Saltar al contenido
Blog de Tecnologia de Diego Torres

Cómo antivirus


Después de configurar su computadora por enésima vez, su mejor amigo le ha proporcionado todas las instrucciones necesarias para descargar un nuevo antivirus y cómo usarlo para proteger el sistema de cualquier infección futura. Desafortunadamente, no ha tocado esa computadora durante mucho tiempo y, después de volver a encenderla hoy, se dio cuenta de que ya no recuerda una palabra sobre qué hacer y cómo comportarse para asegurarse de que el antivirus siempre sea efectivo.

Como se dice Desea evitar molestar a su amigo experto en informática nuevamente y le gustaría entender finalmente cómo funciona el antivirus, para que podamos actuar de manera completamente autónoma? Entonces ha llegado a la guía correcta: aquí le mostraré las peculiaridades de los antivirus modernos, para que pueda comprender cómo funciona y adoptar las estrategias necesarias para minimizar el riesgo de nuevas infecciones.

Entonces, ¿qué más estás esperando para comenzar? Ahorre unos minutos, póngase cómodo y lea cuidadosamente todo lo que tengo que decir sobre este tema: al hacerlo, además de aprender nuevos conceptos, podrá aumentar la seguridad de su computadora configurando el software de seguridad que has decidido usar. Dicho esto, ¡no tengo nada más que hacer que desearles una buena lectura!

índice

Técnicas de escaneo

Para comprender mejor el funcionamiento de un antivirus, necesariamente debe conocer los componentes que lo caracterizan, es decir, los módulos de escaneo que constituyen su "escudo defensivo".

Escaneo en tiempo real

La forma de escaneo en tiempo real (también llamado On-Access) es el componente del antivirus que comienza con el sistema operativo, se coloca en la memoria RAM y analiza en tiempo real cualquier acción realizada en la computadora. Cada vez que se ejecuta, mueve, crea o modifica un archivo (incluso de forma "invisible", por ejemplo, simplemente abriendo un programa), el módulo en tiempo real analiza cada archivo utilizado en el proceso (archivo binarios, archivos DLL, etc.) en busca de un archivo malicioso o sospechoso. Cuando "se activa la alarma", el módulo se encarga de bloquear cualquier acción del archivo y "neutralizarlo", moviéndolo a un área protegida, ubicada dentro de las carpetas antivirus (esta área protegida generalmente se llama cuarentena o basura).

Por lo tanto, este módulo es un componente fundamental del antivirus: no es sorprendente que esté presente en la mayoría de los programas diseñados para este propósito. Gracias al análisis en tiempo real, es posible bloquear una infección de raíz, evitando que los virus cambien el comportamiento del sistema y dañen los archivos personales.

Obviamente, este formulario no es infalible: si el virus está bien oculto en archivos legítimos o no está presente en la "lista" especial que posee el antivirus (al que volveremos más adelante), podría escapar de este control, haciéndolo casi completamente invisible. Numerosos virus, de hecho, pueden activarse de forma remota o después de un cierto período de tiempo, evitando así el control del escaneo en tiempo real y, en consecuencia, generando una infección más grande.

Un módulo de exploración en tiempo real debe ser lo suficientemente ligero y no muy intrusivo durante su acción: si no fuera así, el rendimiento de la computadora disminuiría significativamente después de cualquier operación iniciada por el usuario (incluso la simple apertura de un archivo o un carpeta, por ejemplo).

Escaneo bajo demanda

La forma de escanear a pedido (también llamado On-demand) es el componente del antivirus que se encarga de analizar, uno a la vez, todos los archivos presentes en el sistema o en la carpeta indicada. En comparación con el módulo de escaneo en tiempo real, adopta un sistema mucho más precisa y efectiva, y requiere una mayor cantidad de recursos: en el pasado, no era raro tener que detener su trabajo al iniciar un análisis bajo demanda, ya que el disco duro y la CPU estaban completamente ocupados realizando esta tarea.

Debido a esta gran demanda de recursos, este módulo solo se puede iniciar a pedido, haciendo clic en un botón específico en la interfaz antivirus o llamando a la funcionalidad adjunta desde el menú contextual de los archivos guardados en el sistema.

El escaneo bajo demanda también se puede programar: de esta manera, es posible hacerlo en períodos en los que la computadora no se utilizará para otras tareas.

Personalmente te recomiendo programar un análisis completo del sistema al menos una vez al mesestableciendo un día y / o hora cuando esté seguro de que no está presente en la PC (es mejor dejar la computadora encendida para tal fin, para no tener que posponerla hasta el primer inicio útil).

