El software antivirus (abreviado como software AV ), también conocido como antimalware , es un programa informático que se utiliza para prevenir, detectar y eliminar malware .
El software antivirus se desarrolló originalmente para detectar y eliminar virus informáticos , de ahí su nombre. Sin embargo, con la proliferación de otros programas maliciosos , el software antivirus comenzó a proteger contra otras amenazas informáticas. Algunos productos también incluyen protección contra URL maliciosas , spam y phishing . [1]
El primer virus informático conocido apareció en 1971 y recibió el nombre de " virus Creeper ". [2] Este virus informático infectó las computadoras centrales PDP-10 de Digital Equipment Corporation ( DEC ) que ejecutaban el sistema operativo TENEX . [3] [4]
El virus Creeper finalmente fue eliminado por un programa creado por Ray Tomlinson y conocido como " The Reaper ". [5] Algunas personas consideran que "The Reaper" fue el primer software antivirus jamás escrito; puede ser el caso, pero es importante tener en cuenta que Reaper era en realidad un virus diseñado específicamente para eliminar el virus Creeper. [5] [6]
Al virus Creeper le siguieron varios otros virus. El primero conocido que apareció "en estado salvaje" fue " Elk Cloner ", en 1981, que infectaba ordenadores Apple II . [7] [8] [9]
En 1983, Fred Cohen acuñó el término "virus informático" en uno de los primeros artículos académicos publicados sobre virus informáticos . [10] Cohen utilizó el término "virus informático" para describir programas que: "afectan a otros programas informáticos modificándolos de tal manera que incluyan una copia (posiblemente evolucionada) de sí mismo". [11] (tenga en cuenta que el investigador de seguridad húngaro Péter Szőr ha dado una definición más reciente de virus informático : "un código que replica recursivamente una copia posiblemente evolucionada de sí mismo" ). [12] [13]
El primer virus informático "en estado salvaje" compatible con IBM PC y una de las primeras infecciones realmente extendidas fue " Brain " en 1986. Desde entonces, el número de virus ha crecido exponencialmente. [14] [15] La mayoría de los virus informáticos escritos a principios y mediados de la década de 1980 se limitaban a la autorreproducción y no tenían una rutina de daño específica incorporada en el código. Eso cambió cuando más y más programadores se familiarizaron con la programación de virus informáticos y crearon virus que manipulaban o incluso destruían datos en las computadoras infectadas. [dieciséis]
Antes de que se generalizara la conectividad a Internet , los virus informáticos se propagaban normalmente mediante disquetes infectados . Se empezó a utilizar software antivirus, pero se actualizaba con relativa poca frecuencia. Durante este tiempo, los detectores de virus esencialmente tenían que verificar los archivos ejecutables y los sectores de arranque de los disquetes y discos duros. Sin embargo, a medida que el uso de Internet se volvió común, los virus comenzaron a propagarse en línea. [17]
Hay afirmaciones contradictorias sobre el innovador del primer producto antivirus. Posiblemente, la primera eliminación documentada públicamente de un virus informático "en estado salvaje" (el "virus de Viena") fue realizada por Bernd Fix en 1987. [18] [19]
En 1987, Andreas Lüning y Kai Figge, quienes fundaron G Data Software en 1985, lanzaron su primer producto antivirus para la plataforma Atari ST . [20] En 1987, también se lanzó Ultimate Virus Killer (UVK) . [21] Este fue el asesino de virus estándar de facto de la industria para Atari ST y Atari Falcon , cuya última versión (versión 9.0) se lanzó en abril de 2004. [ cita necesaria ] En 1987, en los Estados Unidos, John McAfee fundó la empresa McAfee y, a finales de ese año, lanzó la primera versión de VirusScan . [22] También en 1987 (en Checoslovaquia ), Peter Paško, Rudolf Hrubý y Miroslav Trnka crearon la primera versión del antivirus NOD . [23] [24]
En 1987, Fred Cohen escribió que no existe ningún algoritmo que pueda detectar perfectamente todos los virus informáticos posibles . [25]
Finalmente, a finales de 1987, se lanzaron las dos primeras utilidades antivirus heurísticas : Flushot Plus de Ross Greenberg [26] [27] [28] y Anti4us de Erwin Lanting. [29] En su libro de O'Reilly , Malicious Mobile Code: Virus Protection for Windows , Roger Grimes describió Flushot Plus como "el primer programa holístico para combatir el código móvil malicioso (MMC)". [30]
Sin embargo, el tipo de heurística utilizada por los primeros motores AV era totalmente diferente a la que se utiliza hoy en día. El primer producto con un motor heurístico parecido a los modernos fue F-PROT en 1991. [31] Los primeros motores heurísticos se basaban en dividir el binario en diferentes secciones: sección de datos, sección de código (en un binario legítimo, normalmente comienza siempre desde el mismo lugar). De hecho, los virus iniciales reorganizaron el diseño de las secciones o anularon la parte inicial de una sección para saltar al final del archivo donde se encontraba el código malicioso, y solo regresaron para reanudar la ejecución del código original. Se trataba de un patrón muy específico, no utilizado en ese momento por ningún software legítimo, que representaba una heurística elegante para detectar códigos sospechosos. Posteriormente se agregaron otros tipos de heurísticas más avanzadas, como nombres de secciones sospechosas, tamaño de encabezado incorrecto, expresiones regulares y coincidencia parcial de patrones en memoria.
