Nosotros aceptamos encantados la invitación de César. Al fin y al cabo, uno de nuestros objetivos principales es satisfacer las necesidades de los usuarios e iniciativas como éstas nos permite tratar más de cerca con vosotros, saber qué opináis, recoger vuestras necesidades, responder a vuestras dudas y, por qué no, escuchar todas las críticas que tengáis que hacernos.
Sobre Luis Corrons
Supongo que lo primero sería hablar un poco de mí: mi nombre es Luis Corrons, tengo 32 años, vivo felizmente con mi mujer Nerea y nuestro perro Robin. Soy el director técnico de PandaLabs, el laboratorio de Panda, desde 2002 y llevo trabajando en la compañía desde 1999.
Sobre Panda
Hablar de Panda es hablar de una excepción –lamentablemente- dentro de la industria tecnológica española. Pocas empresas tecnológicas de nuestro país cuentan con franquicias en más de 50 países, filiales en otros 5, contando la propia España, y vende sus productos en casi todo el mundo.
Pese a todo, las críticas a Panda han sido muchas, y en honor a la verdad, algunas veces justificadas. Pero si de algo podemos estar orgullosos es de que hemos tratado de hacerlo siempre lo mejor posible, para tratar de adelantarnos a las amenazas a la seguridad informática. Una crítica constante a Panda –y en general a todos los antivirus-, ha sido el alto consumo de recursos de nuestros productos. Hace unos meses en una conferencia que di en Holanda, comentaba este mismo tema: las amenazas van evolucionando con el tiempo, y las compañías antivirus van adaptándose. Es ley de vida, pero puede tener unos efectos colaterales desastrosos. Aparecieron los virus y surgieron los programas antivirus. Empezaron a surgir otro tipo de amenazas y las compañías antivirus empezamos a integrar en los antivirus todo tipo de nuevas tecnologías para combatir a estas amenazas: firewall, antispam, antispyware, heurísticos, analizadores de comportamiento, filtrado de contenidos, etc. Recientemente la mayoría de compañías hemos empezado a añadir otro tipo de características como backup o "tune-up". Si bien todos lo hacemos con la mejor de las intenciones, tratar de proteger más y mejor a los usuarios, estamos cargando nuestros equipos de trabajo de tareas que en ocasiones podríamos calificar de mastodónticas.
En los laboratorios de las compañías antivirus, además de analizar los nuevos ficheros y crear firmas para detectarlos y desinfectarlos, tenemos un equipo de gente encargada de desarrollar tecnologías para poder detectar nuevos especímenes de malware. En Pandalabs en la actualidad tenemos un sistema que es capaz de clasificar la mayoría de ficheros que conseguimos: el año pasado, el 94.4% de todos las nuevas detecciones las pudimos añadir gracias a este sistema. La pregunta es obvia: ¿por qué no integrar esto en los antivirus que vendemos? ¿no protegeríamos mejor? Sí, pero la capacidad de proceso que se requiere es tal que es completamente inviable integrar esto para su ejecución en PCs de sobremesa. Además habría que sumarlo a todo lo que ya estamos metiendo y que en ocasiones parece asfixiar a nuestro PC.
Partiendo de esta base, comenzamos a pergeñar la idea de "la nube": ¿y si en vez de mandar al PC local que haga todo el trabajo duro de cálculo y decisión, dejamos gran parte de ese esfuerzo para nuestros servidores y así aligeramos de trabajo a los PCs de nuestros clientes? La idea era tentadora, y además podría dar mucha más capacidad de detección: actualmente, cuando estudias el comportamiento de un fichero en ejecución lo miras en el PC que se está ejecutando, y esa es la información en la que se basará este programa para dar un veredicto sobre el fichero. En ocasiones no hay información suficiente y no se puede tomar una decisión final sobre si es bueno o malo. En cambio, si tenemos un repositorio central donde podamos correlacionar todas las evidencias de un mismo fichero, o incluso de ficheros similares, cuentas con mucha más información para poder dar un dictamen.
En cualquier caso, sobre el papel todo es muy bonito, pero cuando aterrizas las ideas aparece la realidad: ¿qué infraestructura es necesaria? ¿qué información se puede obtener respetando la LOPD? Pero las pegas no podían hacer nada contra nuestra determinación, la idea era demasiado buena para poder tirarla abajo a las primeras de cambio. Sobre la infraestructura, la verdad es que es bastante imponente, actualmente tenemos más de 150 servidores dedicados a esto. Sobre la información a obtener, la verdad es que fue sencillo. Cuando explicamos internamente la idea, hubo quien pensó que necesitábamos subir todos los ficheros a nuestros servidores para poder analizarlos aquí J Por supuesto, nada más lejos de la realidad. Para poder clasificar un fichero nos hace falta un identificador del mismo y algo de información del fichero. Si analizas un fichero de 2 kb vamos a necesitar unos pocos bytes de información, y lo mismo es si el fichero ocupa 10, 20 ó 100 Mb. Pero lo mejor es que ni siquiera necesitamos una parte del fichero, sino un checksum (http://es.wikipedia.org/wiki/Checksum), por lo que minimizamos la información a enviar y además nos aseguramos de no llevarnos ningún dato personal.
