REVISTA .SEGURIDAD | 1 251 478, 1 251 477 | REVISTA BIMESTRAL

Antivirus: Una Herramienta Indispensable para Nuestra Seguridad

Debido a que en la actualidad el intercambio de información y la comunicación entre personas son realizados muy frecuentemente por medios electrónicos, se debe contar con mecanismos de protección para nuestros equipos de cómputo, como una medida de protección de la confidencialidad, la integridad y la disponibilidad de nuestra información.

De las herramientas fundamentales y requeridas para la protección de nuestros equipos encabeza la lista el software Antivirus, el cual es un programa de computadora, que mediante un escaneo de archivos tiene como objetivo la detección, identificación y eliminación de malware.

El software antivirus está formado por tres partes principales, tal como se muestra en la Figura 1:

n04-art02-elemento-antivirus
Figura 1. Partes de un software antivirus

Interfaz de usuario: es el medio por el cual un usuario puede comunicarse e interactuar con el software antivirus y realizar configuraciones. (véase Figura 2).

n04-art02-interface-antivirus
Figura 2. Interfaz de usuario de un software antivirus

Motor de búsqueda: el motor de búsqueda es el cerebro del software antivirus ya que se encarga de la búsqueda y detección de malware, utilizando para ello la base de datos de definiciones de virus. Conforme nuevos virus son creados, el motor debe de actualizarse para que pueda realizar la búsqueda en las áreas, los archivos o sistemas que no se hayan revisado antes.

Base de datos de definición de virus: contiene los archivos actualizados sobre las firmas del malware y es utilizada por el software antivirus para lograr su detección. Es esencial que la base de datos de definición de virus esté siempre actualizada para una eficaz y pronta detección que incluya a los virus más recientes.

Existen tres tecnologías utilizadas por los programas antivirus para realizar la detección de malware, estas son:

a) Coincidencia de firmas (Matching signature): Esta tecnología se basa en la búsqueda de coincidencias entre los archivos escaneados y los registros de las firmas de malware (contenidos en la base de datos de definición de virus). Una detección ocurre cuando se presenta una coincidencia entre los puntos en comparación. El inconveniente de esta tecnología radica en la necesidad de contar previamente con la firma asociada al malware para poder realizar su detección, lo cual requiere que el usuario realice actualizaciones periódicas a la base de datos que contiene las firmas del malware.

b) Heurístico (Heuristic): Esta tecnología consiste en que el software antivirus puede realizar la detección de malware del que aún no cuente con la firma asociada. Esto es posible mediante el uso de una base de datos de firmas de comportamiento del malware. Para llevar a cabo la detección, el software antivirus que utiliza esta tecnología, analiza el código para cualquier rutina o subrutina y lo compara con las firmas de comportamiento almacenadas en la base de datos (nivel estático), por otro lado si la tecnología heurística recurre a la ejecución en un máquina virtual que permite analizar el comportamiento del malware se denomina de nivel dinámico. La desventaja del uso de esta tecnología es que debido a su funcionamiento puede provocar falsos positivos.

c) Verificación de integridad (Integrity checksum): Esta tecnología se fundamenta, en la idea de que un malware que desea infectar un sistema, deberá realizar modificaciones en el mismo para cumplir con su objetivo. Un ejemplo de ello podría ser la presencia de un virus que sobrescribe un archivo del sistema, agregando el código malicioso dentro del archivo (principalmente ocurre en este tipo de archivos debido a que se encuentran en áreas reservadas y son accedidos de forma mínima por los usuarios). El método recurre a la obtención de la lista de verificación de los archivos limpios de malware y cualquier alteración en este valor indicará que se ha presentado una modificación, lo cual puede indicar presencia de un malware. Las desventajas del uso de este método es la generación de falsos positivos, así como su ineficiencia hacia la detección de los macro virus o aquellos virus capaces de insertarse en la memoria y lograr su ejecución sin necesidad de estar almacenados de forma previa dentro de un archivo.

Otro punto importantes es el proceso de detección de malware esto se realiza mediante dos procedimientos de operación los cuales están definidos en la Tabla 1:

 

 

Proporciona una protección constante cuando se requiere trabajar con un archivo o dispositivo en particular.