En 1988 continuó el crecimiento de las empresas de antivirus. En Alemania, Tjark Auerbach fundó Avira ( H+BEDV en ese momento) y lanzó la primera versión de AntiVir (llamada "Luke Filewalker" en ese momento). En Bulgaria , Vesselin Bontchev lanzó su primer programa antivirus gratuito (posteriormente se unió a FRISK Software ). También Frans Veldman lanzó la primera versión de ThunderByte Antivirus , también conocido como TBAV (vendió su empresa a Norman Safeground en 1998). En Checoslovaquia , Pavel Baudiš y Eduard Kučera fundaron Avast Software (en ese momento ALWIL Software ) y lanzaron su primera versión de avast! antivirus. En junio de 1988, en Corea del Sur , Ahn Cheol-Soo lanzó su primer software antivirus, llamado V1 (fundó AhnLab más tarde en 1995). Finalmente, en otoño de 1988, en el Reino Unido, Alan Solomon fundó S&S International y creó su Dr. Solomon's Anti-Virus Toolkit (aunque no lo lanzó comercialmente hasta 1991; en 1998, la empresa de Solomon fue adquirida por McAfee ). En noviembre de 1988, un profesor de la Universidad Panamericana de la Ciudad de México llamado Alejandro E. Carriles registró los derechos de autor del primer software antivirus en México con el nombre "Byte Matabichos" (Byte Bugkiller) para ayudar a resolver la rampante infestación de virus entre los estudiantes. [32]
También en 1988 se inició en la red BITNET / EARN una lista de correo denominada VIRUS-L [33] donde se discutían nuevos virus y las posibilidades de detectarlos y eliminarlos. Algunos miembros de esta lista de correo fueron: Alan Solomon, Eugene Kaspersky ( Kaspersky Lab ), Friðrik Skúlason ( FRISK Software ), John McAfee ( McAfee ), Luis Corrons ( Panda Security ), Mikko Hyppönen ( F-Secure ), Péter Szőr , Tjark Auerbach ( Avira ) y Vesselin Bontchev ( FRISK Software ). [33]
En 1989, en Islandia , Friðrik Skúlason creó la primera versión de F-PROT Anti-Virus (fundó FRISK Software recién en 1993). Mientras tanto, en Estados Unidos, Symantec (fundada por Gary Hendrix en 1982) lanzó su primer antivirus Symantec para Macintosh (SAM). [34] [35] SAM 2.0, lanzado en marzo de 1990, incorporó tecnología que permitía a los usuarios actualizar SAM fácilmente para interceptar y eliminar nuevos virus, incluidos muchos que no existían en el momento del lanzamiento del programa. [36]
A finales de los años 80, en el Reino Unido, Jan Hruska y Peter Lammer fundaron la empresa de seguridad Sophos y comenzaron a producir sus primeros productos antivirus y de cifrado. En el mismo periodo se fundó también en Hungría VirusBuster (que recientemente ha sido incorporado por Sophos ).
