entre otros. El éxito de esta modalidad es afinar muy bien que programas requiere el usuario para realizar la actividad o como cumplir con su función, para ello una vez se tenga la lista de los programas se realiza el inventario y finalmente se cierra o se asegura evitando la instalación de nuevos programas o ejecutables.

He realizado algunos laboratorios de técnicas de defensa a través de este tipo de situaciones y los resultados han sido sorprendentes. De igual forma Considero que hoy en día los fabricantes de soluciones de antivirus a debería desarrollar estrategias que permita posicionarse en un nivel que estén mucho más avanzado ante ataques de día cero y es por eso que técnicas como la que planteo podría posicionarse a la vanguardia de tal situación.

La mayoría de los fabricantes de antivirus parte del método que todo es permitido a no ser que sea prohibido explicativamente su uso.

Nota: Lo expuesto anteriormente obedece a una experiencia y desarrollo de laboratorios que he desarrollado y su propósito es netamente académico, no pretendo desprestigiar ninguna herramienta de antivirus en particular si no indicar que hay que revisar el método de actualización de los antivirus.