Si hoy en dia los antivirus son tan buenos, ¿Cómo es posible que existan tantos troyanos y virus por correo electrónico?. ¿Cómo es posible que virus como el Sobig, Melissa y Bugbear hayan infectado millones de computadoras?. Anton Zajac CEO de la empresa de seguridad ESET (NOD32), explica porqué muchas empresas antivirus están fallando en detectar los últimos virus de correo electrónico…
Heuristica, rápida reacción antivirus
¿Si hoy en día los productos antivirus son tan buenos, cómo es posible que existan tantos troyanos y virus por correo electrónico? ¿Cómo es posible que virus como el SoBig,
Klez, Melissa y BugBear hayan infectado millones de computadoras causando un
daño superior al de billones de dólares antes de que hayan sido controlados
por las compañías de antivirus? Muchas de estas victimas tenían protección
antivirus en su PC, pero en muchas de ellas, estos virus altamente dañinos
ingresaron sin ser detectados. ¿Cómo es posible? ¿Los antivirus no están
haciendo su trabajo?
Cada nuevo virus es distribuido desde alguno sitio, y una vez que entra al
mundo de la Internet, rápidamente comienza a enviar copias de él mismo
utilizando el directorio de correo electrónico del usuario infectado.
La forma tradicional de proceder de muchas empresas antivirus es que cuando
reciben una muestra de un nuevo virus, y su “firma” única debe ser analizada
antes la su detección pueda ser desarrollada y distribuida a los
suscriptores. Los mejores proveedores de antivirus son muy buenos para
reaccionar rápidamente ante los nuevos virus. Pero, igualmente, las mejores
compañías pueden tardar varias horas en analizar el nuevo virus, y es en
esas precisas preciosas primeras horas cuando el virus hace el mayor daño a
los usuarios.
Afortunadamente, hay otra manera de detectar a los nuevos virus llamada
análisis de heurística, el cual protege contra los virus desconocidos. Este
análisis significa que el antivirus busque operaciones específicas dentro
del código de un programa dentro de la PC que normalmente sean usadas por un
virus, y no por programas de uso cotidiano. Los métodos de análisis
heurísticos determinan la efectividad de este tipo de detección que tienen
los programas antivirus. Dos diferentes variantes son generalmente
utilizadas, con frecuencia combinados: El pasivo, que busca secuencias de
código que generan secuencias digitales sospechosas; y el activo, el cual
ejecuta al archivo dentro de una PC virtual creada por el programa antivirus
dentro de la memoria de la computadora para observar que tareas realiza el
archivo sospechoso. Por eso, la heurística de un antivirus puede identificar
y detener al nuevo virus, sin la necesidad de la actualización de firmas y
antes de que pueda causar algún daño.
Además de emplear heurística, un buen antivirus debe trabajar constantemente
en segundo plano. La velocidad de exploración del sistema es, por lo tanto,
muy importante; el software entrante debe ser analizado en cuestión de
fracciones de segundo, porque de lo contrario, el usuario se puede ser
tentando a desactivar el antivirus por frustración.
Tan critico como esto es la habilidad de evitar las falsas alarmas. Como
saben aquellos que han intentado reparar su propio ordenador tras un ataque
de virus, las ‘reparaciones’ pueden causar más daño que la propia infección.
Un promedio alto de falsas fastidiar al usuario, llevando al síndrome de
‘ahí viene el lobo’ por el cual terminen ignorando las verdaderas alertas.
Finalmente, los mejores antivirus tienen que ser capaces de actualizarse a
si mismos sin la necesidad de reiniciar el sistema. Reiniciar una
computadora de escritorio puede ser tedioso; en cambio, reiniciar los
servidores de Internet, los cuales deberían estar disponibles las 24 horas
del día, es un gran dolor de cabeza para el mantenimiento.
