MENU
08 de mayo de 2025 | Texto: Markus Selinger | Antivirus para Windows
  • Compartir:

Prueba ATP: ataques de ransomware y ladrones de información

Los que encabezan los ataques suelen ser ransomware y ladrones de información. Si los ataques tienen éxito, a continuación viene el chantaje y la petición de un rescate, los datos acaban en Internet para su venta o ambas cosas. Todo esto no pasa si un buen software de seguridad impide los ataques de inmediato. Pero, ¿son capaces de hacerlo? La actual prueba de protección ampliada, la prueba ATP, examinó 25 paquetes de seguridad para usuarios privados y empresas en 10 escenarios en los que se libró una lucha en directo contra ransomware y ladrones de información. La prueba de Advanced Threat Protection (protección avanzada contra amenazas) muestra que muchos proveedores cumplen sus promesas de protección. No obstante, en el caso de algunos productos, la prueba también revela fallos que tienen como consecuencia la encriptación del sistema y el robo de los datos.

25 productos de seguridad en la prueba ATP con Windows: los paquetes de seguridad para usuarios privados y empresas defienden contra ladrones de datos y ransomware
25 productos de seguridad en la prueba ATP con Windows:

los paquetes de seguridad para usuarios privados y empresas defienden contra ladrones de datos y ransomware

zoom

Lo que cuentan las víctimas de ataques exitosos con ransomware o ladrones de datos suena casi siempre igual: si un ordenador de una red es infectado, el atacante se expande rápidamente y encripta casi todo lo que encuentra allí o secuestra los datos. Si no cuentan con copias de seguridad y planes de emergencia, las empresas en especial sufren dificultades o incluso acaban en la insolvencia, tal y como han publicado algunos medios en los últimos tiempos. 

Pero la situación no tiene por qué ser tan drástica si el usuario o la empresa utiliza una buena solución de seguridad que detenga a los atacantes. Si bien, esto no significa que haya que dejar de tomar otras medidas de protección como actualizaciones, copias de seguridad y planes de emergencia.

En la reciente prueba ATP de enero y febrero de 2025 se examinaron 25 soluciones para usuarios privados y empresas en 10 escenarios en vivo, en los que 5 ejemplares de ransomware y 5 representantes de ladrones de información atacaron los sistemas Windows 10 del laboratorio. Casi un 75 por ciento de los ordenadores de todo el mundo funcionan con un sistema operativo Windows. De estos ordenadores, casi un 60 por ciento tiene Windows 10. No obstante, el porcentaje de Windows 11 va aumentando cada vez más rápido y entretanto representa ya casi un 40 por ciento.

ATP: 25 productos de seguridad en una prueba en vivo

En la prueba participaron 10 productos para usuarios privados y 15 soluciones para terminales de empresas. Los paquetes para usuarios finales son productos de AhnLab, Avast, AVG, Avira, Bitdefender, ESET, F-Secure, G DATA, McAfee y Norton.

Las soluciones examinadas para empresas proceden de AhnLab, Avast, Bitdefender (con 2 versiones), Crowdstrike, ESET, Kaspersky (con 2 versiones), Microworld, Qualys, Rapid7, Sophos, Symantec, Trellix y WithSecure.

Prueba ATP: 10 paquetes de seguridad para usuarios privados

En la prueba de Advanced Threat Protection con Windows 10, muchos paquetes de seguridad demostraron que cumplen sus promesas de protección

zoom ico
Prueba ATP: 15 paquetes de seguridad para terminales de empresas

En la compleja prueba de Advanced Threat Protection realizada con Windows 10 en 10 escenarios en vivo muchas soluciones demostraron lo bien que protegen

zoom ico

1

Prueba ATP: 10 paquetes de seguridad para usuarios privados

2

Prueba ATP: 15 paquetes de seguridad para terminales de empresas

Muchos de los fabricantes de seguridad consiguieron en la prueba la máxima puntuación de un 35 en protección. Esta puntuación es la suma de los resultados en 10 escenarios reales, 5 de ellos con ransomware y 5 con ladrones de datos. En el caso del ransomware, pueden llegar a obtener 3 puntos en cada escenario y en el de los ladrones de datos, hasta 4 puntos. Con cada acción de defensa, un producto puede ganar medio o un punto entero. El laboratorio describe cada acción en una matriz basada en el estándar MITRE ATT&CK. Lo interesante de la prueba ATP es que, aunque un producto no detecte de inmediato al atacante, puede activar otras acciones de defensa posteriores que detengan el ataque. La prueba muestra exactamente en qué paso lo consiguen o no.

