Internacional. La empresa independiente AV-Test puso a prueba 11 productos de plataformas de protección de endpoints en 113 ataques diferentes para determinar hasta qué punto protegen realmente a los usuarios. Las pruebas se desarrollaron tres escenarios: Protección de los archivos de los usuarios contra ransomware prevalente, protección contra el cifrado remoto y protección contra ransomware de prueba de concepto.
El primer escenario de prueba simulaba el ataque de ransomware más típico, aquel en el que la víctima ejecuta malware en su computadora y este intenta llegar a los archivos locales. Un resultado positivo supone que la amenaza ha sido neutralizada (es decir, que se eliminaron todos los archivos de malware, se detuvieron los procesos de ejecución y se frustraron los intentos por tomar el control del sistema) y todos los archivos de usuario han quedado accesibles y sin cifrar.
En la segunda situación, el equipo protegido almacenaba archivos accesibles en toda la red local y el ataque venía de otra computadora conectada a esta misma red (el otro equipo no contaba con una solución de seguridad, lo que permitía a los atacantes ejecutar el malware, cifrar los archivos locales y buscar información accesible en los hosts vecinos).
La solución de seguridad observaba un proceso del sistema manipulando archivos locales pero no podía ver la ejecución del malware, por lo que no pudo comprobar la reputación del proceso malicioso o del archivo que la había iniciado, ni siquiera pudo escanear el archivo. El resultado es que de las 11 soluciones analizadas, solo tres ofrecieron algún tipo de protección contra este tipo de ataque, y solo Kaspersky Endpoint Security Cloud manejó la situación a la perfección. Es más, si bien el producto Sophos se activó en 93 % de los casos, solo brindó protección completa a los archivos en 7 % de los casos.
El tercer escenario muestra cómo los productos se enfrentan a malware que no habían visto antes y que no podría estar presente en las bases de datos de malware. Dado que los mecanismos de seguridad pueden identificar una amenaza aún desconocida simplemente por medio de las tecnologías proactivas que reaccionan al comportamiento del malware, los investigadores crearon 14 muestras de ransomware nuevas con métodos y tecnologías que los cibercriminales casi no usan, además de unas técnicas de cifrado nunca antes vistas. Al igual que con el primer escenario, determinaron el éxito en la prueba en función de la detección y el bloqueo, lo que incluye también mantener de la integridad de todos los archivos en el equipo de la víctima y eliminar por completo todo rastro de amenaza de la computadora.
Los resultados fueron dispares, con algunos (ESET y Webroot) incapaces de detectar este malware hecho a la medida y otros con mejor desempeño (WatchGuard 86 %, TrendMicro 64 %, McAfee y Microsoft 50 %). La única solución que demostró el 100 % del rendimiento fue Kaspersky Endpoint Security Cloud.
