Video: Coronavirus and herd immunity explained by Yale School of Public health professor (Noviembre 2024)
En la Conferencia Internacional de este año sobre software malicioso y no deseado, también conocido como MalCon 2015, Fanny Lalonde Lévesque, Ph.D. estudiante de la École Polytechnique de Montréal, demostró los fascinantes resultados que se pueden obtener cuando se tiene una gran cantidad de información sobre protección antivirus en mil millones de computadoras. Utilizando un enfoque extraído del estudio de los ecosistemas naturales, ideó algunas métricas para medir la salud de todo el ecosistema antivirus.
Es posible que haya notado la Herramienta de eliminación de software malintencionado (MSRT) que se ejecuta como parte de cada actualización de Microsoft. Específicamente, busca y elimina unas pocas docenas de familias de malware muy frecuentes, seleccionadas cada mes por el equipo de seguridad de Microsoft. También devuelve telemetría significativa a Microsoft. Según Dennis Batchelder, director del Centro de Protección contra Malware de Microsoft (MMPC), esta telemetría es la razón por la cual Microsoft no necesita pruebas de antivirus. En un discurso de apertura hace un par de años en MalCon, expuso en detalle la gran cantidad de datos recopilados por MSRT e invitó a académicos a presentar propuestas para usar esos datos en la investigación.
Millones y millones
Entre otras cosas, el MSRT informa si encontró algún malware, qué antivirus (si alguno) se instaló y si el antivirus se configuró y funcionó correctamente. La Sra. Lalonde Lévesque comenzó con cuatro meses de datos MSRT de Microsoft. Después de eliminar entradas de máquinas sin antivirus, todavía tenía casi mil millones de entradas. Hay un cierto sesgo en el conjunto de muestra, ya que algunos usuarios optaron por no ejecutar Windows Update o MSRT. Para ayudar a superar ese sesgo, seleccionó un 10 por ciento aleatorio de las entradas. Eso sigue siendo más de 90 millones de muestras.
Con la población objetivo seleccionada, analizó la salud del sistema en general. Este análisis analiza específicamente tres áreas, derivadas del análisis de ecosistemas naturales: Actividad, Diversidad y Estabilidad.
En el ecosistema antivirus, el grado de protección representa la actividad. Un antivirus instalado puede estar desactualizado, desactivado o posponer su protección en tiempo real. La Sra. Lalonde Lévesque descubrió que durante los cuatro meses, el número de instalaciones actualizadas correctamente configuradas oscilaba entre el 87 y el 88 por ciento.
La diversidad en un ecosistema natural significa que ninguna especie es totalmente dominante. La Sra. Lalonde Lévesque examinó los más de 100 productos antivirus distintos en el ecosistema antivirus y encontró un alto grado de diversidad. El producto dominante, el que tiene la mayor base instalada, nunca reclamó más del 18 por ciento del mercado.
Para examinar la estabilidad, primero redujo la lista a las computadoras que habían respondido a MSRT en los cuatro meses. Miró los cambios en el estado del antivirus y encontró resultados alentadores. Solo alrededor del 3 por ciento de las computadoras que tenían antivirus funcionando y actualizado pasaron a un estado menos seguro, y muchas computadoras en los otros estados mejoraron.
Aquí hay una sorpresa, sin embargo. En el transcurso del estudio, un tercio de las computadoras cambiaron a un antivirus diferente. Algunos asistentes especularon sobre la posibilidad de un resultado sesgado basado en la expiración de antivirus gratuito en las computadoras nuevas. Cualquiera sea la razón, eso es un gran cambio.
El paso final fue examinar qué computadoras informantes fueron atacadas por malware a pesar de tener instalado un antivirus. No es sorprendente que la baja tasa de infección de malware se correlacionó fuertemente con un antivirus actualizado y funcional. Por el contrario, una baja tasa de estabilidad, que significa muchos cambios en el antivirus instalado o el estado del antivirus, se correlacionó fuertemente con una mayor tasa de infección.
Monocultivo e inmunidad colectiva
El siguiente paso consistió en desglosar los datos para cada uno de los 126 países involucrados y hacer coincidir la salud del ecosistema antivirus a nivel nacional con las tasas de infección en todo el país. Para esta parte del estudio, la Sra. Lalonde Lévesque examinó las computadoras protegidas por antivirus y aquellas sin protección.
Algunos países exhibieron una calificación de diversidad sombría, con un producto que protege la mayoría de todos los sistemas. Estos países exhibieron habitualmente una tasa de infección más alta que el promedio, mientras que aquellos con más diversidad tuvieron una tasa más baja. Su informe completo detalla cómo verificó la importancia estadística de este resultado. En el ecosistema antivirus, como en la vida, el monocultivo no es saludable.
No es remotamente sorprendente que tener un mayor porcentaje de computadoras con antivirus funcional actualizado se correlacione fuertemente con una tasa de infección más baja. Si ese no fuera el caso, algo estaría muy, muy mal. El truco es que esta misma correlación se mantiene cuando se miran computadoras sin antivirus en el mismo país. Parece que una especie de inmunidad colectiva puede entrar aquí, por lo que incluso aquellos que renuncian a la protección antivirus obtienen ganancias al tener a sus vecinos totalmente blindados.
Luego está el efecto MSRT. Los países con una alta tasa de infección también mostraron una alta tasa de "abandono", con muchos usuarios cambiando los productos antivirus. ¿Podría ser que el simple hecho de ver que MSRT elimina el malware hace que el usuario no esté satisfecho con la protección existente y elija un proveedor diferente? Eso sería difícil de probar, dado que no hay computadoras en el estudio que nunca hayan experimentado el uso de MSRT.
Solo una vista
La Sra. Lalonde Lévesque se esforzó en señalar que los resultados de este estudio tienen ciertas limitaciones. Solo se incluyeron computadoras conectadas al sistema MSRT, por un lado. Y los resultados de infección solo están disponibles para las familias de malware generalizadas seleccionadas por Microsoft cada mes. Además, las teorías de monocultivo e inmunidad colectiva no son las únicas explicaciones de las correlaciones descubiertas.
La recopilación masiva de datos de Microsoft está disponible para su uso por investigadores calificados. Otros pueden ampliar el estudio de la Sra. Lalonde Lévesque, o despegar en una dirección completamente diferente. Espero ver lo que se les ocurre.
