Comparativa de antivirus según protección antimalware (Q1 2020)

Av-Comparatives ha publicado su recientemente finalizada comparativa de protección antimalware para los productos antivirus más importantes del mercado. Este estudio comprende los primeros meses del 2020 y permite hacernos una idea de la eficacia de los antimalware en lo que se presupone que deben hacer, frenar las amenazas.

Mientras en test como el que denominan «Real-World» los vectores se ciñen principalmente a la web, en este Malware Protection Test los vectores son mucho más diversos, comprendiendo unidades de red, discos externos o malware ya existente en el dispositivo.

Existen varios laboratorios importantes que se dedican a realizar análisis de comportamiento y comparaciones directas entre productos antivirus. Estos laboratorios se presuponen independientes en su juicio al emplear pruebas «medibles y demostrables». Los más importantes tradicionalmente son Av-Comparatives, Av-Test o VirusBulletin, entre otros.

En estos test se analizaron principalmente suites antivirus de tipo medio, lo que llaman «internet security», aunque algunos proveedores quisieron enviar productos gratuitos.

Sin más, vemos algunas conclusiones importantes sobre este cara a cara.

Comparativa de antivirus según limpieza de malware y falsos positivos

Los productos analizados en esta ocasión comprenden marcas clásicas como Kaspersky, Bitdefender, Norton o Panda. También hay otras menos conocidas como Total AV o VIPRE. Entre los antivirus gratuitos están Total Defense Essential 12.0, Avast Free 20.1 / AVG Free 20.1 (son lo mismo) y Panda Free Antivirus 20.0

Metodología

Las pruebas de protección antimalware de Av-Comparatives miden la capacidad de un programa para proteger un sistema frente a archivos infectados antes, durante y después de su ejecución.

Antes de ser ejecutada, cada muestra es analizada en modo en linea y offline tanto «on demand» (análisis manual) como «on access» (en ejecución). Muestras que no hayan sido detectadas de esta forma, son entonces ejecutadas en el sistema de pruebas, con acceso a internet y por tanto a la red cloud del antivirus. De esta manera puede preguntar a su servidor si el comportamiento parece o no legítimo.

En caso de que en un tiempo determinado el programa de seguridad no haya revertido o impedido las operaciones del malware, se considera fallida la prueba con esa muestra.

Casos de prueba

Los test han consistido en el análisis en vivo de 10249 muestras de malware, construidas tras consultar datos de telemetría recientes para saber cuales son las más activas o relevantes. La recolección ha finalizado en Febrero.

Se han organizado las variantes de amenazas en clusters, para así ofrecer datos más realistas. Las pruebas se han realizado en plataformas Windows.

Protección cloud y offline

En la tabla que aparece más abajo puedes encontrar resultados de la comparativa de detección de estos antivirus, según si utilizan su motor con firmas fuera de linea o bien si se utiliza la red de inteligencia cloud (por ejemplo Kaspersky Secure Network).

La mayoría de estos productos ofrecen una protección balanceada entre ambas variantes, tendiendo a ser ligeramente mejor la protección en la nube.

Sin embargo, destacan negativamente Panda y Trend Micro en el sentido de que su detección offline es débil (ligeramente por encima del 50% de muestras), por tanto deberá ser tenido en cuenta por los usuarios y correctamente informado por el proveedor, dado que en caso de sistemas en segmentos de red aislados o con pérdidas de conexión, podría mermarse bastante la protección.

También me he permitido marcar en color rojo los peores resultados en cuanto a FP (falsos positivos) de los que en principio conviene huir. Como usuarios, porque nos impedirán trabajar normalmente en más ocasiones, como administradores, porque nos darán más trabajo añadiendo excepciones para esos usuarios.

Test de falsos positivos

En linea con lo anterior, conviene dejar claro que un falso negativo es un programa benigno (inofensivo) que el antivirus marca como malicioso, o potencialmente malicioso, ya que normalmente son los módulos heurísticos los responsables. Y al contrario, un falso negativo sería una detección no producida para un archivo que sí es malicioso.

En la siguiente imagen se pueden ver más datos sobre este apartado.

En cuanto a las capacidades de detección y bloqueo de amenazas, en la siguiente tabla comparativa podemos ver cuántas de las 10249 muestras de malware han sido capaces de vulnerar el escudo del antivirus.

Se puede ver que casi todos los productos consiguen cerca del 100% de eficacia. Windows Defender de Microsoft consigue también una buena marca (99,88%) y el único algo rezagado es TrendMicro, que deja pasar 82 muestras de algo más de 10000.

Para terminar, aquí tenemos el gráfico combinado que incluye número de muestras que comprometieron el sistema, junto con las bloqueadas automáticamente, las que requerían acción de usuario (ningún caso) y el número de falsos positivos.

Este es el gráfico más representativo sin duda.

Conclusiones de la comparativa antimalware

Estas radiografías periódicas que nos ofrecen los laboratorios independientes nos permiten saber si nuestra solución antivirus actual sigue en buena forma o si quizá conviene pensar en reemplazarla por otra más avanzada.

No conviene juzgar en términos absolutos la eficacia de un antivirus según su detección de malware, caso de TrendMicro, que claramente tiene un funcionamiento heurístico más relajado y, a pesar de proteger teóricamente «menos», también arroja la mejor cifra de falsos positivos.

Finalmente, si se trata de recomendaros un software de protección (habiendo varias buenas opciones) me quedaría con Kaspersky Internet Security por su motor antivirus -buen balance entre protección y falsos positivos- además de ser fácil de administrar y contar con un buen soporte.