Ramsdata

+48 22 671 24 89

kontakt@ramsdata.com.pl

logo.png
CONTACTO

CDR profundo: qué es el desarme profundo de archivos y por qué es más eficaz que el antivirus

Los antivirus detectan las amenazas que ya conocen. El problema es que los atacantes lo saben muy bien y modifican regularmente sus herramientas para eludir las firmas. Exploits de día cero, técnicas avanzadas de ofuscación, ataques incrustados en macros de documentos de Office o en el contenido activo de archivos PDF: son amenazas que los antivirus tradicionales tratan mal o no tratan en absoluto. Deep CDR de OPSWAT aborda el problema desde una dirección completamente distinta.

Principales conclusiones

  • Deep CDR (Desarme y Reconstrucción de Contenidos) elimina las amenazas de los archivos deconstruyéndolos y reconstruyéndolos
  • No se basa en la detección de malware: elimina todo el contenido activo potencialmente peligroso
  • El resultado es un archivo limpio y totalmente utilizable, libre de amenazas conocidas y desconocidas
  • Deep CDR admite más de 100 formatos de archivo, incluidos Office, PDF, imágenes y archivos.
  • Es especialmente eficaz donde fallan los antivirus tradicionales: en ataques de día cero y sin archivos.

Índice

  1. ¿Por qué no basta con el antivirus tradicional?
  2. ¿Qué es el CDR Profundo y cómo funciona?
  3. ¿Qué elementos se eliminan durante el proceso CDR?
  4. Formatos de archivo admitidos
  5. Deep CDR vs sandboxing – diferentes enfoques para el mismo problema
  6. Aplicaciones prácticas: ¿cuándo tiene sentido el CDR Profundo?
  7. Integración con MetaDefender
  8. PREGUNTAS FRECUENTES
  9. Resumen

¿Por qué no basta con el antivirus tradicional?

Los antivirus tradicionales funcionan según el principio de comparación de firmas: comparan un archivo o su hash con una base de datos de amenazas conocidas. Este enfoque tiene un fallo fundamental: sólo funciona si la amenaza ya es conocida. Hay un lapso de tiempo entre el momento en que un nuevo malware se utiliza por primera vez en un ataque y el momento en que su firma llega a las bases de datos antivirus, y es este lapso de tiempo lo más peligroso.

Además, incluso las amenazas conocidas pueden enmascararse simplemente modificando el código, cambiando las cabeceras de los archivos o utilizando técnicas de ofuscación. Las investigaciones demuestran que ni siquiera el escaneado simultáneo con decenas de motores antivirus garantiza la detección de todas las amenazas.

¿Qué es el CDR Profundo y cómo funciona?

Deep CDR (Desarme y Reconstrucción de Contenido) es una tecnología que invierte el enfoque de la protección. En lugar de buscar amenazas, asume que cualquier archivo podría contener una amenaza y elimina todos los elementos que pudieran ser maliciosos, independientemente de si figuran o no en alguna base de datos de malware.

El proceso funciona en tres pasos. La primera es la deconstrucción: el archivo se descompone en sus elementos constitutivos según la especificación de formato. La segunda es la limpieza: se eliminan todos los elementos activos (macros, scripts, objetos incrustados, contenido activo). La tercera es la reconstrucción: el archivo se recompone de forma limpia, conservando su contenido útil.

¿Qué elementos se eliminan durante el proceso CDR?

Deep CDR elimina una amplia gama de elementos potencialmente peligrosos de los archivos. En los documentos de Office, éstos incluyen macros VBA (el vector de ataque más común), objetos OLE incrustados (que pueden contener archivos ejecutables), contenido activo (enlaces a recursos externos, formularios) y campos de actualización automática.

En los archivos PDF, se eliminan JavaScript (utilizado habitualmente en los exploits PDF), scripts ActionScript, ejecutables incrustados y enlaces a recursos externos. En imágenes – datos ocultos en metadatos y cargas útiles incrustadas esteganográficamente. En archivos – se analiza todo recursivamente, archivo por archivo.