En 1990, en España, Mikel Urizarbarrena fundó Panda Security ( en aquel momento Panda Software ). [37] En Hungría, el investigador de seguridad Péter Szőr lanzó la primera versión del antivirus Pasteur . En Italia, Gianfranco Tonello creó la primera versión del antivirus VirIT eXplorer y un año después fundó TG Soft. [38]
En 1990 se fundó la Organización de Investigación de Antivirus Informáticos ( CARO ). En 1991, CARO lanzó el "Virus Naming Scheme" , escrito originalmente por Friðrik Skúlason y Vesselin Bontchev. [39] Aunque este esquema de nomenclatura está ahora obsoleto, sigue siendo el único estándar existente que la mayoría de las empresas e investigadores de seguridad informática han intentado adoptar. Los miembros de CARO incluyen: Alan Solomon, Costin Raiu, Dmitry Gryaznov, Eugene Kaspersky , Friðrik Skúlason , Igor Muttik , Mikko Hyppönen , Morton Swimmer, Nick FitzGerald, Padgett Peterson , Peter Ferrie, Righard Zwienenberg y Vesselin Bontchev. [40] [41]
En 1991, en Estados Unidos, Symantec lanzó la primera versión de Norton AntiVirus . Ese mismo año, en la República Checa , Jan Gritzbach y Tomáš Hofer fundaron AVG Technologies ( en aquel momento Grisoft ), aunque no lanzaron la primera versión de su Anti-Virus Guard (AVG) hasta 1992. Por otro lado, en En Finlandia , F-Secure (fundada en 1988 por Petri Allas y Risto Siilasmaa – con el nombre de Data Fellows) lanzó la primera versión de su producto antivirus. F-Secure afirma ser la primera empresa de antivirus en establecer presencia en la World Wide Web. [42]
En 1991, se fundó el Instituto Europeo de Investigación sobre Antivirus Informáticos (EICAR) para promover la investigación antivirus y mejorar el desarrollo de software antivirus. [43] [44]
En 1992, Igor Danilov lanzó en Rusia la primera versión de SpiderWeb , que más tarde se convirtió en Dr.Web . [45]
En 1994, AV-TEST informó que había 28.613 muestras únicas de malware (basadas en MD5) en su base de datos. [46]
Con el tiempo se fundaron otras empresas. En 1996, en Rumania , se fundó Bitdefender y lanzó la primera versión de Anti-Virus eXpert (AVX). [47] En 1997, en Rusia, Eugene Kaspersky y Natalya Kaspersky cofundaron la empresa de seguridad Kaspersky Lab . [48]
En 1996 apareció también el primer virus Linux "en estado salvaje" , conocido como " Staog " . [49]
En 1999, AV-TEST informó que había 98.428 muestras únicas de malware (basadas en MD5) en su base de datos. [46]
En 2000, Rainer Link y Howard Fuhs iniciaron el primer motor antivirus de código abierto, llamado OpenAntivirus Project . [50]
En 2001, Tomasz Kojm lanzó la primera versión de ClamAV , el primer motor antivirus de código abierto comercializado. En 2007, ClamAV fue comprada por Sourcefire , [51] que a su vez fue adquirida por Cisco Systems en 2013. [52]
En 2002, en Reino Unido, Morten Lund y Theis Søndergaard cofundaron la empresa de antivirus BullGuard. [53]
En 2005, AV-TEST informó que había 333.425 muestras únicas de malware (basadas en MD5) en su base de datos. [46]
En 2007, AV-TEST informó de un número de 5.490.960 nuevas muestras únicas de malware (basadas en MD5) sólo para ese año. [46] En 2012 y 2013, las empresas de antivirus informaron que nuevas muestras de malware oscilaban entre 300.000 y más de 500.000 por día. [54] [55]
A lo largo de los años, se ha hecho necesario que el software antivirus utilice varias estrategias diferentes (por ejemplo, protección específica del correo electrónico y de la red o módulos de bajo nivel) y algoritmos de detección, así como comprobar una variedad cada vez mayor de archivos, en lugar de sólo ejecutables, por varias razones. :
En 2005, F-Secure fue la primera firma de seguridad que desarrolló una tecnología Anti-Rootkit, llamada BlackLight .
