Cuando alguien enciende por primera vez su PC o portátil con Windows 11 o macOS debería estar tranquilo: ambos sistemas operativos integran su propio antivirus y otras opciones para proteger la seguridad y privacidad de nuestros datos.

Pero ¿tiene sentido comprar además un antivirus externo para estos sistemas? Para responder a esta pregunta hemos contactado con varios expertos en ciberseguridad que nos dan buenas razones para no conformarnos con las propuestas de Microsoft y Apple.

Tanto la una como la otra ofrecen desde hace años soluciones de seguridad integradas en sus sistemas operativos, y en ambos casos las plataformas nativas tratan de evitar ciberataques de todo tipo. Ahora bien, ¿son suficientemente buenas?

Esto es lo que opinan los expertos

Román Ramírez (@patowc), organizador del evento RootedCON y experto en ciberseguridad, nos explicaba cómo «casi todos los sistemas operativos han incorporado distintos mecanismos de protección. Algunos con un enfoque más técnico y otros más hacia el usuario, pero igualmente positivos y, en general, con muy buen resultado».

Aún así, explicaba, «los adversarios siempre van a entrenar sus herramientas o sus procesos de infección asumiendo esas medidas de protección que tenemos por defecto. Si añadimos capas adicionales encarecemos el proceso de ataque: le hacemos más costoso al adversario poder superar nuestras defensas«.

El consejo de Ramírez es coherente y extrapolable a otros muchos ámbitos: uno protege su casa con una alarma o pone cerrojos extra en la puerta para ponerle trabas a los posibles ladrones, y lo mismo ocurre con los coches: protegerlos con algún tipo de sistema antirrobo para los volante hace que probablemente los «cacos» se lo piensen dos veces antes de intentar robarlos: quizás haya objetivos menos protegidos más cerca.

De hecho este experto destacaba cómo muchas de esas herramientas externas «cuentan con capacidades adicionales como servicios de VPN, filtrado de navegación y correo y otras. Por eso siempre es buena idea incorporar herramientas adicionales, aunque tengamos las del sistema operativo».

Chema Alonso (@chemaalonso) es otro de los grandes expertos de nuestro país en materia de ciberseguridad, y como nos señalaba, podéis contactar con él en su buzón público de MyPublicInbox. En su opinión las soluciones de Microsoft y Apple son fundamentales, y usarlas «es como llevar un casco para conducir en una moto».

Sin embargo, advierte, «el malware tiene un ciclo de vida que puede durar muy poco si es muy masivo, o más si es menos masivo, y para ello la industria de ciberseguridad ha avanzado con innovación para aplicar otras medidas heúristicas y otro tipo de protecciones por canal».

Precisamente Alonso explica cómo las soluciones avanzadas de seguridad en end-point —el sistema operativo que se usa en el profesional en el puesto de trabajo o el usuario final en casa— se llaman EDR (End-Point Detection and Response) y «aúnan todas esas mejoras que la industria de la lucha contra el malware han ido desarrollando en los últimos años, y que llevan desde sistemas inteligencia en cloud centralizadas, hasta modelos de inteligencia artificial que ayudan a detectar el malware por cómo empieza a comportarse en el sistema».

Este experto recomienda a los usuarios empresariales y profesionales usar plataformas EDR que se pueden gestionar de forma centralizada. Para usuarios finales que «quieran evitar sustos», lo ideal es comprar alguna solución EDR avanzada de uso personal. A Alonso no le gustan mucho los antivirus gratuitos —y hay unos cuantos, tanto instalados como online—, «pero es porque prefiero tener un soporte al que recurrir en caso de indicente».

Para Carlos Manchado, Responsable de Ciberseguridad en Microsoft Ibérica, la plataforma de esta empresa —llamada Seguridad de Windows, atrás quedó el nombre Windows Defender— «es un concepto paraguas que incluye diferentes aspectos encaminados a proteger los dispositivos y

sus datos, incluye el antivirus Microsoft Defender».

Este experto explica que adquirir un antivirus externo, aunque sea gratuito, depende, porque «cada escenario requiere de una solución adecuada». En Microsoft ofrecen soluciones adaptadas también a empresas y soluciones aún más completas para usuarios finales como Microsoft Defender for Individuals en Microsoft 365.

Les preguntamos a nuestros expertos si además de las soluciones nativas de Microsoft o Apple tenían alguna propuesta relevante. Román Ramírez indicaba que «a mí personalmente me gusta mucho MalwareBytes que funciona en múltiples sistemas operativos de una manera bastante homogénea. En Linux uso una combinación de ClamAV con otras herramientas, por ejemplo.»

Manchado no mencionaba ninguna, mientras que Chema Alonso valoraba aquellas que cuenten con un centro de seguridad en la que expertos en seguridad puedan ayudarnos a resolver un potencial problema. Aún así, explicaba, «no me atrevería a recomendarte ninguno«.

Teniendo en cuenta que algunos, incluso siendo de pago, aprovechaban para minar criptodivisas, no nos extraña. Para los que busquen alguna solución, las comparativas que realizan en AV-Test y en AV-Comparatives pueden servir de referencia: allí queda claro que Microsoft Defender no lo hace nada mal, aunque es algo inferior a varios productos comerciales.

