Bitdefender es uno de los seis proveedores que aprobaron la prueba de certificación antimanipulación de AV-Comparatives para 2025. Bitdefender obtuvo la codiciada certificación antimanipulación al demostrar que impidió sistemáticamente las técnicas clave de evasión de defensa utilizadas por los ciberdelincuentes y obstaculizó la capacidad de los atacantes para eludir los controles de seguridad. Esta certificación refleja nuestro compromiso continuo de proteger a las organizaciones contra las técnicas de ciberataques en constante evolución.

Por qué es importante la protección contra manipulaciones

Las estrategias modernas de los cibercriminales incluyen obtener acceso a su entorno y luego deshabilitar los controles de seguridad en sus sistemas, de modo que sus ataques tengan mayores posibilidades de tener éxito.

Estas técnicas de evasión de defensa ayudan a los actores de amenazas a prolongar su presencia en la red e impiden los intentos de remediación. Cuanto más tiempo pase un atacante sin ser detectado en los sistemas, mayor será el daño potencial de un ataque.  

Una de las técnicas de evasión de defensa más comunes que utilizan los cibercriminales es atacar los propios productos de seguridad. Para lograrlo, el cibercriminal suele obtener acceso privilegiado al sistema.

Consiguen este nivel de acceso mediante diversas técnicas, como el robo o la recolección de credenciales, la explotación de claves de autenticación o los ataques a la cadena de suministro. Incluso con privilegios elevados, la mayoría de las soluciones de seguridad de endpoints resultan molestas, por lo que los atacantes intentan interrumpir y deshabilitar los procesos de los productos de seguridad para evadir la detección. Existen algunas formas habituales en que los atacantes lo consiguen:

• Los atacantes podrían intentar detener el software de seguridad modificando sus archivos de configuración, entradas del registro de Windows o apagando sus programas en ejecución y partes centrales del sistema.
• Los actores de amenazas suelen eliminar archivos importantes como imágenes, DLL o controladores. También pueden impedir que el software de seguridad se inicie correctamente, tanto en los programas habituales como en el sistema operativo Windows, tras reiniciar el equipo.
• A veces los atacantes desinstalan por completo el software de seguridad o cambian su configuración principal.
• En algunos casos, desactivan el software de seguridad por completo, utilizando las propias funciones del software si es posible.
• Otra táctica es cambiar las reglas del software de seguridad para que ignore la actividad maliciosa o, en algunos casos, la permita específicamente.

Si su software de seguridad puede ser manipulado, el atacante puede moverse lateralmente por las redes e infectar otros sistemas sin ser detectado. Esto permite a los actores de amenazas instalar ransomware, exfiltrar datos confidenciales y mucho más. Por eso es crucial asegurarse de que sus proveedores de seguridad obtengan la Certificación Antimanipulación de AV-Comparatives.

La evaluación de AV-Comparatives

AV-Comparatives realizó sus evaluaciones en sistemas con Windows 11, asignando a los actores de amenazas imaginarios a "usuarios con privilegios de alta integridad o integridad del sistema". Esto es importante, ya que el acceso de usuarios con privilegios es común en las brechas de seguridad modernas. El objetivo de la prueba de AV-Comparatives fue evaluar las propiedades antimanipulación de diversas soluciones AV/EPP/EDR. El proceso de prueba consistió en dos sencillos pasos:

• Paso 1: Inicie sesión en un sistema utilizando RDP (protocolo de escritorio remoto) con una cuenta de usuario privilegiada.
• Paso 2: Realice una serie de acciones para deshabilitar la funcionalidad principal de la solución de seguridad, según lo descrito en la técnica T1562 de MITRE ATT&CK®. Esto incluye la finalización de procesos, la modificación de claves de registro de Windows, la manipulación de DLL, etc.

AV Comparatives probó numerosas soluciones de seguridad, cada uno de diferentes proveedores, durante su prueba de certificación antimanipulación.

La evaluación incluyó Bitdefender GravityZone Business Security Enterprise, con la configuración mayoritariamente predeterminada y con la función de “desinstalar contraseña” habilitada. 

Los resultados de la prueba

Una de cada tres soluciones de seguridad no superó la prueba de certificación. Sin embargo, Bitdefender GravityZone superó todas las pruebas antimanipulación y obtuvo la certificación "AV-Comparatives Approved". Bitdefender GravityZone superó con éxito ocho métodos diferentes para interrumpirlo o desactivarlo:

1. Esfuerzos para terminar o suspender cualquier proceso asociado con la solución
2. Intentos de pausar, detener, deshabilitar o desinstalar el producto
3. Eliminación o modificación de cualquier clave de registro asociada con el producto
4. Manipulación, secuestro o modificación de cualquier DLL asociada con la solución
5. Cualquier intento de deshabilitar, modificar o desinstalar el agente
6. Todos los intentos de modificar o manipular el sistema de archivos del producto.
7. Cualquier intento de interferir con los controladores del kernel de la solución
8. Todos los intentos de interferir con el funcionamiento de cualquiera de los componentes o funciones de las soluciones (como la capacidad de descargar actualizaciones, realizar análisis, etc.)

Conclusión

Si es cliente de Bitdefender, la Certificación Antimanipulación de AV-Comparatives 2025 le garantiza una seguridad fiable incluso ante las tácticas de ciberdelincuentes. Nuestra capacidad para prevenir tácticas de evasión de la defensa garantiza que nuestra solución se mantendrá firme cuando otras flaqueen.  Lea el Informe Antimanipulación de AV-Comparatives 2025 completo.

Fuente: Bitdefender Central