Debido a que la mayoría de los usuarios suelen estar conectados a Internet de forma continua, Jon Oberheide propuso por primera vez un diseño antivirus basado en la nube en 2008. [59]
En febrero de 2008, McAfee Labs añadió a VirusScan la primera funcionalidad antimalware basada en la nube del sector con el nombre de Artemis. Fue probado por AV-Comparatives en febrero de 2008 [60] y presentado oficialmente en agosto de 2008 en McAfee VirusScan . [61]
Cloud AV creó problemas para las pruebas comparativas de software de seguridad: parte de las definiciones de AV estaba fuera del control de los evaluadores (en los servidores de las empresas de AV constantemente actualizados), lo que hacía que los resultados no fueran repetibles. Como resultado, la Organización de Estándares de Pruebas Anti-Malware (AMTSO) comenzó a trabajar en un método para probar productos en la nube que se adoptó el 7 de mayo de 2009. [62]
En 2011, AVG introdujo un servicio en la nube similar, llamado Protective Cloud Technology. [63]
Tras la publicación en 2013 del informe APT 1 de Mandiant , la industria ha visto un cambio hacia enfoques sin firmas para el problema capaces de detectar y mitigar ataques de día cero . [64] Han aparecido numerosos enfoques para abordar estas nuevas formas de amenazas, incluida la detección de comportamiento, la inteligencia artificial, el aprendizaje automático y la detección de archivos basada en la nube. Según Gartner, se espera que el aumento de nuevos participantes, como Carbon Black , Cylance y Crowdstrike , obligue a los titulares de protección de puntos finales a entrar en una nueva fase de innovación y adquisición. [sesenta y cinco]
Un método de Bromium implica la microvirtualización para proteger los escritorios de la ejecución de código malicioso iniciada por el usuario final. Otro enfoque de SentinelOne y Carbon Black se centra en la detección del comportamiento mediante la creación de un contexto completo en torno a cada ruta de ejecución del proceso en tiempo real, [66] [67] mientras que Cylance aprovecha un modelo de inteligencia artificial basado en el aprendizaje automático. [68]
Cada vez más, estos enfoques sin firmas han sido definidos por los medios y las firmas de analistas como antivirus de "próxima generación" [69] y están viendo una rápida adopción en el mercado como tecnologías certificadas de reemplazo de antivirus por parte de firmas como Coalfire y DirectDefense. [70] En respuesta, los proveedores de antivirus tradicionales como Trend Micro , [71] Symantec y Sophos [72] han respondido incorporando ofertas de "próxima generación" en sus carteras, como firmas de analistas como Forrester y Gartner han llamado los tradicionales basados en firmas. antivirus "ineficaz" y "obsoleto". [73]
A partir de Windows 8 , Windows incluye su propia protección antivirus gratuita bajo la marca Windows Defender . A pesar de las malas puntuaciones de detección en sus inicios, AV-Test ahora certifica a Defender como uno de sus mejores productos. [74] [75] Si bien no se sabe públicamente cómo la inclusión de software antivirus en Windows afectó las ventas de antivirus, el tráfico de búsqueda de antivirus en Google ha disminuido significativamente desde 2010. [76] En 2014, Microsoft compró McAfee. [77]
Desde 2016, ha habido una notable consolidación en la industria. Avast compró AVG en 2016 por 1.300 millones de dólares. [78] Avira fue adquirida por el propietario de Norton, Gen Digital (entonces NortonLifeLock) en 2020 por 360 millones de dólares. [79] En 2021, la división Avira de Gen Digital adquirió BullGuard. [80] La marca BullGuard se suspendió en 2022 y sus clientes migraron a Norton. En 2022, Gen Digital adquirió Avast, consolidando efectivamente cuatro marcas importantes de antivirus bajo un solo propietario. [81]
En 1987, Frederick B. Cohen demostró que el algoritmo que sería capaz de detectar todos los virus posibles no puede existir (como el algoritmo que determina si un programa determinado se detiene o no ). [25] Sin embargo, utilizando diferentes capas de defensa, se puede lograr una buena tasa de detección.