Formatos de archivo admitidos

La tecnología Deep CDR de OPSWAT admite más de 100 formatos de archivo, incluidos todos los formatos de Microsoft Office (docx, xlsx, pptx y versiones binarias anteriores), PDF, formatos OpenDocument, imágenes (JPEG, PNG, TIFF, BMP), archivos HTML, archivos comprimidos (ZIP, RAR, 7z) y muchos más.

Esto es crucial: una solución sólo es útil si admite los formatos que se utilizan realmente en la organización. La compatibilidad con los formatos binarios heredados de Office es especialmente importante en entornos en los que aún circulan archivos .doc y .xls antiguos.

Deep CDR vs sandboxing – diferentes enfoques para el mismo problema

El Sandboxing es un enfoque alternativo para protegerse de amenazas desconocidas: se ejecuta un archivo en un entorno aislado y se observa su comportamiento. Si se comporta de forma maliciosa, se bloquea.

El CDR profundo y el sandboxing resuelven el mismo problema con métodos diferentes y funcionan mejor juntos. El sandboxing lleva tiempo: hay que iniciar y vigilar el archivo, lo que puede llevar de minutos a decenas de minutos. Deep CDR es rapidísimo: tarda segundos en reconstruir un archivo. El Sandboxing puede no detectar amenazas que sólo se activan cuando se cumplen determinadas condiciones. Deep CDR elimina las amenazas independientemente de las condiciones de activación.

Aplicaciones prácticas: ¿cuándo tiene sentido el CDR Profundo?

La CDR profunda tiene sentido siempre que los archivos externos entren en un entorno protegido: pasarelas de correo electrónico (purgando los archivos adjuntos antes de la entrega), portales web que aceptan archivos de usuarios externos, transferencias de archivos entre redes con distintos niveles de confianza, escaneado de medios extraíbles al entrar en una red protegida.

Es especialmente valioso en entornos en los que el tiempo de respuesta es esencial: una pasarela de correo que borra archivos en segundos no retrasa el flujo de la comunicación.

Integración con MetaDefender

Deep CDR es una de las tecnologías clave de la plataforma OPSWAT MetaDefender y funciona junto con la multiexploración y la DLP proactiva. La multiexploración detecta las amenazas conocidas, Deep CDR elimina las amenazas potencialmente desconocidas y Proactive DLP protege contra la fuga de datos sensibles. Juntos, forman una protección multicapa que hace frente a las amenazas que no pueden contrarrestarse eficazmente con un solo método.

PREGUNTAS FRECUENTES

¿Deteriora Deep CDR los archivos? ¿Se pueden abrir normalmente después de la limpieza? El archivo limpiado es totalmente utilizable: contiene el contenido original (texto, gráficos, tablas), sólo que sin los elementos activos. Si el archivo estaba formateado, se conserva el formato.

¿Qué ocurre cuando un archivo está demasiado dañado para ser reconstruido? OPSWAT ofrece una política configurable: un archivo puede bloquearse, ponerse en cuarentena o marcarse para revisión manual.

¿Funciona el CDR Profundo en tiempo real? Sí: se tarda entre una fracción de segundo y unos segundos en reconstruir un documento típico, lo que permite utilizarlo en pasarelas de correo electrónico sin retrasos apreciables.

¿Es el CDR un sustituto del antivirus? No – CDR y antivirus son complementarios. El CDR elimina amenazas que el antivirus no ve. El antivirus detecta amenazas que el CDR no necesita eliminar. Juntos proporcionan un mayor nivel de protección.

Resumen

Deep CDR de OPSWAT es una tecnología que cambia el enfoque de la protección contra las amenazas transmitidas por archivos: de la detección reactiva a la eliminación preventiva. Al purgar cada archivo de contenido activo potencialmente malicioso, Deep CDR protege contra los virus de día cero, los macrovirus y las técnicas avanzadas de ofuscación allí donde los antivirus tradicionales fallan.

CDR profundo: qué es el desarme profundo de archivos y por qué es más eficaz que el antivirus

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

error: Content is protected !!