nos preocupamos seriamente de su seguridad
 

Sala de prensa

Elemento seleccionado Introducción
Novedades
Noticias RSS
Noticias antiguas
Premios y distinciones
Documentación
  Historias exitosas
  Documentos
sobre protección
antivirus
  Enciclopedia Virus

Conociendo más sobre seguridad informática

Soluciones de seguridad, segunda parte:
La aplicación antivirus

Introducción

Este es el segundo de nuestra serie de artículos introductorios, destinados a los usuarios menos experimentados, que desean conocer un poco más acerca de los distintos productos de seguridad informática disponibles actualmente.
A otros lectores también les interesará su contenido, a modo de compendio, actualización y revisión de diversa información que frecuentemente se encuentra agrupada de forma dispar y desordenada.

El objetivo de este ciclo, es brindar una visión general y ordenada acerca de los distintos tipos de soluciones de seguridad que existen hoy día. Mencionaremos los usos y prestaciones principales de cada una de ellas, y también sus limitaciones e inconvenientes.

En este segundo artículo analizaremos la utilidad del antivirus. Este, junto con la aplicación cortafuegos, es considerado un elemento esencial de la seguridad informática.
Para obtener más información acerca del cortafuegos, consulte el primer artículo de la serie, dedicado a este tipo de aplicaciones.

Información básica

En la actualidad , es poco común encontrar un producto que funcione exclusivamente como antivirus.
En realidad, los virus han perdido terreno frente a ciertas aplicaciones maliciosas que tienen por detrás principalmente una motivación económica: programas espía, registradores de pulsaciones y troyanos que roban información personal.

Hoy día, cuando hablamos de aplicaciones antivirus, nos referimos a un monitor de seguridad que analiza el sistema, con la capacidad de detectar y eliminar un amplio rango de programas maliciosos: virus, programas espía, botnets, troyanos y demás.

Algunos de estos "productos combinados" son más exitosos que otros, por lo tanto, a la hora de buscar el tipo de solución más adecuada a sus necesidades, es conveniente comprender las funciones y capacidades específicas de cada uno de los elementos que los conforman.

¿Qué es exactamente una aplicación antivirus y cómo funciona?

El antivirus es, básicamente, un tipo de aplicación de seguridad que analiza el ordenador en busca de ciertos programas maliciosos que pueden propagarse por sí mismos (generalmente virus y gusanos informáticos) para neutralizarlos.
Para lograr este objetivo, utiliza varias técnicas de detección:

  • Detección de firmas
    La detección de firmas es la técnica más utilizada por los antivirus actuales, y consiste en el análisis del código malicioso comparándolo con "huellas digitales" conocidas.
    Para ello, el programa antivirus examina el contenido de los archivos, en busca de fragmentos que coincidan con un patrón identificado en su base de datos como malicioso.
    Si se encuentra dicho patrón, el archivo o la porción de código infectado se marcará como tal, y será puesto en cuarentena, desinfectado o eliminado, según las funciones de cada producto antivirus.

    El método se basa exclusivamente en comparaciones, y permite identificar las infecciones de virus conocidos de forma rápida y precisa.

    El inconveniente que presenta este método es que, para poder contar con una detección certera, el usuario siempre debe tener la base de firmas de virus actualizada.
    Adicionalmente, la detección por medio de firmas no es efectiva al momento de tratar virus nuevos o polimórficos (como se conoce a aquellos con capacidad de mutar). Estas amenazas ocultan su presencia por medio de la modificación de algunas porciones de su carga maliciosa (esto es, el daño que causa el virus).

  • Heurística y otras aproximaciones
    Tal como hemos mencionado anteriormente, la detección tradicional no es tan efectiva, porque no puede detectar alteraciones de un código original.
    Una forma de superar esta deficiencia es la detección heurística, que permite descubrir la probabilidad de que un código ligeramente modificado sea una copia de una muestra maliciosa original.

    Este proceso es complejo y difícil, pero ha sido incorporado por la mayoría de los productos antivirus más avanzados tecnológicamente.
    Debido a que su desarrollo muy reciente, la heurística aún necesita ser complementada por otros tipos de detección.
    En cierto sentido, también podemos decir que es una técnica falible, ya que eventualmente produce una alta cantidad de positivos falsos (objetos legítimos que son identificados incorrectamente como maliciosos).

  • Simulación virtual
    Esta es una nueva aproximación, con un futuro interesante como ayuda en la detección de virus nuevos y desconocidos.
    En lugar de ejecutar un análisis de firmas tradicional sobre un archivo sospechoso, la simulación virtual crea temporalmente un entorno protegido, donde se ejecuta el código inseguro para examinarlo con mayor profundidad.
    Como este contexto está aislado del resto del ordenador, un archivo posiblemente infectado puede ser ejecutado sin poner en peligro la seguridad del equipo anfitrión: las acciones realizadas en el entorno virtual no pueden afectar la información real del usuario.