Existen varios métodos que los motores antivirus pueden utilizar para identificar malware:
El software antivirus tradicional depende en gran medida de firmas para identificar malware. [99]
Básicamente, cuando una muestra de malware llega a manos de una empresa antivirus, es analizada por investigadores de malware o por sistemas de análisis dinámicos. Luego, una vez que se determina que es un malware, se extrae una firma adecuada del archivo y se agrega a la base de datos de firmas del software antivirus. [100]
Aunque el enfoque basado en firmas puede contener eficazmente los brotes de malware, los autores de malware han intentado ir un paso por delante de dicho software escribiendo virus " oligomórficos ", " polimórficos " y, más recientemente, " metamórficos ", que cifran partes de sí mismos o de otra manera. modificarse como método de disfraz, para no coincidir con las firmas de virus en el diccionario. [101]
Muchos virus comienzan como una única infección y, a través de mutaciones o refinamientos por parte de otros atacantes, pueden convertirse en docenas de cepas ligeramente diferentes, llamadas variantes. La detección genérica se refiere a la detección y eliminación de múltiples amenazas utilizando una única definición de virus. [102]
Por ejemplo, el troyano Vundo tiene varios miembros en la familia, según la clasificación del proveedor de antivirus. Symantec clasifica a los miembros de la familia Vundo en dos categorías distintas: Trojan.Vundo y Trojan.Vundo.B . [103] [104]
Si bien puede resultar ventajoso identificar un virus específico, puede resultar más rápido detectar una familia de virus mediante una firma genérica o mediante una coincidencia inexacta con una firma existente. Los investigadores de virus encuentran áreas comunes que todos los virus de una familia comparten de manera única y, por lo tanto, pueden crear una firma genérica única. Estas firmas a menudo contienen código no contiguo y utilizan caracteres comodín donde se encuentran las diferencias. Estos comodines permiten que el escáner detecte virus incluso si están rellenos con código adicional sin sentido. [105] Una detección que utiliza este método se denomina "detección heurística".
El software antivirus puede intentar buscar rootkits. Un rootkit es un tipo de malware diseñado para obtener control a nivel administrativo sobre un sistema informático sin ser detectado. Los rootkits pueden cambiar el funcionamiento del sistema operativo y, en algunos casos, pueden alterar el programa antivirus y dejarlo ineficaz. Los rootkits también son difíciles de eliminar y en algunos casos requieren una reinstalación completa del sistema operativo. [106]
Protección en tiempo real, escaneo en acceso, protección en segundo plano, protección residente, protección automática y otros sinónimos se refieren a la protección automática proporcionada por la mayoría de los programas antivirus, antispyware y otros programas antimalware. Esto monitorea los sistemas informáticos en busca de actividades sospechosas, como virus informáticos, software espía, software publicitario y otros objetos maliciosos. La protección en tiempo real detecta amenazas en archivos abiertos y analiza aplicaciones en tiempo real a medida que se instalan en el dispositivo. [107] Al insertar un CD, abrir un correo electrónico, navegar por la web, o cuando se abre o ejecuta un archivo que ya está en la computadora. [108]
Algunos acuerdos de licencia de usuario final de software antivirus comercial incluyen una cláusula según la cual la suscripción se renovará automáticamente y la tarjeta de crédito del comprador se facturará automáticamente en el momento de la renovación sin aprobación explícita. Por ejemplo, McAfee requiere que los usuarios cancelen la suscripción al menos 60 días antes del vencimiento de la suscripción actual [109], mientras que Bitdefender envía notificaciones para cancelar la suscripción 30 días antes de la renovación. [110] Norton AntiVirus también renueva las suscripciones automáticamente de forma predeterminada. [111]
Algunos aparentes programas antivirus son en realidad malware disfrazado de software legítimo, como WinFixer , MS Antivirus y Mac Defender . [112]
Un "falso positivo" o "falsa alarma" se produce cuando el software antivirus identifica un archivo no malicioso como malware. Cuando esto sucede, puede causar serios problemas. Por ejemplo, si un programa antivirus está configurado para eliminar o poner en cuarentena inmediatamente archivos infectados, como es común en las aplicaciones antivirus de Microsoft Windows , un falso positivo en un archivo esencial puede inutilizar el sistema operativo Windows o algunas aplicaciones. [113] La recuperación de tales daños a la infraestructura de software crítica genera costos de soporte técnico y las empresas pueden verse obligadas a cerrar mientras se toman medidas correctivas. [114] [115]
Ejemplos de falsos positivos graves:
Teniendo en cuenta que Norton/Symantec ha hecho esto para cada una de las últimas tres versiones de Pegasus Mail, sólo podemos condenar este producto por considerarlo demasiado defectuoso para su uso y recomendar en los términos más enérgicos que nuestros usuarios dejen de usarlo en favor de alternativas. Paquetes antivirus con menos errores. [117]
Ejecutar (la protección en tiempo real de) múltiples programas antivirus simultáneamente puede degradar el rendimiento y crear conflictos. [126] Sin embargo, utilizando un concepto llamado escaneo múltiple , varias empresas (incluidas G Data Software [127] y Microsoft [128] ) han creado aplicaciones que pueden ejecutar múltiples motores simultáneamente.
