¿Qué (y quién) hay detrás de tu antivirus?

Cuando pensamos en un antivirus lo primero que se nos viene a la cabeza son programas que funcionan a base de automatismos y sistemas de firmas que identifican las amenazas. De hecho ya hay quienes empiezan a proclamar que los antivirus murieron después de los 90, y que ahora ha llegado la hora de dejar paso a nuevas soluciones de seguridad.

Estamos tan acostumbrados a ellos que tendemos a subestimar su importancia en nuestro día a día. ¿Pero qué son y qué hay detrás de los antivirus? ¿Están realmente muertos? A continuación vamos a repasar estas y otras cuestiones intentando explicar en términos generales cómo funcionan, cómo detectan las amenazas e incluso las diferencias entre las soluciones gratuitas y las de pago.

Antivirus de pago vs gratuitos

¿Para qué voy a pagar por algo en Internet si me lo puedo descargar gratis? Esta es la pregunta que todos hemos hecho u oído decir alguna vez. Más allá de la evidente respuesta de que "cuando algo es gratis el producto somos nosotros", se podría decir que la gratuidad de un antivirus por lo general suele ser poco más que un simple reclamo publicitario.

Lo que suelen hacer la mayoría de estos antivirus es ofrecernos una protección básica a coste cero. Al no costarles nada tienen mucho más fácil que los usuarios empiecen apostando por ellos, y cuando llega la hora de pagar para protegerse de verdad será más sencillo que inviertan en el producto que ya conocen en vez de empezar a buscar otras alternativas.

Si quieres protección avanzada tendrás que pagar

Si tenéis un antivirus gratuito seguramente tengáis disponibles opciones de análisis y bloqueos básicos de amenazas. El truco está en que si queréis opciones avanzadas como controles parentales, protección en redes sociales y la nube o análisis de los archivos mientras se descargan tendréis que pasar por caja.

Por lo tanto no es que los antivirus gratuitos sean malos o no protejan, puede haber casos pero no tiene por qué ser así, sino que lo que hacen es darnos un pequeño caramelo gratis con la esperanza de que si queremos la gran golosina de disfrutar de una protección avanzada paguemos por esas opciones como lo haríamos con el resto de antivirus.

Al no saber qué es lo que hacen los antivirus es fácil que el común de los mortales subestime la utilidad de una protección completa y crea que no merece la pena pagar. Hoy vamos a intentar explicaros estos detalles para que por lo menos podáis tomar una decisión teniendo los conceptos más importantes resumidos sobre la mesa.

Un vistazo a…
Cómo mejorar la SEGURIDAD EN INTERNET: VPN, DNS y páginas con HTTPS

¿Quién y cómo se detectan los virus?

Para aprender un poco más sobre cómo se detectan los virus, estuvimos visitando el cuartel general de la empresa eslovaca ESET para que nos enseñasen en primera persona qué es lo que nos podemos encontrar detrás del telón. De esta manera hemos podido hacernos una idea general de cómo suelen trabajar la mayoría de empresas responsables de las grandes suites de protección.

El centro neurálgico de estas empresas suele ser una sala como la de la imagen. En ella se registran incidentes en tiempo real mediante el feedback de sus clientes o se detectan las amenazas por honeypots, que son sistemas que recopilan muestras de lo que se va viendo en la red que pueda tener comportamientos sospechosos o toque algo que no debiera en los equipos de los cibernautas.

Los antiguos métodos de firmas para identificar amenazas han evolucionado hasta crear un sistema que cataloga el malware en familias dependiendo de su comportamiento, y creando una especie de código genético de cada uno. Esto permite que cuando se detecte una nueva amenaza sea más fácil catalogarla y que la respuesta sea más rápida.

De hecho, para actuar más rápido lo que se hace es enviar muestras de estas amenazas a laboratorios. Estos laboratorios son en realidad despachos en los que técnicos especializados en cada tipo de malware trabaja para encontrar cómo neutralizarlo. Una vez desarrollado un parche contra la amenaza, este se envía primero a los usuarios que tienen activados los reportes en vivo y que por lo tanto se sabe que están siendo afectados por el problema.

A continuación se pasa a actualizar las bases con el ADN de las amenazas de la empresa, y también la de firmas como la de reputación de aplicaciones del antivirus. Una vez completada la actualización todos los usuarios de la suite de seguridad la recibirán para quedar protegidos contra estas amenazas, muchas veces sin que ni siquiera se den cuenta de que han estado en peligro.

¿Cómo actúan los antivirus?

En este gráfico que nos enseñaron durante nuestra visita a ESET, y que debería ser extrapolable al resto de empresas, vemos los siete pasos clave para la protección de nuestros equipos. Son siete capas de protección para defendernos de las tres fases que emplea un malware para infectar nuestro ordenador: preparar el ataque infectándonos, tomar el control y establecer un canal de comunicación con quien envía la amenaza.

