Cómo funciona el antivirus

Quien soy
Joel Fulleda
@joelfulleda

Técnicas de escaneo

Para comprender mejor el funcionamiento de un antivirus es necesario conocer los componentes que lo caracterizan, es decir, los módulos de escaneo que conforman su "escudo defensivo".

Escaneo en tiempo real

La forma de escaneo en tiempo real (también llamado En acceso) es el componente del antivirus que se inicia junto con el sistema operativo, se coloca en la memoria RAM y analiza cualquier acción realizada en el equipo en tiempo real. Cada vez que se ejecuta, mueve, crea o modifica un archivo (incluso de forma "invisible", por ejemplo, al abrir un programa), el módulo analiza en tiempo real cada archivo utilizado en el proceso (binarios de archivo, DLL, etc.) buscando un archivo malicioso o sospechoso. Cuando se activa la "alarma", el módulo se encarga de bloquear cada acción del archivo y de "neutralizarlo", moviéndolo a un área protegida, ubicada dentro de las carpetas del antivirus (esta área protegida generalmente se llama cuarentena o cesta).



Este módulo es, por tanto, un componente fundamental del antivirus: no es de extrañar que esté presente en la mayoría de los programas diseñados para tal fin. Gracias al análisis en tiempo real, es posible detener una infección de raíz, evitando que los virus cambien el comportamiento del sistema y dañen los archivos personales.

Obviamente, este módulo no es infalible: si el virus está bien escondido dentro de archivos legítimos o no está presente en la "lista" especial en posesión del antivirus (a la que volveremos más adelante), podría escapar a este control, resultando casi completamente invisible. Muchos virus, de hecho, pueden activarse de forma remota o después de un cierto período de tiempo, escapando así del control del escaneo en tiempo real y, en consecuencia, generando una infección mayor.


Un módulo de escaneo en tiempo real debe ser lo suficientemente ligero y discreto durante su acción: si este no fuera el caso, el rendimiento de la computadora disminuiría significativamente después de cualquier operación iniciada por el usuario (incluso la simple apertura de un archivo o carpeta, por ejemplo).


Escaneo bajo demanda

La forma de escaneo bajo demanda (también llamado Bajo demanda) es el componente del antivirus que analiza, uno por uno, todos los archivos presentes en el sistema o en la carpeta indicada. En comparación con el módulo de escaneo en tiempo real, adopta un sistema mucho más preciso y eficazy requiere una mayor cantidad de recursos: en el pasado, no era raro tener que interrumpir su trabajo al iniciar un escaneo bajo demanda, ya que el disco duro y la CPU estaban completamente ocupados haciendo esta tarea.

Debido a esta alta demanda de recursos, este módulo se puede iniciar solo a pedido, haciendo clic en un botón específico en la interfaz del antivirus, o llamando a la funcionalidad relacionada desde el menú contextual de los archivos guardados en el sistema.

El escaneo bajo demanda también se puede programar, para que pueda hacerlo cuando su computadora no se vaya a utilizar para otras tareas.

Personalmente te recomiendo programar un análisis completo del sistema al menos una vez al mes, estableciendo un día y / o una hora en los que esté seguro de no estar presente en la PC (es mejor dejar la computadora encendida para ese propósito, para no tener que posponerla hasta el primer inicio útil).


Escaneo en la nube

Recientemente, se ha agregado un nuevo módulo a los componentes antivirus para soportar los On-Access y On-Demand: el escaneo basado en la nube. Cuando este componente está activo, todos los datos de los archivos analizados por el antivirus se enviado a través de Internet a una red de servidores interconectados, para poder beneficiarse de una potencia de cálculo mucho mayor: los servidores, de esta forma, pueden escanear los datos del archivo (o todo el archivo, si es relativamente pequeño) y proporcionar un respuesta inmediata al antivirus, que puede así eliminarlo (en el caso de un virus) o "dejarlo pasar" (en el caso de un archivo legítimo).


Este enfoque tiene dos ventajas principales: en primer lugar, el análisis se realiza en varios motores al mismo tiempo, lo que reduce drásticamente el riesgo de falsos negativos (o falsos positivos); en segundo lugar, los recursos de su computadora no se utilizan para el análisis, que se realiza exclusivamente a través de Internet.