A veces es necesario desactivar temporalmente la protección antivirus al instalar actualizaciones importantes, como los Service Packs de Windows o al actualizar los controladores de la tarjeta gráfica. [129] La protección antivirus activa puede impedir parcial o completamente la instalación de una actualización importante. El software antivirus puede causar problemas durante la instalación de una actualización del sistema operativo, por ejemplo, cuando se actualiza a una versión más nueva de Windows "in situ", sin borrar la versión anterior de Windows. Microsoft recomienda desactivar el software antivirus para evitar conflictos con el proceso de instalación de la actualización. [130] [131] [132] El software antivirus activo también puede interferir con el proceso de actualización del firmware . [133]
La funcionalidad de algunos programas informáticos puede verse obstaculizada por un software antivirus activo. Por ejemplo, TrueCrypt , un programa de cifrado de disco, afirma en su página de solución de problemas que los programas antivirus pueden entrar en conflicto con TrueCrypt y provocar un mal funcionamiento o un funcionamiento muy lento. [134] El software antivirus puede afectar el rendimiento y la estabilidad de los juegos que se ejecutan en la plataforma Steam . [135]
También existen problemas de soporte en torno a la interoperabilidad de las aplicaciones antivirus con soluciones comunes como el acceso remoto SSL VPN y los productos de control de acceso a la red . [136] Estas soluciones tecnológicas a menudo tienen aplicaciones de evaluación de políticas que requieren la instalación y ejecución de un antivirus actualizado. Si la evaluación de políticas no reconoce la aplicación antivirus, ya sea porque se actualizó o porque no forma parte de la biblioteca de evaluación de políticas, el usuario no podrá conectarse.
Los estudios de diciembre de 2007 demostraron que la eficacia del software antivirus había disminuido durante el año anterior, especialmente contra ataques desconocidos o de día cero . La revista de informática C't descubrió que las tasas de detección de estas amenazas habían caído del 40 al 50% en 2006 al 20-30% en 2007. En aquel momento, la única excepción era el antivirus NOD32 , que lograba una tasa de detección del 68%. . [137] Según el sitio web de seguimiento ZeuS, la tasa de detección promedio para todas las variantes del conocido troyano ZeuS es tan baja como el 40%. [138]
El problema se ve magnificado por el cambio de intención de los autores de virus. Hace algunos años era evidente cuando había una infección por virus. En aquel momento, los virus eran escritos por aficionados y mostraban un comportamiento destructivo o ventanas emergentes . Los virus modernos suelen ser escritos por profesionales, financiados por organizaciones criminales . [139]
En 2008, Eva Chen , directora ejecutiva de Trend Micro , afirmó que la industria antivirus ha exagerado la eficacia de sus productos (y por eso ha estado engañando a los clientes) durante años. [140]
Las pruebas independientes realizadas en todos los principales escáneres de virus muestran consistentemente que ninguno proporciona una detección de virus del 100%. Los mejores proporcionaron hasta un 99,9% de detección para situaciones simuladas del mundo real, mientras que los más bajos proporcionaron un 91,1% en pruebas realizadas en agosto de 2013. Muchos escáneres de virus también producen resultados falsos positivos, identificando archivos benignos como malware. [141]
Aunque los métodos pueden diferir, algunas agencias de pruebas de calidad independientes notables incluyen AV-Comparatives , ICSA Labs , SE Labs, West Coast Labs, Virus Bulletin , AV-TEST y otros miembros de la Organización de estándares de pruebas antimalware . [142] [143]
Los programas antivirus no siempre son eficaces contra virus nuevos, incluso aquellos que utilizan métodos no basados en firmas que deberían detectar virus nuevos. La razón de esto es que los diseñadores de virus prueban sus nuevos virus en las principales aplicaciones antivirus para asegurarse de que no sean detectados antes de liberarlos. [144]
Algunos virus nuevos, en particular el ransomware , utilizan código polimórfico para evitar la detección por parte de los escáneres de virus. Jerome Segura, analista de seguridad de ParetoLogic, explicó: [145]