Escaneo en la nube

Recientemente, se ha agregado un nuevo módulo a los componentes antivirus que admite el módulo On-Access y On-Demand: el escaneo basado en la nube. Cuando este componente está activo, todos los datos en los archivos analizados por el antivirus son enviado por Internet a una red de servidores interconectados, para poder beneficiarse de una potencia informática mucho mayor: los servidores, de esta forma, pueden escanear los datos del archivo (o el archivo completo, donde este era relativamente pequeño) y proporcionar una respuesta inmediata a la Antivirus, que luego puede eliminarlo (en el caso de un virus) o «dejarlo pasar» (en el caso de un archivo legítimo).

Este enfoque tiene dos grandes ventajas: en primer lugar, el análisis se realiza en varios motores simultáneamente, lo que reduce drásticamente el riesgo de falsos negativos (o falsos positivos); en segundo lugar, los recursos de la computadora en uso no están comprometidos con el propósito de escanear, lo que ocurre exclusivamente a través de Internet.

Sin embargo, el sistema de escaneo en la nube requiere acceso constante a internet, porque los servidores de análisis siempre deben estar disponibles. Para evitar la saturación de la banda de Internet (un problema muy común, especialmente si tiene una conexión que no es muy rápida), este componente generalmente entra en acción solo para escaneos a pedido y / o para archivos clasificados como "sospechosos". En ausencia de una conexión a Internet, el componente de la nube no funciona, por lo que el antivirus debe usar las herramientas disponibles "fuera de línea" para bloquear posibles amenazas.

Métodos de análisis

Después de analizar los módulos de escaneo característicos de los antivirus modernos, es hora de comprender cuáles son las herramientas que utiliza este software para poder comprender si un archivo es dañino o no.

Para comprender bien esta diferencia, imagine un obstáculo: las técnicas de escaneo podrían ser los policías, mientras que puede ver los métodos de análisis, como las herramientas utilizadas para detectar infracciones, como cámaras de velocidad, alcoholímetros, etc.

Método basado en firma

El método más simple y rápido utilizado por los antivirus para rastrear amenazas implica el uso de una serie de "listas especiales" que contienen firmas o definiciones virus conocidos: estos últimos son características específicas de las amenazas cibernéticas, como comportamientos conocidosprecisa secuencias de bits dentro de los archivos infectados o códigos hash. Estos archivos se consultan cada vez que los módulos de análisis bajo demanda y acceso analizan un archivo.

Las listas de firmas / definiciones también son actualizadas regularmente por todos los fabricantes de antivirus, para que puedan "atrapar" (en el menor tiempo posible) cualquier nueva amenaza reconocida. Sin embargo, desafortunadamente, este método no es efectivo para los virus que han estado en circulación durante unos días o unas pocas horas desde el análisis: dado que no hay una firma conocida, el antivirus podría dejar pasar una amenaza sin activar la alarma (amenazas de 0 días) .

Volviendo a nuestro ejemplo sobre las autoridades, puede considerar las firmas / definiciones como las fotos policiales utilizadas por los policías para poder identificar de inmediato a los delincuentes buscados. Si un criminal ha cambiado sus connotaciones, o aún no ha sido atrapado en el acto (por lo que no tiene ninguna foto asociada con su identidad), puede escapar fácilmente incluso del control de patrulla más cuidadoso.

Método heurístico

Si la firma de un virus no está presente en el archivo apropiado, podría bloquearse usando un componente particular del antivirus, es decir, el módulo heurístico. Esa forma se refiere para detener archivos sospechosos (pero no bloqueados por firmas) y verificar su comportamiento: si los archivos siguen esquemas reconocidos como altamente sospechosos o peligrosos, se bloquean inmediatamente y se colocan en cuarentena, a la espera de nuevas investigaciones (es decir, la llegada de firmas sobre la naturaleza maliciosa del archivo).

Gracias a este módulo, la computadora puede defenderse contra nuevas amenazas. Por otro lado, sin embargo, el sensibilidad heurística juega un papel clave en su éxito: un módulo que es demasiado severo puede bloquear incluso archivos perfectamente legítimos, mientras que un módulo que es demasiado permisivo puede transmitir virus sin intervenir en absoluto.

Volviendo al ejemplo de las autoridades, puede comparar las heurísticas con el control completo que realizan los policías cuando pasa un automóvil sospechoso, durante un bloqueo de carretera. Incluso si la persona detenida no es deseada, pero parece inquieta, agitada, temerosa de los controles en el automóvil o para su persona, ¡es fácil suponer que está ocultando algo!

Métodos basados ​​en la nube

Muchas herramientas modernas, para bloquear virus, requieren el uso de Internet: técnicas comoanálisis de telemetríaelheurística de enjambre (según el comportamiento registrado por otros usuarios que usan el mismo antivirus y que encuentran el mismo archivo) y minería de datos ayudan a detener incluso las amenazas más peligrosas, las realizadas por virus polimórficos, es decir, capaces de cambiar la identidad (que resulta limpia en cada PC infectada) y de ransomware (capaz de esconderse en archivos insospechados).