Virus Bulletin, la más respetada publicación dentro de la industria
antivirus, conduce la evaluación independiente más importante de software de
detección de virus en la red. Visitando el sitio web de Virus Bulletin, se
pueden encontrar las compañías con sus respectivos productos y consultar si
han aprobado constantemente la evaluación, lo cual significa que son los
mejores protegiendo la computadora y la información de negocios de una
empresa. © Eset, 2005
Klez, Melissa y BugBear hayan infectado millones de computadoras causando un
daño superior al de billones de dólares antes de que hayan sido controlados
por las compañías de antivirus? Muchas de estas victimas tenían protección
antivirus en su PC, pero en muchas de ellas, estos virus altamente dañinos
ingresaron sin ser detectados. ¿Cómo es posible? ¿Los antivirus no están
haciendo su trabajo?
Cada nuevo virus es distribuido desde alguno sitio, y una vez que entra al
mundo de la Internet, rápidamente comienza a enviar copias de él mismo
utilizando el directorio de correo electrónico del usuario infectado.
La forma tradicional de proceder de muchas empresas antivirus es que cuando
reciben una muestra de un nuevo virus, y su “firma” única debe ser analizada
antes la su detección pueda ser desarrollada y distribuida a los
suscriptores. Los mejores proveedores de antivirus son muy buenos para
reaccionar rápidamente ante los nuevos virus. Pero, igualmente, las mejores
compañías pueden tardar varias horas en analizar el nuevo virus, y es en
esas precisas preciosas primeras horas cuando el virus hace el mayor daño a
los usuarios.
Afortunadamente, hay otra manera de detectar a los nuevos virus llamada
análisis de heurística, el cual protege contra los virus desconocidos. Este
análisis significa que el antivirus busque operaciones específicas dentro
del código de un programa dentro de la PC que normalmente sean usadas por un
virus, y no por programas de uso cotidiano. Los métodos de análisis
heurísticos determinan la efectividad de este tipo de detección que tienen
los programas antivirus. Dos diferentes variantes son generalmente
utilizadas, con frecuencia combinados: El pasivo, que busca secuencias de
código que generan secuencias digitales sospechosas; y el activo, el cual
ejecuta al archivo dentro de una PC virtual creada por el programa antivirus
dentro de la memoria de la computadora para observar que tareas realiza el
archivo sospechoso. Por eso, la heurística de un antivirus puede identificar
y detener al nuevo virus, sin la necesidad de la actualización de firmas y
antes de que pueda causar algún daño.
Además de emplear heurística, un buen antivirus debe trabajar constantemente
en segundo plano. La velocidad de exploración del sistema es, por lo tanto,
muy importante; el software entrante debe ser analizado en cuestión de
fracciones de segundo, porque de lo contrario, el usuario se puede ser
tentando a desactivar el antivirus por frustración.
Tan critico como esto es la habilidad de evitar las falsas alarmas. Como
saben aquellos que han intentado reparar su propio ordenador tras un ataque
de virus, las ‘reparaciones’ pueden causar más daño que la propia infección.
Un promedio alto de falsas fastidiar al usuario, llevando al síndrome de
‘ahí viene el lobo’ por el cual terminen ignorando las verdaderas alertas.
Finalmente, los mejores antivirus tienen que ser capaces de actualizarse a
si mismos sin la necesidad de reiniciar el sistema. Reiniciar una
computadora de escritorio puede ser tedioso; en cambio, reiniciar los
servidores de Internet, los cuales deberían estar disponibles las 24 horas
del día, es un gran dolor de cabeza para el mantenimiento.
Virus Bulletin, la más respetada publicación dentro de la industria
antivirus, conduce la evaluación independiente más importante de software de
detección de virus en la red. Visitando el sitio web de Virus Bulletin, se
pueden encontrar las compañías con sus respectivos productos y consultar si
han aprobado constantemente la evaluación, lo cual significa que son los
mejores protegiendo la computadora y la información de negocios de una
empresa. © Eset, 2005
Nota de prensa recibida de ESET España