PROCEDIMIENTOS DE OPERACIÓN
Funcionamiento

TIEMPO REAL

(Real Time)

ESCÁNER BAJO DEMANDA

(on- demand scanner)

Realizan la búsqueda de malware cuando se tiene acceso a un  archivo o se ejecuta alguna aplicación.

El usuario puede indicar en cualquier momento, la revisión del archivo, carpeta o contenido en busca de malware.

Ventajas Puede ser programado para realizar comprobaciones en todos los archivos para la búsqueda de código malicioso.  
Desventajas

Sólo realiza la revisión cuando se tiene acceso al archivo, en caso de que un archivo infectado esté alojado en el disco duro y no se acceda a él, el software antivirus no podrá realizar la detección.

Ofrece una buena evaluación del sistema en un único punto en el tiempo (únicamente en el momento en que es invocado).

 

Tabla 1. Procedimientos de operación

Los criterios de evaluación que los usuarios caseros, las empresas y las instituciones podrían considerar para seleccionar el software antivirus adecuado a sus necesidades se presentan en la Tabla 2:

CRITERIO DE EVALUACIÓN DESCRIPCIÓN

Detección

Dos aspectos importantes dentro de este criterio son: el número de virus que el software puede detectar (conocido como velocidad de detección) y bajo qué circunstancias puede realizarla (detección en recursos compartidos de red, a través de correo electrónico o si está ejecutándose en memoria).

Tecnología

Verificar el tipo de tecnologías que incluye el producto (compatibilidad con software y hardware, proceso de operación --real time, on Access scanner--, tecnologías utilizadas para realizar la detección.
Mantenimiento

Debido a la importancia de la actualización de la base de datos de definiciones de virus, es recomendable elegir un antivirus que sea fácil de actualizar y para el cual, las actualizaciones de la base de datos se realicen con mayor frecuencia.

Además deberá evaluarse el tiempo en que se lleva a cabo el proceso de actualización.

Desempeño Impactos que afecten el rendimiento del equipo de cómputo donde fue instalado.
Manejabilidad En el caso de ambientes empresariales, la importancia de poder centralizar la gestión del software antivirus, que permita establecer los periodos de actualización, el establecimiento de políticas, verificar la protección de los clientes y de los servidores.
Soporte técnico Conocer los diferentes niveles de soporte disponibles (usuario casero, soluciones corporativas), además de los medios para brindar el soporte (en línea, teléfono de contacto). Así como también las alertas sobre malware desconocido y que represente un riesgo alto para los equipos de cómputo.
Revisiones y evaluaciones de terceras partes Evaluaciones publicadas por terceras partes, que permitan conocer a fondo el desempeño de un software antivirus bajo procedimientos particulares de evaluación.
Productos y vulnerabilidades Identificar las vulnerabilidades detectadas en el software antivirus.

Perfil del distribuidor

Investigar información sobre los distribuidores, su posición y reconocimiento  en el mercado, así como el tiempo que llevan en él.

Tabla 2.  Criterios de evaluación

Es importante que antes de seleccionar un software antivirus se lleve a cabo un análisis de las distintas opciones que existen actualmente en el mercado y se consideren criterios que contribuyan a elegir la opción que satisfaga mejor las necesidades de seguridad. Ya que tengas un antivirus instalado en tu equipo de cómputo, no olvides actualizarlo diariamente y complementarlo con otras herramientas (firewall, IDS, antispam, antispyware).

Referencias:

SANS Institute InfoSec Reading Room
http://csrc.nist.gov/publications/nistpubs/800-92/SP800-92.pdf
http://csrc.nist.gov/publications/nistpubs/800-83/SP800-83.pdf
http://www.antivirusworld.com/articles/antivirus.php
http://www.pcworld.idg.com.au/article/189865/antivirus_software?pp=4

 

UNAM

[ CONTACTO ]

Se prohíbe la reproducción total o parcial
de los artículos sin la autorización por escrito de los autores

 

Hecho en México, Universidad Nacional Autónoma de México (UNAM) © Todos los derechos reservados 2017.