El pequeño secreto de algunos antivirus

La industria de los antivirus guarda un secreto algo «sucio» y que a muchos proveedores no interesa que nadie sepa, al menos no el usuario medio. Y es que a pesar de sus proclamas de que sus productos son la protección definitiva, de hecho esto no es así.

En la mayoría de casos, su efectividad oscila entre un 75% y un 90% de efectividad, mientras algunas honrosas excepciones se colocan en torno al 93-95% (en ciertos test).

¿Cómo funciona un antivirus?

Veamos la cuestión en detalle. Los antivirus nos protegen de dos tipos principales de amenazas: aquellas que ya son conocidas y aquellas que están «por conocer» (las temidas Día Cero o 0-Day).

1. Para responder a las amenazas ya conocidas -llamemos a esto malware común- se emplean los archivos de firmas. Las amenazas se clasifican a diario por decenas de miles (o más) y se lanzan actualizaciones por lotes para que el antivirus cuente de forma previa con la solución. Esto es denominado detección reactiva.
2. Después tenemos la amenazas aún no descubiertas (es posible que ya alguien las conozca, pero el antivirus no sabe de su existencia) y suelen ser nuevas o han pasado desapercibidas por algún motivo. En estos casos, el antivirus debe defenderse de la amenaza de una manera más predictiva o proactiva, basándose en patrones como los permisos solicitados, acciones llevadas a cabo, procesos invocados…esto es, basándose en comportamiento.

RAP de Virus Bulletin

Muchos laboratorios existen a día de hoy, pero si tengo que citar a los que respeto por su trabajo y metodología, se reducen a 3:

• Virus Bulletin
• Av-comparatives
• Av-test

El RAP no es otra cosa que combinar la detección reactiva (R) y proactiva (A) para mostrar como de fiable es un antivirus de forma gráfica. Este estudio lleva décadas realizándose y sirve como base también a las firmas para mejorar.

Los antivirus se testean cada mes y se elabora su correspondiente informe actualizado. Se lanza contra cada antivirus un número indeterminado de malware, pero en cualquier caso no son pocas muestras. El siguiente gráfico muestra la protección proactiva en el eje horizontal y la reactiva en el vertical.

No olvides que puedes consultar el RAP de VirusBulletin aquí

Los resultados no son malos, pero desde luego podrían ser mejores. La mayor parte de antivirus se sitúan en torno a un 85% de eficacia reactiva y un 75% proactiva. Fíjate en como se comporta tu motor antivirus actual, porque quizá te lleves un susto y debas cambiarlo de inmediato!

Un eslabón de la cadena

Quien piense que esto va de «comprarse un antivirus y echarse a dormir» está equivocado. El servidor de phishing medio solo está activo unas 6 horas antes de que sus propios creadores lo desconecten para evitar ser cazados. Curiosamente es el mismo lapso de tiempo que la mayoría de empresas de antivirus tardan en actualizar y lanzar firmas.

No conviene crearse una falsa sensación de seguridad que pueda traducirse en sustos posteriores. El antivirus está bien (y es muy necesario) pero también lo es la conciencia, actuar con prudencia y formar a los equipos de empleados y usuarios finales.