Mientras que muchos productos obtuvieron los 35 puntos máximos para la puntuación en protección, un total de 5 productos tuvieron problemas y perdieron puntos importantes.

Escenarios y técnicas de ataque

En esta prueba ATP se utilizó en los 10 escenarios con Windows una técnica de ataque especial. A continuación encontrará una explicación técnica del ataque.

UAC bypass: El control de cuentas de usuario (User Account Control, UAC) es una función de seguridad de Windows destinada a proteger el sistema operativo frente a cambios no autorizados. Los atacantes pueden eludir el mecanismo UAC para ampliar sus privilegios y ejecutar tareas. En nuestras pruebas implementamos la elusión del UAC haciendo un uso indebido de la interfaz COM IFileOperation para copiar o desplazar archivos con privilegios elevados sin que aparezca una solicitud de permiso UAC. El método funciona iniciando un proceso que ya dispone de privilegios elevados (un proceso con una función auto-elevate), como mmc.exe, el archivo ejecutable de la Consola de Administración de Microsoft, en el caso de esta prueba. A continuación se carga la DLL en un proceso elevado. Nosotros utilizamos este entorno para ejecutar directamente nuestro malware de ataque o instalar un servicio de Windows controlado. 

Los 10 escenarios de prueba

Todos los escenarios de ataque están documentados de acuerdo con los estándares de la base de datos de MITRE ATT&CK. Los diferentes subpuntos, por ejemplo “T1566.001”, aparecen en la base de datos de MITRE para “Techniques” bajo “Phishing: Spearphishing Attachment”. Cada paso de la prueba, por lo tanto, está definido por especialistas y es trazable y comprensible. Además se explican todas las técnicas de ataque y cómo se hace uso del malware en ellas.

01
zoom ico
02
zoom ico
03
zoom ico
04
zoom ico
05
zoom ico
06
zoom ico
07
zoom ico
08
zoom ico
09
zoom ico
10
zoom ico

1

01

2

02

3

03

4

04

5

05

6

06

7

07

8

08

9

09

10

10

Resultados de los productos para usuarios privados en la prueba ATP

En la prueba actual, los expertos en seguridad examinaron 10 productos de AhnLab, Avast, AVG, Avira, Bitdefender, ESET, F-Secure, G DATA, McAfee y Norton. Muchos productos ofrecieron un buen rendimiento y detuvieron a los atacantes en todos los escenarios obteniendo, por tanto, los 35 puntos posibles para su puntuación en protección. 

Los productos de AhnLab, Avast, AVG, Bitdefender, F-Secure, McAfee y Norton detuvieron a todos los atacantes sin excepción en los 10 escenarios. Por ello recibieron los 35 puntos máximos.

Avira detectó y detuvo sin fallo alguno a 9 atacantes. Pero un ladrón de información pudo pasar inadvertido, llevar a cabo su labor y robar los datos. Esto supone una pérdida de 4 puntos, quedándole al final 31 puntos.

ESET tampoco pudo ni detectar ni detener a un ladrón de datos, por lo que perdió los 4 puntos correspondientes. Pero, además, en otro caso no detectó a un ransomware, si bien funcionaron otras medidas de protección y pudo poner fin al ataque. No obstante, esto le supuso a ESET la pérdida de un punto más. Al final le quedaron 30 de los 35 puntos posibles.

G DATA tuvo problemas con un ladrón de información y un ransomware, sencillamente no los detectó y estos pudieron robar los datos en un caso y encriptar el sistema en el otro. Esto supone una pérdida de 7 puntos en el resultado final que fue de 28 puntos.

Para que un producto consiga el certificado “Advanced Certified” de AV-TEST tiene que obtener al menos un 75 por ciento (26,5 puntos) de los 35 puntos máximos. Casi todos los productos lo consiguieron en la prueba ATP de enero y febrero de 2025. G DATA es el único que no recibe un certificado. Si bien alcanzó la puntuación necesaria, los certificados solo se entregan a quienes también han sido certificados en la prueba regular mensual y cumplen sus criterios.