Sin embargo, el sistema de escaneo en la nube requiere acceso constante a Internet, ya que los servidores de análisis deben estar siempre disponibles. Para evitar la saturación del ancho de banda de Internet (un problema muy común sobre todo si tienes una conexión que no es muy rápida), este componente suele entrar en acción solo para escaneos bajo demanda y / o archivos clasificados como "sospechosos". En ausencia de una conexión a Internet, el componente de nube no funciona, por lo que el antivirus debe utilizar las herramientas disponibles "fuera de línea" para bloquear posibles amenazas.


Métodos de análisis

Después de analizar los módulos de escaneo característicos de los antivirus modernos, es hora de entender cuáles son las herramientas que utilizan estos software para poder entender si un archivo es dañino o no.

Para comprender esta diferencia, imagine un obstáculo: las técnicas de escaneo podrían ser los policías, mientras que puede ver los métodos de análisis, como las herramientas utilizadas para detectar infracciones, como cámaras de velocidad, alcoholímetros, etc.

Método basado en firmas

El método más simple y rápido utilizado por los antivirus para encontrar amenazas implica el uso de una serie de "listas especiales" que contienen el empresas o definiciones virus conocidos: estos últimos son características específicas de las ciberamenazas, como comportamientos conocidos, precisa secuencias de bits dentro de archivos infectados o códigos hash. Estos archivos comprimidos se consultan cada vez que los módulos de análisis bajo demanda y en acceso analizan un archivo.


Las listas de firmas / definiciones también son actualizadas periódicamente por todos los fabricantes de antivirus, para poder "detectar" (en el menor tiempo posible) cualquier nueva amenaza reconocida. Desafortunadamente, sin embargo, este método es ineficaz para los virus puestos en circulación unos días u horas después del análisis: dado que no hay una firma conocida, el antivirus podría dejar pasar una amenaza sin activar la alarma (amenazas de día 0).

Volviendo a nuestro ejemplo sobre las autoridades, puede considerar las firmas / definiciones como fotografías policiales utilizadas por la policía para identificar a los delincuentes buscados de inmediato. Si un criminal ha cambiado sus connotaciones, o aún no ha sido atrapado con las manos en la masa (por lo que no tiene una foto policial asociada con su identidad), puede escapar fácilmente del control incluso de la patrulla más atenta.

Método basado en heurística

Si la firma de un virus no está presente en el archivo apropiado, podría bloquearse usando un componente particular del antivirus, a saber, el módulo heurístico. Ese módulo se ocupa de detener archivos sospechosos (pero no bloqueados por firmas) y monitorear su comportamiento: si los archivos siguen patrones reconocidos como altamente sospechosos o peligrosos, son inmediatamente bloqueados y puestos en cuarentena, en espera de nuevas investigaciones (es decir, la llegada de firmas sobre la naturaleza maliciosa del archivo).

Gracias a este módulo, la computadora puede defenderse de nuevas amenazas. Por otro lado, sin embargo, el sensibilidad heurística juega un papel clave en su éxito: un módulo demasiado estricto puede bloquear incluso archivos perfectamente legítimos, mientras que un módulo demasiado permisivo puede dejar pasar virus sin intervenir en absoluto.

Volviendo al ejemplo de la autoridad, puede comparar la heurística con la verificación completa que realizan los policías cuando pasa un automóvil sospechoso durante un bloqueo. Incluso si la persona detenida no es buscada, pero parece inquieta, agitada, teme controles en el automóvil o en su persona, ¡es fácil asumir que está escondiendo algo!

Métodos basados ​​en la nube

Muchas herramientas modernas, para bloquear virus, implican el uso de Internet: técnicas comoanálisis de telemetría, laheurísticas de "enjambre" (basado en los comportamientos registrados por otros usuarios que usan el mismo antivirus y encuentran el mismo archivo) y el la minería de datos ayudan a detener incluso las amenazas más peligrosas, las llevadas a cabo por virus polimórficos, es decir, capaces de cambiar de identidad (resultando así limpias en cada PC infectada), y por ransomware (capaces de esconderse en archivos insospechados).

Puede comparar métodos de análisis basados ​​en la nube, como el apoyo "externo" que se ofrece a los policías durante una gran persecución: helicópteros, comunicaciones por radio y perros guardianes.