    Una vez que el archivo ha sido iniciado en este sector aislado, y se ha activado su carga adicional, ya no podrá aplicar las técnicas que utiliza para ocultarse pues el código se ejecutará "al descubierto" dentro de la memoria.
    Esto significa que el funcionamiento interno del archivo se torna visible para la aplicación antivirus, que podrá analizarlo entonces con el método tradicional de detección de firmas.

    Debido a que es un método relativamente nuevo y complejo, está en las primeras etapas de su desarrollo como técnica de análisis de virus, y aún no se encuentra disponible en la mayoría de las aplicaciones antivirus diseñadas para el uso personal.
    La simulación virtual trabaja perfectamente con tecnologías complementarias tales como el bloqueo de comportamientos extraños y el aislamiento de aplicaciones.

¿Qué ocurre una vez que un virus ha sido detectado?

Después de la detección e identificación de un patrón malicioso, será necesario actuar en consecuencia.
Si un archivo normal y legítimo ha sido infectado por un virus que modificó su contenido, habrá que localizar y eliminar la sección maliciosa de su código, y restaurar los datos originales.
De esta forma, el archivo podrá utilizarse nuevamente, de manera segura.

Entre los ejemplos de este proceso podríamos mencionar archivos ejecutables (con extensión .exe) o componentes de aplicaciones (con extensión .sys) que son restaurados a su estado original, después de haber sido dañados por un ataque.

Este proceso de restauración es bastante complejo, y solamente algunos productos antivirus tienen la capacidad de realizarlo eficazmente.

Además de esto, cada tipo de infección necesita un tratamiento diferente: un archivo infectado por el virus A, solo podrá ser reparado por el producto antivirus que conozca exactamente qué hace ese virus y cómo trabaja, para deshacer los daños que este ha causado.
Para proporcionar este nivel de protección, se precisa un equipo de analistas de virus cualificados para aplicar técnicas de ingeniería inversa a cada virus, entender lo que hace, y luego construir cuidadosamente el proceso de reparación.

Aun cuando el ordenador tenga una solución de seguridad proactiva, que bloquea la entrada de archivos desconocidos, es recomendable guardar copias de respaldo de todos los programas y datos importantes, hechas a intervalos regulares. Estas serán de gran ayuda en caso de encontrar algún virus nuevo, para el cual todavía no exista el proceso de reparación.

Afortunadamente, los virus que introducen infecciones en los archivos existentes son muy raros hoy en día. Es más frecuente la distribución de códigos maliciosos bajo la forma de aplicaciones independientes.
En este caso, el programa puede eliminarse por completo del sistema.
El objetivo de estas aplicaciones maliciosas independientes es infectar, robar, destruir o tomar el control de su ordenador.
Esta finalidad es muy distinta a la infección de archivos legítimos descripta anteriormente.

Tan pronto como una aplicación maliciosa es encontrada, esta será automáticamente eliminada, o será movida a una carpeta especial de cuarentena para asegurar que ya no pueda activarse.
Los usuarios pueden ver la lista de objetos puestos en cuarentena cuando lo deseen, y elegir si prefieren eliminarlos de forma permanente, o devolverlos a su ubicación original, en caso de tener la certeza de que el archivo no es realmente malicioso.
Los positivos falsos efectivamente ocurren, y en ocasiones se recomienda guardar temporalmente los archivos sospechosos en una ubicación especial segura (la cuarentena), hasta que pueda realizarse un análisis más detallado.

Un ejemplo reciente de esto sucedió cuando un producto antivirus borró por equivocación un archivo del sistema operativo Windows de los discos duros de los usuarios, y hubo que restaurarlo posteriormente, al descubrir el error.

Lidiar con las consecuencias de una infección es otro desafío para las aplicaciones antivirus. Después de que un programa malicioso fue eliminado exitosamente de un ordenador, puede haber dejado varios rastros detrás de sí.
Estas "cicatrices" podrían causar inconsistencias en todo el sistema, o errores en los archivos de sistema (entradas del registro modificadas, cambios en los paquetes de red, o alteraciones en la configuración del navegador) que pueden afectar el rendimiento o desactivar algunas funciones de Windows.
En este caso, es esencial tener un plan alternativo para proteger los datos importantes, utilizando seguridad proactiva o haciendo copias de respaldo frecuentemente.

Factores que complican la situación

Los virus se valen de una cantidad de técnicas para dificultar la tarea de las aplicaciones antivirus. La mayoría usa distintas formas de ocultar su presencia y, de esta forma, no ser detectados:

  1. Empaquetadores (packers)
    Son métodos para comprimir archivos ejecutables, utilizando un algoritmo especial, que resulta desconocido para las aplicaciones antivirus. De esta forma, estas no pueden descomprimir el archivo para analizar el código malicioso en su forma más pura.

