Los programas antivirus son potentes piezas de software que son esenciales en las computadoras con Windows. Si alguna vez se ha preguntado cómo los programas antivirus detectan virus, qué están haciendo en su computadora y si necesita realizar escaneos regulares del sistema usted mismo, siga leyendo.
Un programa antivirus es una parte esencial de una estrategia de seguridad de varios niveles; incluso si es un usuario de computadora inteligente, el flujo constante de vulnerabilidades para navegadores, complementos y el sistema operativo Windows en sí hacen que la protección antivirus sea importante.
Escaneo en tiempo real
El software antivirus se ejecuta en segundo plano en su computadora, verificando cada archivo que abre. Esto generalmente se conoce como escaneo en tiempo real, escaneo en segundo plano, escaneo residente, protección en tiempo real u otra cosa, dependiendo de su programa antivirus.
Cuando hace doble clic en un archivo EXE, puede parecer que el programa se inicia inmediatamente, pero no es así. Su software antivirus comprueba primero el programa y lo compara con virus, gusanos y otros tipos de malware conocidos. Su software antivirus también realiza una comprobación "heurística", comprobando los programas en busca de tipos de comportamiento incorrecto que puedan indicar un virus nuevo y desconocido.
Los programas antivirus también analizan otros tipos de archivos que pueden contener virus. Por ejemplo, un archivo comprimido .zip puede contener virus comprimidos o un documento de Word puede contener una macro maliciosa. Los archivos se analizan siempre que se utilizan; por ejemplo, si descarga un archivo EXE, se analizará inmediatamente, incluso antes de abrirlo.
Es posible usar un antivirus sin escaneo en tiempo real, pero esto generalmente no es una buena idea: los virus que aprovechan los agujeros de seguridad en los programas no serían detectados por el escáner. Una vez que un virus ha infectado su sistema, es mucho más difícil de eliminar. (También es difícil estar seguro de que el malware se haya eliminado por completo).
Escaneos completos del sistema
Debido al análisis en tiempo real, normalmente no es necesario ejecutar análisis de todo el sistema. Si descarga un virus en su computadora, su programa antivirus lo notará de inmediato; no es necesario que primero inicie un análisis manualmente.
Sin embargo, los análisis de todo el sistema pueden ser útiles para algunas cosas. Un análisis completo del sistema es útil cuando acaba de instalar un programa antivirus, ya que garantiza que no haya virus inactivos en su computadora. La mayoría de los programas antivirus configuran análisis completos programados del sistema, a menudo una vez a la semana. Esto garantiza que se utilicen los archivos de definición de virus más recientes para escanear su sistema en busca de virus inactivos.
Estos escaneos de disco completo también pueden ser útiles al reparar una computadora. Si desea reparar una computadora ya infectada, es útil insertar su disco duro en otra computadora y realizar un análisis completo del sistema en busca de virus (si no se realiza una reinstalación completa de Windows). Sin embargo, normalmente no es necesario que usted mismo ejecute análisis completos del sistema cuando un programa antivirus ya lo está protegiendo; siempre está analizando en segundo plano y realizando sus propios análisis periódicos de todo el sistema.
Definiciones de virus
Su software antivirus se basa en definiciones de virus para detectar malware. Es por eso que descarga automáticamente archivos de definición nuevos y actualizados, una vez al día o incluso con más frecuencia. Los archivos de definición contienen firmas de virus y otro malware que se ha encontrado en la naturaleza. Cuando un programa antivirus analiza un archivo y detecta que el archivo coincide con un malware conocido, el programa antivirus detiene la ejecución del archivo y lo pone en "cuarentena". Dependiendo de la configuración de su programa antivirus, el programa antivirus puede eliminar automáticamente el archivo o puede permitir que el archivo se ejecute de todos modos, si está seguro de que es un falso positivo.
Las empresas de antivirus tienen que mantenerse continuamente al día con las últimas piezas de malware, lanzando actualizaciones de definiciones que garantizan que sus programas detecten el malware. Los laboratorios de antivirus utilizan una variedad de herramientas para desensamblar virus, ejecutarlos en entornos aislados y publicar actualizaciones oportunas que garantizan que los usuarios estén protegidos contra la nueva pieza de malware.
Heurísticas
Los programas antivirus también emplean heurística. La heurística permite que un programa antivirus identifique tipos de malware nuevos o modificados, incluso sin archivos de definición de virus. Por ejemplo, si un programa antivirus se da cuenta de que un programa que se ejecuta en su sistema está intentando abrir todos los archivos EXE en su sistema, y lo infecta escribiendo una copia del programa original en él, el programa antivirus puede detectar este programa como nuevo, tipo desconocido de virus.
Ningún programa antivirus es perfecto. La heurística no puede ser demasiado agresiva o marcará el software legítimo como virus.
Falsos positivos
Debido a la gran cantidad de software que existe, es posible que los programas antivirus ocasionalmente digan que un archivo es un virus cuando en realidad es un archivo completamente seguro. Esto se conoce como "falso positivo". En ocasiones, las empresas antivirus incluso cometen errores, como identificar los archivos del sistema de Windows, los programas populares de terceros o sus propios archivos de programas antivirus como virus. Estos falsos positivos pueden dañar los sistemas de los usuarios; estos errores generalmente terminan en las noticias, como cuando Microsoft Security Essentials identificó Google Chrome como un virus, AVG dañó las versiones de 64 bits de Windows 7 o Sophos se identificó a sí mismo como malware.
La heurística también puede aumentar la tasa de falsos positivos. Un antivirus puede notar que un programa se comporta de manera similar a un programa malicioso y lo identifica como un virus.
A pesar de esto, los falsos positivos son bastante raros en el uso normal. Si su antivirus dice que un archivo es malicioso, generalmente debería creerlo. Si no está seguro de si un archivo es realmente un virus, puede intentar cargarlo en VirusTotal (que ahora es propiedad de Google). VirusTotal escanea el archivo con una variedad de productos antivirus diferentes y le dice lo que dice cada uno al respecto.
Tasas de detección
Los diferentes programas antivirus tienen diferentes tasas de detección, en las que participan tanto las definiciones de virus como las heurísticas. Algunas empresas antivirus pueden tener heurísticas más efectivas y publicar más definiciones de virus que sus competidores, lo que da como resultado una tasa de detección más alta.
Algunas organizaciones realizan pruebas periódicas de programas antivirus en comparación entre sí, comparando sus tasas de detección en el uso en el mundo real. AV-Comparatives publica periódicamente estudios que comparan el estado actual de las tasas de detección de antivirus. Las tasas de detección tienden a fluctuar con el tiempo; no hay un producto mejor que esté constantemente en la cima. Si realmente está buscando ver qué tan efectivo es un programa antivirus y cuáles son los mejores, los estudios de tasa de detección son el lugar para buscar.
Prueba de un programa antivirus
Si alguna vez desea probar si un programa antivirus funciona correctamente, puede utilizar el Archivo de prueba EICAR . El archivo EICAR es una forma estándar de probar programas antivirus; en realidad, no es peligroso, pero los programas antivirus se comportan como si fuera peligroso, identificándolo como un virus. Esto le permite probar las respuestas del programa antivirus sin utilizar un virus activo.
Los programas antivirus son piezas de software complicadas y se podrían escribir libros extensos sobre este tema, pero es de esperar que este artículo lo ponga al día con los conceptos básicos.
