Hace ahora unos diez años, Brian Dye, directivo de uno de los sistemas antimalware líder en el mercado, anunció que los antivirus "estaban muertos" y "condenados al fracaso". Sus palabras, viniendo de una de las mayores empresas comercializadoras de antivirus del mundo, tuvieron una importante repercusión. ¿Acaso no seguía (y sigue) siendo la herramienta más popular contra el malware? ¿A qué venía un titular tan categórico? ¿Existía quizás una alternativa mejor? Dye añadió que los antivirus solo detenían un 45% de los ataques por entonces. Sembró un buen puñado de dudas si nos quedamos en el titular. Sin embargo, se estableció un punto de inflexión en la historia de la ciberseguridad si analizamos lo que ocurrió en ese momento.
En la mitología popular, el antivirus es todavía el sistema más poderoso de protección contra el malware. Está tan arraigado que seguimos usando la palabra “antivirus”, incluso cuando los virus técnicamente no existen (los primigenios que infectaban ficheros) y aunque, en realidad, detengan por sí mismos un porcentaje más bajo de lo que estamos dispuestos a admitir. Insistimos en referirnos a ellos como antivirus, aunque, desde hace al menos 15 años, sus fabricantes evitan llamarlos así. Su éxito popular es tal que no consiguen librarse del ideal que plantaron en el imaginario colectivo desde principios de los años 90.
Pero la situación en 2014 requería un cambio de rumbo. Los malos estaban ganando. Los niveles de infección eran muy altos, tanto en empresas como en los hogares. Los atacantes empezaron a organizarse en bandas criminales que no han hecho más que fortalecerse hasta hoy y comenzaban a facturar enormes cantidades de dinero. Los troyanos bancarios, las extorsiones, las estafas… En solo 10 años habíamos pasado de los virus populares (pero relativamente sencillos) creados en los primeros años de 2000 por adolescentes técnicos aficionados, a una industria del malware imparable y profesionalizada. Los atacantes estaban ganando terreno y la industria de defensa se encontraba aún inmadura para hacerles frente. Aunque cueste admitirlo, teníamos miedo de perder la guerra y necesitábamos una transformación.
Dye verbalizó ese cambio. Se mandó un mensaje simple y contundente... aunque confuso sin el contexto necesario. No sé si conscientemente o no, Dye sintetizó en una frase la necesidad de ir más allá. De apostar por otros métodos de detección integrales, más sofisticados, basados en el EDR (Endpoint Detection and Response) que no solo confiaba en la base de datos de “virus” conocidos, sino que comenzaba a entender las tácticas habituales del malware y podía detener un amplio espectro por la manera en la que infectaban y no por la firma de turno de un fichero. También, sobre esa época, se comenzaron a popular los SIEM, más tarde los SOAR, los sistemas de cortafuegos avanzados, las normas y regulaciones que obligaban a mantener entornos seguros… todo respaldado por una industria sólida, con capacidades de computación cada vez mayores y mucho más innovadora. La industria comenzaba a acelerar y hacer frente a los malos con algo más que unas herramientas anticuadas o sobrevaloradas y empezaba a liberarse de conceptos ya obsoletos.
El antivirus no murió, sino que la industria se renovó por completo. Pasó de la inocencia de mensajes tan “marketoides” y desacertados como “capaz de detener el 100% de los virus” que podía encontrarse fácilmente en la publicidad de los sistemas de detección de finales de los años 90, a realizar promesas razonables sobre las capacidades de detener un ataque. Y, sobre todo, comenzó a entender que los atacantes ahí fuera disponían de capacidades a veces superiores. También, y lo más relevante, supo admitir que lo importante no era detectar un ataque y detenerlo, sino una recuperación rápida y eficaz. El día que murió el veterano antivirus, nació una sólida industria en ciberseguridad.