Es algo que pasan por alto muchas veces porque este tipo de [virus ransomware] proviene de sitios que usan un polimorfismo, lo que significa que básicamente aleatorizan el archivo que te envían y pasa por productos antivirus conocidos muy fácilmente. He visto personas infectándose de primera mano, teniendo todas las ventanas emergentes y, sin embargo, tienen un software antivirus ejecutándose y no detecta nada. En realidad, también puede ser bastante difícil deshacerse de él, y nunca estás realmente seguro de si realmente ha desaparecido. Cuando vemos algo así normalmente recomendamos reinstalar el sistema operativo o reinstalar las copias de seguridad. [145]
Un virus de prueba de concepto ha utilizado la Unidad de procesamiento de gráficos (GPU) para evitar la detección del software antivirus. El éxito potencial de esto implica pasar por alto la CPU para que a los investigadores de seguridad les resulte mucho más difícil analizar el funcionamiento interno de dicho malware. [146]
La detección de rootkits es un gran desafío para los programas antivirus. Los rootkits tienen acceso administrativo completo a la computadora y son invisibles para los usuarios y están ocultos de la lista de procesos en ejecución en el administrador de tareas . Los rootkits pueden modificar el funcionamiento interno del sistema operativo y alterar los programas antivirus. [147]
Si un archivo ha sido infectado por un virus informático, el software antivirus intentará eliminar el código del virus del archivo durante la desinfección, pero no siempre podrá restaurar el archivo a su estado intacto. [148] [149] En tales circunstancias, los archivos dañados solo se pueden restaurar a partir de copias de seguridad o instantáneas existentes (esto también se aplica al ransomware [150] ); el software instalado que está dañado requiere reinstalación [151] (sin embargo, consulte Comprobador de archivos del sistema ).
Cualquier firmware grabable en la computadora puede infectarse con código malicioso. [152] Esta es una preocupación importante, ya que un BIOS infectado podría requerir que se reemplace el chip BIOS real para garantizar que el código malicioso se elimine por completo. [153] El software antivirus no es eficaz para proteger el firmware y el BIOS de la placa base contra infecciones. [154] En 2014, investigadores de seguridad descubrieron que los dispositivos USB contienen firmware grabable que puede modificarse con código malicioso (denominado " BadUSB "), que el software antivirus no puede detectar ni prevenir. El código malicioso puede ejecutarse sin ser detectado en la computadora e incluso podría infectar el sistema operativo antes de que se inicie. [155] [156]
El software antivirus tiene algunos inconvenientes, el primero de los cuales puede afectar el rendimiento de una computadora . [157]
Además, los usuarios inexpertos pueden caer en una falsa sensación de seguridad al utilizar el ordenador, al considerar que sus equipos son invulnerables, y pueden tener problemas para comprender las indicaciones y decisiones que les presenta el software antivirus. Una decisión incorrecta puede provocar una brecha de seguridad. Si el software antivirus emplea detección heurística, se debe ajustar para minimizar la identificación errónea de software inofensivo como malicioso ( falso positivo ). [158]
El software antivirus en sí generalmente se ejecuta en el nivel de kernel altamente confiable del sistema operativo para permitirle acceder a todos los posibles procesos y archivos maliciosos, creando una posible vía de ataque . [159] La Agencia de Seguridad Nacional de Estados Unidos (NSA) y las agencias de inteligencia del Cuartel General de Comunicaciones del Gobierno del Reino Unido (GCHQ), respectivamente, han estado explotando el software antivirus para espiar a los usuarios. [160] El software antivirus tiene acceso altamente privilegiado y confiable al sistema operativo subyacente, lo que lo convierte en un objetivo mucho más atractivo para ataques remotos. [161] Además, el software antivirus está "años por detrás de las aplicaciones del lado del cliente preocupadas por la seguridad, como navegadores o lectores de documentos. Esto significa que Acrobat Reader, Microsoft Word o Google Chrome son más difíciles de explotar que el 90 por ciento de los productos antivirus disponibles. allí", según Joxean Koret, investigador de Coseinc, una consultora de seguridad de la información con sede en Singapur . [161]
El software antivirus que se ejecuta en computadoras individuales es el método más común empleado para protegerse contra el malware, pero no es la única solución. Los usuarios también pueden emplear otras soluciones, incluida la gestión unificada de amenazas ( UTM ), firewalls de red y hardware, antivirus basados en la nube y escáneres en línea.