Salvadera

Otra herramienta popular disponible en los antivirus modernos es la llamada arenero: prevé la creación de un espacio aislado, no comunicante con el exterior, en el que todos los archivos del sistema necesarios al iniciar un programa sospechoso están virtualizados o un ejecutable.

Si el ejecutable resulta ser un virus, solo puede infectar la parte del sistema virtualizado dentro de la caja de arena, sin dañar el sistema operativo real.

Gracias al sandbox, puedes evitar una gran cantidad de infecciones: si la solución de tu elección lo tiene, asegúrate de incluir todos los programas nuevos descargados, o aquellos que puedan representar vectores de amenazas importantes (ej. cada navegador y Cliente de correo electronico).

Importancia de las actualizaciones

Como puede adivinar fácilmente, en este punto, actualiza constantemente el antivirus es la única forma de mantener siempre alta la barrera de seguridad que ofrece el software. Las actualizaciones, de hecho, suelen incluir la descarga de nuevas firmas y la mejora de los módulos integrados en el antivirus.

Hasta la fecha, casi todos los antivirus están programados para descargar actualizaciones tan pronto como estén disponibles: para aquellos basados ​​principalmente en el nube, la actualización es, por otro lado, constante y en tiempo real, ya que las bases de datos se sincronizan en cuanto se agrega una sola firma. No lo creerá, ¡pero esta operación también puede ocurrir varias veces en un minuto!

La falta de actualizaciones, por otro lado, podría hacer que las funciones de protección integradas en el software antivirus sean completamente inútiles: los archivos maliciosos más recientes, en este caso, podrían actuar sin perturbaciones y dañar el sistema operativo y los datos almacenados en él. De hecho, ¡sería como no tener protección!

Normalmente, puede ajustar la frecuencia de las actualizaciones automáticas desde panel de configuración antivirus: primero asegúrese de que estén activos y tenga cuidado de establecer el intervalo de verificación / descarga en un tiempo muy bajo (una hora o menos).

Para las soluciones integradas en los sistemas operativos, como Windows Defender, puede descargar actualizaciones manualmente desde la configuración del sistema: en Windows 10, por ejemplo, tienes que ir al menú Inicio y haga clic en el botón en forma de ingranaggio, ubicado a la izquierda, para abrir la ventana ajustes.

Luego, debes hacer clic en el botón Actualización y seguridad, vaya a la sección dedicada a Windows Update y haga clic en el botón Buscar actualizaciones.

El mejor antivirus

Déjame adivinar: ahora que entiendes cómo funciona el antivirus y que tienes las ideas claras sobre tus necesidades, ¿te gustaría echar un vistazo a lo que ofrece el panorama informático para elegir el que mejor se adapte a tu caso? No hay problema, realmente creo que puedo ayudarte.

Hay muchos software de seguridad de este tipo, cada uno con sus propias características: gratis, de pago, equipado con módulos de escaneo en tiempo real, listo para escaneos bajo demanda únicamente, basado en la nube, etc. Si usas el sistema operativo Windows, por ejemplo, te sugiero que leas mi guía del mejor antivirus para Windows 10, también válida para todas las demás versiones del sistema operativo, en la que explico cómo comparar los distintos productos gratuitos y cómo elija el que sea adecuado para usted.

Si, por el contrario, necesita una solución que sea eficiente, personalizable y equipada con una gran cantidad de módulos, le sugiero que se mueva hacia un antivirus pago.

En cuanto a las soluciones de seguridad diseñadas para smartphones y tablets con sistema operativo Android, puedes echar un vistazo a mi guía del mejor antivirus para Android, en la que he enumerado las mejores aplicaciones diseñadas para preservar la integridad de los dispositivos.

Para MacOS e iOSSin embargo, no tengo mucho que decirle: estos sistemas operativos tienen protecciones de seguridad integradas extremadamente eficientes, por lo tanto, por regla general, no requieren la presencia de una solución antivirus específica.

Sin embargo, si por un motivo u otro has pasado por alto estas protecciones o aún consideras imprescindible disponer de un antivirus, puedes consultar mis tutoriales dedicados a antivirus para Mac y eliminación de virus de iPhone, en los que he tratado el tema. "seguridad" con una gran cantidad de detalles.

Cómo funciona el antivirus

Audio vídeo Cómo funciona el antivirus
Añade un comentario de Cómo funciona el antivirus
¡Comentario enviado con éxito! Lo revisaremos en las próximas horas.