Cargando…

LISTO PARA APRENDER?

"La educación es lo que permanece cuando uno ha olvidado lo que aprendió en la escuela"
Albert Einstein.
explorar

Antivirus: ¿Funcionan?

Los virus han sido una preocupación importante para los profesionales de la ciberseguridad desde hace mucho tiempo y lo siguen haciendo. Después que los ciberdelincuentes hayan comenzado a plantear sus ataques cibernéticos maliciosos de manera sofisticada, la lucha contra estas amenazas se ha vuelto más alarmante y desafiante. Algunos fabricantes de PC preinstalan software antivirus (AV) en sus sistemas, que generalmente están en sus versiones de prueba. Estos programas AV preinstalados más tarde le pedirán que se registre para obtener una versión Premium o una versión de pago una vez que finalice el período de prueba. En tal situación, no debe ceder a la presión de adherirse al mismo software; de hecho, trate de encontrar el que se adapte a sus necesidades.

 

Nadie puede ganar una guerra al proporcionarles solo armaduras a los soldados. En cambio, su elección de armas debe ser lo suficientemente personalizada y competente para protegerse contra la amenaza futura, por lo que un programa AV no es autosuficiente para proteger a varias entidades de su organización y evitar un ataque cibernético. Con AV, necesita tener otros sistemas de defensa, que incluyen firewalls, sistemas de detección de intrusos, bloqueadores de ventanas emergentes / publicitarias, filtros de suplantación de identidad, cumplimiento de punto final y mucho más, por lo que considere todo esto como solo un guerrero de primera línea en una zona de guerra, mientras que un equipo dedicado de profesionales de seguridad trabajará para proteger y prevenir el marco de seguridad de su organización, además, es por eso que debes tener su defensa preliminar lo suficientemente fuerte como para eliminar tantas amenazas como sea posible.

 

¿Realmente entiendes el software AV?

 

El software AV es un programa, originalmente diseñado para buscar, identificar y eliminar amenazas, especialmente virus antes de que pueda dañar su sistema, sin embargo, con el tiempo, han surgido nuevas amenazas y ahora el software AV es capaz de luchar contra varios tipos de amenazas cibernéticas. Estas amenazas incluyen malware (ransomware, spyware, adware, troyanos y gusanos), keyloggers, backdoors, rootkits y secuestradores de navegador, además, parte del software AV especializado también puede ofrecer protección contra ataques de phishing, ataques de banca en línea, correo no deseado, URL maliciosas, amenazas persistentes avanzadas y ataques DDoS de botnets.

 

A medida que varias empresas desarrollan software AV, algunas de sus funciones difieren entre sí, sin embargo, todos ellos aseguran algunas responsabilidades generales, que son:

 

  • Análisis de archivos y carpetas en busca de la presencia de amenazas maliciosas predefinidas
  • Permitiéndole programar el escaneo automático
  • Notificación sobre detección de infección.
  • Eliminar automáticamente los códigos maliciosos detectados
  • Evaluar la salud del sistema.

 

¿Cómo funciona el software AV para protegerte?

 

Un programa AV puede ser considerado como una de las armas más importantes de una estrategia de seguridad de múltiples capas. Como la mayoría de los programas maliciosos se transforman regularmente para evitar la detección, nuestra estrategia de defensa debe incluir un software AV que esté equipado con capacidades avanzadas para identificar amenazas sofisticadas mencionadas anteriormente.

 

Eche un vistazo a las características del programa AV y cómo contribuyen a mejorar el rendimiento del programa.

 

Exploración

 

La capacidad del software AV para ejecutarse en segundo plano y así comprobar cada archivo y carpeta a los que se accede generalmente se conoce como escaneado en acceso, escaneo en segundo plano, escaneo residente y protección contra virus en tiempo real. El uso de estos términos cambia según el programa de AV que esté utilizando.

