Con el paso de los años, los desarrolladores de virus malware y expertos en ciberseguridad han estado en una guerra abierta tratando de anularse los unos a los otros. Recientemente, la comunidad de desarrollo de virus y malware ha creado una nueva estrategia que evade la detección de una manera muy simple: comprobando a qué resolución tienes configurada la pantalla y actuando en consecuencia.
Ejecutar malware, virus o software sospechoso en una máquina virtual en lugar de en tu propio PC puede tener sentido para poder desarrollar remedios contra éstos, o simplemente para comprobar las vulnerabilidades del software. Pero ahora los virus y malware son capaces de detectar si estás en una máquina virtual o en el PC local simplemente comprobando la resolución de la pantalla.
Por qué a los virus y malware les importa la resolución de tu pantalla
Para encontrar la principal causa de por qué los desarrolladores de virus y malware han hecho que sus «programas» tengan en cuenta la resolución de la pantalla tenemos que echar un vistazo a sus peores enemigos: las máquinas virtuales.
Las máquinas virtuales son elementos muy útiles para expertos en ciberseguridad. Actúan como si fuera un PC dentro del PC, de manera que puedes instalar otros sistemas operativos o probar software potencialmente peligroso sin miedo a que afecte a tu máquina local. Por ejemplo, si tienes un PC con Windows 10 pero quieres probar Linux, puedes crear una máquina virtual con sistema operativo Linux en tu PC con Windows 10. Actuará como un PC con Linux, pero se mostrará en una mera ventana dentro de tu PC con Windows.
Si tienes un archivo con virus, comenzará infectando a la máquina virtual y ahí se quedará, ya que una máquina virtual se comporta como un PC y el virus o malware pensará que está infectando un PC local normal y corriente. Como tal, solo dañará e infectará a la máquina virtual, la cual siempre puedes borrar completamente y crear otra, quedando tu PC local protegido y seguro, y es por eso que los expertos en ciberseguridad las utilizan para desarrollar contramedidas contra estos dañinos virus.
No obstante, hay un fallo en este método de probar aplicaciones. Cuando se crea una máquina virtual para investigar un malware o virus, normalmente el investigador no está interesado en las funciones adicionales de la máquina virtual y no instala el software de gestión de la máquina. Ese software habilita funciones adicionales, como por ejemplo poder cambiar la resolución de la pantalla; si no lo usa, la VM (Virtual Machine, máquina virtual) normalmente bloquea la ventana en dos posibles resoluciones: 800 x 600 y 1024 x 768 píxeles.
Estas dos resoluciones son importantes para los desarrolladores de malware y virus, ya que son tan antiguas que ningún PC local (ni siquiera portátiles) las utilizan, y entonces el virus sabe que no se está ejecutando en un PC local.
Cómo hacen los malware para evitar ser detectados
Ahora viene lo interesante… ya hemos visto que los malware y virus pueden detectar la resolución de pantalla para saber si están siendo ejecutados en un PC local o en una máquina virtual pero, ¿para qué les sirve eso? Si el virus opera bajo estas condiciones, es bastante probable que esté siendo investigado por un experto en ciber seguridad y por lo tanto activa un mecanismo de auto destrucción. Literalmente, el virus o malware no hace nada y se elimina a sí mismo del sistema, con el objetivo de no revelar sus secretos al investigador.
Desde la perspectiva de un investigador, el programa se ha ejecutado y no ha infectado el equipo, por lo que debe ser benigno, y éste le asignará un informe «falso negativo», lo que permite que el malware no sea detectado posteriormente por antivirus y programas anti malware.
¿En qué afecta esto a los usuarios?
Por supuesto, esto no significa que si usas resoluciones de 800 x 600 o 1024 x 768 en tu PC vayas a estar a salvo de virus o malware (bueno, realmente de este tipo de malware en realidad sí), simplemente significa que cuando los expertos en ciberseguridad estudian un programa para determinar si es seguro o no, esta táctica puede crear un falso negativo y que un programa infectado pase como seguro, evitando ser detectado por antivirus de todos los tipos.
Lo mejor que puedes hacer es, por supuesto, tener tu sistema de protección contra virus y malware siempre actualizada, ya que aunque inicialmente estos programas puedan dar falsos negativos en los antivirus y pasar como programas benignos, en cuanto se den cuenta del error lo solventarán a la mayor brevedad posible.