Los firewalls de red impiden que programas y procesos desconocidos accedan al sistema. Sin embargo, no son sistemas antivirus y no intentan identificar ni eliminar nada. Pueden proteger contra infecciones desde fuera de la computadora o red protegida y limitar la actividad de cualquier software malicioso presente al bloquear solicitudes entrantes o salientes en ciertos puertos TCP/IP . Un firewall está diseñado para hacer frente a amenazas más amplias al sistema que provienen de conexiones de red al sistema y no es una alternativa a un sistema de protección antivirus.
El antivirus en la nube es una tecnología que utiliza un software de agente liviano en la computadora protegida, mientras descarga la mayor parte del análisis de datos a la infraestructura del proveedor. [162]
Un enfoque para implementar un antivirus en la nube implica escanear archivos sospechosos utilizando múltiples motores antivirus. Este enfoque fue propuesto por una implementación temprana del concepto de antivirus en la nube llamado CloudAV. CloudAV fue diseñado para enviar programas o documentos a una nube de red donde se utilizan simultáneamente múltiples programas antivirus y de detección de comportamiento para mejorar las tasas de detección. El escaneo paralelo de archivos utilizando escáneres antivirus potencialmente incompatibles se logra generando una máquina virtual por motor de detección y, por lo tanto, eliminando cualquier posible problema. CloudAV también puede realizar una "detección retrospectiva", mediante la cual el motor de detección de la nube vuelve a escanear todos los archivos en su historial de acceso a archivos cuando se identifica una nueva amenaza, mejorando así la velocidad de detección de nuevas amenazas. Por último, CloudAV es una solución para realizar análisis antivirus eficaces en dispositivos que carecen de la potencia informática necesaria para realizar los análisis por sí mismos. [163]
Algunos ejemplos de productos antivirus en la nube son Panda Cloud Antivirus e Immunet . Comodo Group también ha producido antivirus basado en la nube. [164] [165]
Algunos proveedores de antivirus mantienen sitios web con capacidad de escaneo en línea gratuito de toda la computadora, solo áreas críticas, discos, carpetas o archivos locales. El escaneo periódico en línea es una buena idea para quienes ejecutan aplicaciones antivirus en sus computadoras porque esas aplicaciones suelen tardar en detectar amenazas. Una de las primeras cosas que hace el software malicioso en un ataque es desactivar cualquier software antivirus existente y, a veces, la única forma de saber si hay un ataque es recurrir a un recurso en línea que no esté instalado en la computadora infectada. [166]
Hay herramientas de eliminación de virus disponibles para ayudar a eliminar infecciones persistentes o cierto tipo de infección. Los ejemplos incluyen la herramienta de eliminación de software malicioso de Windows , [167] Sophos Scan & Clean , [168] y la herramienta de eliminación de virus Kaspersky . [169] También vale la pena señalar que a veces el software antivirus puede producir un resultado falso positivo, indicando una infección donde no la hay. [170]
Se puede utilizar un disco de rescate de arranque, como un CD o un dispositivo de almacenamiento USB, para ejecutar software antivirus fuera del sistema operativo instalado con el fin de eliminar infecciones mientras están inactivas. Un disco de rescate de arranque puede resultar útil cuando, por ejemplo, el sistema operativo instalado ya no se puede arrancar o tiene malware que se resiste a todos los intentos de ser eliminado por el software antivirus instalado. Ejemplos de software que se pueden utilizar en un disco de rescate de arranque incluyen Trend Micro Rescue Disk , [171] Kaspersky Rescue Disk , [172] y Comodo Rescue Disk . [173] La mayor parte del software del disco de rescate también se puede instalar en un dispositivo de almacenamiento USB que se pueda iniciar en computadoras más nuevas.
Según una encuesta del FBI, las grandes empresas pierden 12 millones de dólares al año debido a incidentes de virus. [174] Una encuesta realizada por Symantec en 2009 encontró que un tercio de las pequeñas y medianas empresas no utilizaban protección antivirus en ese momento, mientras que más del 80% de los usuarios domésticos tenían algún tipo de antivirus instalado. [175] Según una encuesta sociológica realizada por G Data Software en 2010, el 49% de las mujeres no utilizaba ningún programa antivirus. [176]
{{citation}}
: Mantenimiento CS1: URL no apta ( enlace )