Puede comparar métodos de análisis basados ​​en la nube, como el apoyo "externo" ofrecido a los policías durante una gran cacería humana: helicópteros, radiocomunicaciones y perros guardianes.

arenero

Otra herramienta popular disponible en los antivirus modernos es la llamada arenero: proporciona la creación de un espacio aislado, que no se comunica con el exterior, en el que Todos los archivos del sistema necesarios durante el lanzamiento de un programa sospechoso se virtualizan. o un ejecutable.

Si el ejecutable resulta ser un virus, solo puede infectar la parte del sistema virtualizado dentro del entorno limitado, sin dañar el sistema operativo real.

Gracias a la caja de arena, se puede evitar una gran cantidad de infecciones: si la solución que ha elegido la tiene, asegúrese de incluir todos los nuevos programas descargados o aquellos que puedan representar importantes vectores de amenazas (por ejemplo, i navegador y yo cliente de correo electrónico).

Importancia de las actualizaciones

Como puedes adivinar fácilmente, en este punto, actualizar constantemente el antivirus Es la única forma de mantener alta la barrera de protección que ofrece el software. Las actualizaciones, de hecho, a menudo requieren la descarga de las nuevas firmas y la mejora de los módulos integrados en el antivirus.

Hasta la fecha, casi todos los programas antivirus están programados para descargar actualizaciones tan pronto como estén disponibles: para aquellos basados ​​principalmente en nubeen cambio, la actualización es constante y en tiempo real, ya que las bases de datos se sincronizan apenas se agrega una sola firma. No lo creerá, ¡pero esta operación puede llevarse a cabo varias veces en un minuto!

La falta de actualizaciones, por otro lado, podría hacer que las funciones de protección integradas en el software antivirus sean completamente inútiles: los archivos dañinos más recientes, en este caso, podrían actuar sin problemas y dañar el sistema operativo y los datos guardados en él. De hecho, ¡sería como no tener protección!

Por lo general, puede ajustar la frecuencia de las actualizaciones automáticas desde panel de configuración de los antivirus: primero asegúrese de que estén activos y tenga cuidado de establecer el intervalo de verificación / descarga en un tiempo muy bajo (una hora o menos).

Para soluciones integradas en sistemas operativos, como Windows Defender, puede descargar manualmente las actualizaciones desde la configuración del sistema: en Windows 10por ejemplo, tienes que ir al menú comienzo y haga clic en el botón en forma de ingranaggio, ubicado a la izquierda, para abrir la ventana ajustes.

Luego tienes que hacer clic en el botón Actualización y seguridad, vaya a la sección dedicada a Windows Update y haga clic en el botón Buscar actualizaciones.

El mejor antivirus

Déjame adivinar: ahora que entiendes cómo funciona el antivirus y que tiene ideas claras sobre sus necesidades, ¿le gustaría echar un vistazo a lo que ofrece la escena de la computadora para elegir la que mejor se adapte a su caso? No hay problema, realmente creo que puedo ayudarte.

Realmente hay una gran cantidad de software de seguridad de este tipo, cada uno con sus propias características: gratuito, pago, equipado con módulos de escaneo en tiempo real, preparados solo para escaneos a pedido, basados ​​en la nube, etc. Si utiliza el sistema operativo Windows, por ejemplo, le recomiendo que lea mi guía sobre el mejor antivirus para Windows 10, también válido para todas las demás versiones del sistema operativo, en el que le expliqué cómo comparar los diversos productos gratuitos y cómo elegir el Eso es correcto para ti.

Si, por otro lado, necesita una solución que sea eficiente, personalizable y equipada con una gran cantidad de módulos, le aconsejo que avance hacia un antivirus pago.

En cuanto a las soluciones de seguridad diseñadas para teléfonos inteligentes y tabletas con un sistema operativo androide, puede consultar mi guía sobre el mejor antivirus para Android, en el que he enumerado las que son las mejores aplicaciones diseñadas para preservar la integridad de los dispositivos.

En cuanto a MacOS y iOSPor otro lado, no tengo mucho que decirte: estos sistemas operativos tienen protecciones de seguridad integradas extremadamente eficientes, por lo tanto, por regla general, no requieren la presencia de una solución antivirus específica.

Sin embargo, si ha omitido estas protecciones por un motivo u otro o si todavía cree que es esencial tener un antivirus disponible, puede consultar mis tutoriales dedicados al antivirus para Mac y la eliminación de virus del iPhone, en los que he cubierto el tema. «Seguridad» con una gran cantidad de detalles.