Los motivos de porque es tan importante la presencia de detección proactiva en los antivirus gracias a métodos heurísticos.
Autor: Ignacio M. Sbampato, Vicepresidente de ESET para Latinoamérica
Recientemente se cumplieron 25 años desde la aparición del virus Elk Cloner, diseñado para Apple II, y considerado como el primer código malicioso In-the-Wild, es decir, en reproducirse abiertamente.
Desde la aparición de dicho virus hasta la actualidad, una gran variedad de códigos maliciosos han aparecido, cada año en mayor cantidad y logran diversos alcances y metodologías. En dicho período de tiempo, la tecnología de detección de códigos maliciosos ha sido principalmente reactiva, y ha evolucionado relativamente poco en su funcionamiento.
Entendemos como protección reactiva a aquella que necesita primero conocer el código malicioso para así luego detectarlo, similar a la forma en que las vacunas contra enfermedades son desarrolladas por los laboratorios farmacéuticos. El “famoso” proceso de actualización de los antivirus está basado en dicho concepto.
De acuerdo a diversos estudios independientes, desde que una nueva amenaza comienza a ser encontrada in-the-wild hasta que los antivirus instalados en los equipos de los clientes comienzan a detectarlo pueden pasar entre 3 y 20 horas, dependiendo cada caso.
Por ejemplo, ante la aparición del gusano Zotob el año pasado, AV-Test.org publicó un estudio en el que mostraba como dicho proceso podía llevar incluso más tiempo para algunos productos antivirus.
Dicho proceso de actualización reactiva abre una “ventana de tiempo” para que los equipos de usuarios hogareños y empresas sean infectados por nuevos códigos maliciosos, y que recién puedan deshacerse de dicha contaminación una vez que su antivirus fue actualizado y es capaz de limpiar el malware, lo cual puede conllevar que la amenaza ya haya realizado acciones dañinas y comprometido el sistema.
Ante ésta problemática nos encontramos con la necesidad de otro tipo de soluciones, que denominaremos proactivas, las cuales son aquellas capaces de detectar un código malicioso sin la necesidad de una actualización, utilizando técnicas heurísticas o de bloqueo de comportamiento, y protegiendo a los usuarios y empresas antes que la amenaza comience a propagarse por Internet.
Esta protección proactiva se basa en algoritmos de reconocimiento inteligente de códigos y actividades maliciosos, y es la respuesta de muchas casas antivirus ante la necesidad de brindar una protección más veloz ante la rapidez de propagación de algunos malware y la gran cantidad de estos que se descubren a diario.
Hasta hace poco se consideraba que el mayor problema de las soluciones proactivas era su alto consumo de recursos, dado que para aplicar dicha “inteligencia” en la detección de códigos maliciosos se requería de mayor memoria y recursos de procesador.
Sin embargo, lo anterior no se aplica a todas las soluciones antivirus, dado que no todas ellas funcionan igual ni ofrecen los mismos resultados. Evaluaciones retrospectivas como las que realiza AV-Comparatives.org nos permiten observar la gran diferencia existente en la detección heurística que proveen las diferentes aplicaciones antivirus del mercado.
Si sus clientes no tienen una solución antivirus que provea una protección proactiva, se encontrarán ante el dilema de tener que limpiar equipos infectados en forma constante mientras esperan que el antivirus sea actualizado. Esto implica un grave riesgo de seguridad ante la gran cantidad de amenazas específicamente diseñados para realizar estafas y fraudes, que una vez han infectado un sistema, ya pueden haber causado un gran daño hasta que son eliminados.
Las soluciones proactivas no solo pueden disminuir notablemente la cantidad de infecciones durante la “ventana de tiempo” requerida para liberar la actualización del antivirus ante una nueva epidemia, sino que también permiten ahorrar en costos de soporte ante incidencias y evitar pérdidas de productividad para los clientes y para sus proveedores de seguridad informática.
La capacidad de detectar virus desconocidos mediante técnicas proactiva sin perder eficiencia en el manejo de recursos y manteniendo un alto nivel de detección de virus conocidos (como puede verse en las pruebas de Virus Bulletin) es lo que diferencia al antivirus ESET NOD32 del resto de las soluciones existentes, y lo que nos permite que nuestros clientes, y sus activos e información, estén mucho más seguros ante la gran proliferación de códigos maliciosos de todo tipo.