¿Qué pasa con el ransomware?

Las amenazas de ransomware se han convertido en una triste y peligrosa realidad, y Carlos Manchado nos recordaba que este tipo de ataques «crecieron un 105% durante el año pasado». Aquí nos preguntábamos hasta dónde podemos sentirnos protegidos con las soluciones nativas de Microsoft o Apple.

Para Román Ramírez el problema con el ransomware en el caso de los usuarios finales es que «en varios escenarios, algunas herramientas de protección son capaces de detectar la actividad del ransomware y cortarla, por ejemplo. Otras «plantan» ficheros centinela en el sistema operativo para vigilar si son cifrados».

Sin embargo, explica, «no olvidemos que los adversarios mejoran sus herramientas ofensivas, por lo que no es una garantía de salir indemne el contar con herramientas de protección». Para Ramírez hay una defensa obvia contra este tipo de situaciones: «la copia de seguridad bien realizada, probada y fuera de línea«.

Chema Alonso tiene la misma opinión, y como explica habrá casos en los qe sí nos protejan y otros en los que no: «al final se trata de malware, que si tienes suerte de pillarlo cuando ya ha sido analizado, firmado y se detecta, entonces genial, cualquier antivirus te va a ayudar a defenderte contra él. Pero si tienes la mala suerte de que es uno desconocido por la industria (que tiene pocos días de vida) y viene a visitarte, mejor tener el sistema fortificado y con el mejor EDR posible».

Aquí Alonso nos recomienda dos libros distintos para quienes quieran profundizar en este tipo de amenazas. Por un lado, ‘Máxima Seguridad en Windows‘, de Sergio de los Santos. Por otro, ‘macOS Hacking‘, de Daniel Herrero.

Lo de los antivirus en móviles es otra cuestión

Ramírez explicaba que tanto Microsoft como Apple están haciendo esfuerzos importantes en este ámbito, pero el problema es que son sistemas operativos con una base de usuarios enormes. «¿Cuál es el problema con estos sistemas? Que cualquier vulnerabilidad, por pequeña que sea, tiene un impacto enorme en los usuarios».

La visión también es positiva para Chema Alonso, que cree que ambas están haciendo un buen trabajo. «Como todo, siempre hay espacio para mejora, pero creo que la seguridad del end-point ha mejorado mucho. No obstante, hay mucho que hacer desde la parte de los usuarios y los administradores para estar seguros de que utilizamos todas las medidas de protección disponibles y que tenemos hábitos seguros y no de riesgo». Aquí Alonso bromeaba con el ya célebre “¡No pinches ese enlace!” que debería convertirse en una máxima para muchos usuarios.

Hemos hablado de la teórica necesidad de un antivirus en tu PC o portátil, pero ¿qué pasa con los móviles? Para Ramírez los móviles son una preocupación importante «porque ninguno de los fabricantes permite a productos externos el instalarse en el espacio del núcleo del sistema operativo (kernel). Todas las soluciones de protección son dependientes de lo que el fabricante del terminal te deja o no te deja hacer».

Impedir el acceso al kernel es una medida de seguridad notable —por eso rootear un móvil implica riesgos de seguridad importantes—, pero como explica este experto, tiene también sus desventajas: «cualquier atacante que sea capaz de salir del nivel de usuario e introducirse dentro del entorno de privilegios del kernel, puede evadir cualquier herramienta defensiva sin dificultad. Esto lo hemos visto con las vulnerabilidades que explotaba Pegasus, por ejemplo«. Aquí la recomendación de Ramírez es la de intentar usar soluciones que minimizan riesgos aun no pudiendo bloquearlos todos, y menciona «el citado MalwareBytes o Kaspersky».

Precisamente ese bloqueo del espacio del superusuario hace que para Chema Alonso en Android y iOS podamos estar más tranquilos puesto que «son plataformas mucho más cerradas y controladas. Salvo que rompas la seguridad de las tiendas de apps y hagas side-loading, es poco probable que se instale una app pasando por ellas. No me malinterpretéis, sucede, pero es más complejo. Yo he hablado mucho de ello en mis charlas de las Gremlin Apps y Gremlim Botnets, pero aún así el riesgo es menor que en un sistema de escritorio».

Por esa misma razón, nos recuerda Alonso, «la recomendación fundamental en Android e iOS es actualizar de forma constante el sistema operativo y no hacer jailbreak ni rootear el teléfono». Con eso, explica, «tendrás una vida más o menos tranquila con el malware en terminal móvil. Si quieres ampliar la seguridad, puedes instalar soluciones de EDR más acotadas que también ayudan a hacer análisis más holístico de la seguridad de tu dispositivo, y mi recomendación, de nuevo, es que sea un servicio profesional con soporte».

Manchado recordaba que Microsoft Defender está también en Android e iOS —aunque eso sí, es de pago— e insistía en lo mismo que Alonso recordando que «por supuesto, no deberíamos “rootear” nuestro dispositivo móvil y siempre debemos de utilizar el sentido común en el uso diario de nuestro teléfono inteligente».

Imagen | Ed Hardie