Resultados de los productos para empresa en la prueba ATP

Las soluciones para terminales de empresas demostraron una gran capacidad de defensa contra ransomware y ladrones de datos en la prueba del laboratorio. De los 15 productos examinados, 13 superaron la prueba sin fallos. Detectaron y detuvieron a los 10 atacantes y por eso consiguieron los máximos 35 puntos para su puntuación en protección: AhnLab, Avast, Bitdefender (con ambas versiones), Crowdstrike, Kaspersky (con ambas versiones), Microworld, Qualys, Sophos, Symantec, Trellix y WithSecure.

La solución de Rapid7 no detectó el ransomware en un escenario, por lo que este pudo encriptar el sistema sin obstáculos. Esto le costó los 3 puntos en la valoración. En otra ocasión, con un ladrón de datos, detectó al atacante, pero no pudo bloquearlo. Así que el malware pudo escanear y robar los datos. Esto supuso otra deducción de 3,5 puntos. Al final, Rapid 7 terminó con una puntuación en protección de 28,5 puntos en vez de 35.

La solución de ESET lo tuvo difícil en esta prueba. La defensa fracasó con uno de los ladrones de información, por lo que perdió los datos, así como los 4 puntos posibles. En otros 4 casos, la solución de ESET sí detectó al atacante, pero en un principio solo pudo bloquearlo parcialmente. Los atacantes colaron una DLL de ataque en los sistemas. Eso sí, de ahí no pasaron, puesto que otros mecanismos de defensa detuvieron los ataques por completo. Sin embargo, esto le costó a ESET una deducción de otro punto en cuatro ocasiones. Al final, ESET consiguió 27 de los 35 puntos posibles para la puntuación en protección.

Para que un producto para empresas sea merecedor del certificado “Advanced Approved Endpoint Protection“ tiene que obtener al menos un 75 por ciento (26,5 puntos) de los 35 puntos máximos en la puntuación de protección. Casi todos los productos consiguieron este objetivo. Rapid7 es el único que no recibe un certificado. Si bien alcanzó la puntuación necesaria, los certificados solo se entregan a quienes también han sido certificados en la prueba regular mensual y cumplen sus criterios.

Prueba ATP: escenarios modificados y resultados variables

La prueba ATP utiliza en cada ronda peligrosos ejemplares de ransomware y ladrones de datos. También varían continuamente las técnicas de ataque utilizadas. Esto hace que sea muy interesante la comparación de los resultados de un producto en las diferentes pruebas realizadas a lo largo del año. En la prueba actual, algunos productos tuvieron sus problemas con el malware y la técnica Bypass utilizada. En bastantes casos se detectó el atacante, pero fueron necesarios pasos posteriores para detenerlos. Esto le costó puntos al producto en la prueba, pero, al fin y al cabo, el usuario y la empresa permanecieron protegidos.

Solo en unos pocos casos los productos de seguridad no detectaron a los atacantes o no los detuvieron tras la detección. Las puntuaciones en protección son un reflejo de ello.

Una cosa hay que dejar clara: 7 productos para usuarios privados y 13 soluciones para empresas brillaron en los 10 escenarios de ataque con una defensa perfecta y merecieron recibir el distintivo con la máxima puntuación, además del certificado de la prueba.

Usuarios Privados 02/2025

V3 Internet Security
Free Antivirus
Internet Security
Internet Security for Windows
Total Security
Security Ultimate
Total
Internet Security
Total Protection
Norton 360

Soluciones para Empresas 02/2025

V3 Endpoint Security
Ultimate Business Security
Business Security
Business Security Enterprise
Falcon Sensor
PROTECT Advanced
Next EDR Foundation
Small Office Security
eScan Enterprise EDR
Endpoint Protection
Rapid7
Intercept X Advanced
Endpoint Security Complete
Endpoint Security
Elements Endpoint Protection

Social Media

¡Nos gustaría mantenernos en contacto con usted! Reciba de manera sencilla y periódica las noticias actuales y las publicaciones sobre pruebas.