  2. Cifradores polimórficos
    Funcionan de modo similar al caso anterior: el ejecutable original es cifrado usando claves variables, de modo tal que la firma del código fuente se renueva continuamente. Esta técnica vence cualquier enfoque antivirus basado puramente en firmas.

  3. Rootkits
    Son dispositivos aparentemente inocentes, que esconden la presencia de una aplicación maliciosa dentro del sistema.

¿Qué examinan los antivirus?

Para ser completamente confiable, una aplicación antivirus debe analizar todas las carpetas y procesos del ordenador que se detallan a continuación:

  • Correo electrónico
    Casi todas las soluciones antivirus pueden analizar los mensajes entrantes y salientes en busca de contenido malicioso, y eliminarlo automáticamente.

  • Tráfico de red
    Cada porción de datos que se envía o recibe desde Internet deberá ser analizada para verificar su legitimidad.
    Los productos antivirus más avanzados también pueden controlar y bloquear los programas que se aprovechan de las vulnerabilidades de la Red. Estos programas cargan automáticamente un código malicioso en el sistema, al acceder a un sitio infectado utilizando un navegador que no ha sido actualizado con los últimos parches de seguridad. 

  • Configuración del sistema
    Esto incluye el registro del sistema, las entradas de inicio, los controladores y servicios, más los datos de la estructura de la red, los complementos del navegador, y otras ubicaciones internas.

  • Procesos activos
    Comprende todos los programas activos en ese momento, además de otros módulos ejecutables. Abarca todo aquello que reside en la memoria del ordenador.

  • Sistema de archivos local
    Se refiere a los archivos, carpetas y discos duros del ordenador, incluyendo los datos que pueden almacenarse en flujos alternativos del sistema de archivos NTFS.

  • Medios de almacenamiento extraíbles
     Esto incluye los dispositivos ópticos, las tarjetas de memoria, y otros equipos digitales con módulos de memoria que pueden conectarse a un puerto USB, como algunos teléfonos y los iPods.

  • Almacenamiento remoto
    Esto incluye las carpetas compartidas dentro de una red local, los dispositivos de respaldo de datos, y los sitios de Internet utilizados para almacenar copias de seguridad.

¿Cuándo se activan los antivirus?

La tarea principal de una solución antivirus es detectar las aplicaciones maliciosas y evitar que se la infección se extienda, eliminándola antes de que pueda atacar archivos legítimos.

Los antivirus generalmente ofrecen tres métodos de detección y eliminación de los virus:

  1. Monitorización en tiempo real
    La aplicación antivirus vigila continuamente la actividad del ordenador, y bloquea de forma automática las acciones maliciosas conocidas.

  2. Análisis a pedido del usuario
    La aplicación antivirus analizará el contenido del ordenador en busca de archivos maliciosos cuando el usuario así lo decida.

  3. Análisis programado
    El usuario puede programar análisis futuros, que tendrán lugar en la fecha y la hora especificadas, o ante un suceso particular, por ejemplo cuando el ordenador no registre actividad por un período de tiempo prolongado.

Resumen

Qué cosas pueden hacer los antivirus:

  • Analizar el contenido del ordenador en busca de amenazas conocidas o identificables, y eliminarlas o desactivarlas.

  • Verificar cada archivo en particular, tales como aquellos recientemente descargados de Internet, para controlar que estén limpios.

  • Reparar archivos legítimos que ya hayan sido infectados.

  • Evitar que los virus identificables se diseminen.

Qué cosas no pueden hacer los antivirus:

  • Detectar o eliminar las amenazas que no pueden ser identificadas por las firmas o los métodos heurísticos.

  • Bloquear los intrusos en la red, y evitar el robo de información personal consecuencia del ataque de una aplicación maliciosa desconocida.

Inconvenientes potenciales de un antivirus:

  • Las amenazas desconocidas no pueden ser bloqueadas.

  • El método de trabajo reactivo implica una respuesta tardía para enfrentar un virus.

  • Pueden surgir problemas de compatibilidad o estabilidad, si se ejecuta más de un programa antivirus simultáneamente en un mismo ordenador.

Conclusión

En este artículo hemos hecho una breve reseña, para recordar las cosas que pueden y las que no pueden hacer los antivirus.
En base a la información expuesta, podemos concluir que este tipo de aplicación es un elemento de presencia obligatoria entre las soluciones de seguridad de un ordenador.
 
 
 
  <empty>   Manténgase Informado
Términos de uso   Inicio   Contacto   
© 2010, Agnitum Ltd. y Ontinet.com, S.L. Todos los derechos reservados
Outpost Firewall Pro: Cortafuegos con módulo antiespía - Outpost Network Security: Seguridad para la pequeña y mediana empresa

 
Actualizado: 13-Ene-2010 22:58
¿Problemas con esta página?
Ontinet.com, S.L.