De esta manera, en la zona verde de la cadena podremos ver la defensa preventiva con la que suelen contar los antivirus, y en la roja la manera en la que se nos protege una vez el malware ha empezado a actuar. En el medio de ambas también tenemos un punto clave en el que se puede prevenir que la amenaza actúe en el mismo momento en el que lo intenta hacer.

El primero de estos pasos es un primer escudo para proteger nuestros equipos, y lo hace analizando el tráfico entrante en busca de programas que quieran aprovecharse de las vulnerabilidades conocidas en protocolos como los SMB, RDP o RPC. Conocer el tipo de amenazas que suelen poblar la red es importante para crear un segundo paso que sería un sistema de reputación o lista negra con el que agilizar procesos de escaneo buscando amenazas conocidas en archivos y webs.

Analizar el tráfico entrante es la primera línea de defensa

Antes os hemos hablado de la especie de código genético que se crea con los rasgos principales de cada familia de programa malicioso. Este ADN también ayuda a agilizar los procesos de escaneo, ya que hace que nuestro antivirus sepa qué aspectos o comportamientos suele haber detrás de los virus para detectarlos antes de que actúen.

La experiencia de la empresa, así como saber cuales son los puntos o aplicaciones a los que se suelen dirigir los ataques también son vitales. Después de todo, si no se ha logrado detectar la amenaza a tiempo es muy importante saber dónde puede golpear, y por eso suele haber un sistema de bloqueo de exploits que monitoriza navegadores, plugings como Flash Player o aplicaciones como Microsoft Office que puedan ser utilizadas contra nosotros.

Si la defensa preventiva falla es importante poder detectar las primeras acciones de un malware antes de que cause daños serios. Sabiendo los patrones de actuación de las amenazas, que forman del ADN del que os hemos hablado, un antivirus puede tener una línea de defensa que monitoriza nuestro ordenador en busca de procesos, cambios de archivos y registros o utilizaciones inusuales de recursos que puedan delatar que estamos infectados.

Una vez detectado el problema hay que actuar lo más rápido posible. Por eso el sexto nivel de protección de nuestro ordenador suele ser la comunicación directa con la empresa que lo mantiene. ¿Os acordáis de la imagen de la sala de antes? Pues ahí es donde van a parar los informes generados por nuestro equipo, y donde se trabajará para buscar una solución que también sirva para prevenir que otras personas se vean afectadas por el mismo ataque.

Cada vez son más comunes las amenazas que hacen que nuestro ordenador pueda entrar a formar parte de un Botnet y sea controlado de forma remota. Para evitarlo entra en juego una protección muy parecida a la primera de la lista, y que busca en nuestras comunicaciones algunos patrones que puedan revelar que estamos en peligro y ayudar a bloquear ese canal de comunicación.

¿Están muertos los antivirus?

Existen varios mitos alrededor de los antivirus clásicos que algunos de nosotros solemos dar por hecho. Por ejemplo que tienen una tecnología anticuada o están basados en firmas, y que por lo tanto sólo pueden detectar un número determinado de amenazas dejándonos expuestos a las nuevas que vayan apareciendo.

Muchas de estas afirmaciones son sólo mitos surgidos con el tiempo, o divulgado a propósito por otras empresas que quieren presentarse como una alternativa a lo de siempre. Como habéis podido leer, la tecnología que utilizan estas empresas no sólo no está anticuada, sino que ha evolucionado junto a sus sistemas de firmas para ir adaptándose a los nuevos tiempos y peligros.

También hay quien dice que los antivirus convencionales son demasiado reactivos. Pero como habéis podido ver la mitad de sus líneas defensivas son proactivos y tratan de detectar cada nueva amenaza y solucionarla antes incluso de que nos pueda golpear. Es evidente que nadie es perfecto y siempre habrá amenazas más difíciles de detectar que las demás, pero de ahí a decir que los antivirus han muerto hay un trecho.

Además, los antivirus y sistemas de seguridad son ahora más necesarios que nunca. Nos dirigimos a la era del Internet de las cosas, y con tantos dispositivos conectados a la red las futuras amenazas a las que nos enfrentemos harán que los efectos de las actuales parezcan un juego de niños. Por lo tanto los antivirus no han muerto, de hecho están haciéndose fuertes para enfrentarse a la nueva era, y eso al final es bueno para todos.

Imágenes y diapositivas | ESET , Don Hankins, Perspecsys Photos y David Goehring

Ver todos los comentarios en https://www.genbeta.com

VER 12 Comentarios

Portada de Genbeta