El año pasado sacamos una prueba de concepto de esta tecnología, era un antivirus basado en web que no tenía fichero de firmas y ocupaba menos de 400kb. Sólo hacía análisis bajo demanda de los ficheros que estaban en ejecución en memoria, y aún así tuvo una gran aceptación. Tras un tiempo de uso, decidimos estudiar los datos obtenidos y de paso ver realmente si la potencia del nuevo concepta era la misma que imaginábamos. Los datos fueron muy buenos y muy preocupantes al mismo tiempo. Me explico.
De cada ordenador que lanzaba un análisis se hacía una consulta en el centro de seguridad de Windows para ver si tenía o no antivirus, si estaba activo, actualizado, etc. A la hora de trabajar con los datos separamos todos aquellos PCs que no tenían un antivirus instalado, activo y actualizado. Y comenzamos a sacar los datos por fabricante antivirus. ¿Cuál fue el resultado? TODOS los antivirus (Panda incluido) tenían clientes infectados. Publicamos un paper con todos los datos, pero os resumo lo más interesante:
- Sólo el 37,45% de los PCs tenían un antivirus activo y actualizado.
- Más del 23% de los ordenadores analizados que tenían un antivirus activo y actualizado tenían malware en memoria. Al hablar de malware (malicious software) hablamos de todo tipo de amenazas, como virus, troyanos, gusanos, Spyware, etc.
- Estos son los porcentajes de infección que encontramos de los principales antivirus:
- CA 23,32%
- McAfee 24,18%
- Panda 15,54%
- Symantec 22,20%
- Trend Micro 17,08%
Aparecen en orden alfabético porque no es un ranking. En el estudio aparecían en total más de 30 compañías diferentes, todas con unos ratios de infección que iban del 12-13% hasta el 30% aproximadamente. Si queréis saber mi opinión sobre los rankings podéis leer este post que escribí hace varias semanas al respecto.
Visto lo visto estaba claro hacia dónde debíamos ir, por lo que comenzamos a aplicar estas tecnologías a nuestra gama de productos 2009 que estábamos desarrollando. ¿En qué se diferencian de los anteriores productos? Se puede resumir en la conexión a “la nubeÓ, pero por ponerlo un poco más claro:
- Fichero de firmas mucho más pequeño (el fichero de firmas es el que se carga en memoria para detectar malware conocido).
- Conexión a "la nube" cuando se realiza un análisis para maximizar la detección de malware.
Esto es en plan muy resumido, tiene otras cosas, como un nuevo el motor antispam de Commtouch, con un mayor porcentaje de detección de correo no deseado y con firmas mucho más pequeñas, en general consume menos CPU y menos memoria, además de detectar mucho más gracias a la nube. Si queréis probarlo ahora tenemos una beta pública, sortean 150 Nintendo DS a los primeros que reporten incidencias nuevas. Lamentablemente (aunque perfectamente comprensible) no dejan participar a gente de la compañía aunque reportemos incidencias. Creo que me la tienen jurada porque las dos veces en la historia de Panda en la que se hicieron betas internas (sólo para gente que trabajaba en la compañía) asociadas a premios en función de las incidencias encontradas, calidad de las mismas, etc. gané yo 😉
Al que le apetezca probar la beta, lo puede hacer en http://www.pandasecurity.com/spain/promotions/betatest/
¿Y ahora qué? La verdad es que el ideal que teníamos no se ve completamente reflejado en los productos 2009, ya que somos muy ambiciosos. No puedo hablar de ello aún, pero digamos que nuestra idea es algo más parecido a Nanoscan, un antivirus muy muy pequeño y ligero. Estamos convencidos de que es la vía correcta, recientemente Tren Micro anunció que van a sacar productos con conexión a “la nubeÓ, y con el tiempo el resto de nuestros competidores nos irán siguiendo. En Panda esta mejora tecnológica es fruto de una política realmente comprometida con el I+D. Invertimos un 25% de nuestro presupuesto en investigación, y la razón es sencilla: estar un paso por delante de nuestros competidores y de las amenazas de Internet es lo que nos diferencia. Lo que nos hace mejores. En definitiva, lo que nos da de comer.
Todo esto será discutible, por supuesto. Y seguramente habrá muchas críticas a Panda que no he reflejado en este blog (porque tampoco quería abusar de la paciencia de los lectores). Por eso, invito a todos aquellos usuarios que quieran comentarnos algo sobre la compañía, sus productos o que tengan alguna duda a participar en el foro que tendremos abierto en este mismo blog durante la próxima semana.
Un saludo,
Luis Corrons, director técnico de PandaLabs