 

Esta operación en segundo plano del programa de AV funciona de manera eficiente y sin interrupciones, sin interrumpir su trabajo habitual. Por ejemplo, cuando ejecuta un archivo ejecutable (.exe), puede parecer que se inicia de inmediato, pero en realidad, el software AV lo escanea y luego lo permite, de lo contrario, le notifica sobre el peligro detectado. Durante la exploración, el software AV hace coincidir varios elementos del archivo con amenazas predefinidas (como virus, gusanos y tipos de malware), también realiza una verificación “heurística” para identificar nuevos virus desconocidos. El escaneo AV no está limitado a archivos .exe; También examina los archivos .zip en busca de una forma comprimida de virus, archivos .doc o .docx para macros maliciosos, y más. El escaneado en acceso es una buena idea, ya que limita los virus para que exploten huecos de seguridad en los sistemas, los cuales son detectadas por el escáner.

 

Escaneo completo del sistema

 

Con el escaneo de acceso regular, un escaneo completo del sistema deja un espacio mínimo para que los virus ataquen su sistema, incluso si ha descargado un virus por error, el programa de AV lo elimina inmediatamente por sí solo, sin esperar a que inicie un análisis manual. El escaneo completo del sistema generalmente se usa cuando se acaba de instalar su programa AV, ya que es necesario eliminar virus no detectados, como otras amenazas, este escaneo también puede ser utilizado durante la reparación de su sistema infectado y para esto se recomienda realizar un escaneo completo del disco, conectando este a otro sistema con AV.

 

Definiciones de virus predefinidas

 

El software AV se actualiza con nuevas definiciones de diferentes tipos de malware, generalmente una vez al día y contiene firmas únicas de los virus. Cada vez que un programa AV se encuentra con una parte de un programa que coincide con la firma predefinida, no deja ejecutar el programa infectado y lo pone en “cuarentena”, el archivo infectado se eliminará automáticamente, o su sistema le indicará una opción para ejecutar sin importar la presencia de contenido malicioso; ambas opciones dependen del software que esté utilizando.

 

Heurísticas

 

Un programa AV también es capaz de emplear heurísticas, haciendo que pueda detectar un tipo desconocido de malware incluso cuando no está incluido en las definiciones de virus. Por ejemplo, si el software AV nota que un programa se replica o trata de acceder a todos los archivos .exe, entonces el software puede etiquetarlo como un tipo de virus desconocido, sin embargo, esta característica no está diseñada para ser de naturaleza agresiva; De esta manera, el programa no marcará programas autorizados como virus.

 

Un método heurístico es una combinación de técnicas heurísticas estáticas y dinámicas. El análisis heurístico estático descompila el programa para examinar su código fuente, este código fuente se comparará con los virus presentes en la base de datos heurística, incluso si una parte del código coincide con el código existente en la base de datos, el programa de AV considerará que el código es una amenaza. Mientras en la técnica heurística dinámica, los investigadores buscan códigos maliciosos en un entorno virtual seguro dejando ejecutar según sus reglas predefinidas al programa AV.

 

Falsos positivos

 

Falso positivo es un término usado para denotar un error al reportar un archivo legítimo como un virus debido a su comportamiento sospechoso. Se ha observado que los programas de AV a veces marcan como virus los archivos del sistema de Windows originales, las aplicaciones de terceros e incluso sus propios archivos de programa, este falso positivo, si es considerado como un virus por el usuario, puede dañar el sistema. Microsoft Security Essentials que identifica a Google Chrome como un virus es uno de estos incidentes

 

Imagine que no puede recibir un correo de un cliente habitual solo porque él / ella usó una palabra que categorizó el correo como spam, incluso recibir mensajes de spam en tu bandeja de entrada es molesto. Ahí es donde el filtrado de spam Bayesiano entra en escena, te da la probabilidad de que un determinado correo electrónico sea un spam. Este filtrado bayesiano de spam sigue el teorema de Bayes, que establece la probabilidad de un evento, donde este mismo teorema se usa en programas AV para reducir el número de falsos positivos.

 

Tasas de detección

 

Si desea elegir el mejor programa AV disponible en el mercado, busque las tasas de detección, esta nunca es la misma y fluctúa con el tiempo. Para calcular la tasa de detección de un programa AV, se tienen en cuenta tanto los archivos de definición de virus como las heurísticas, algunos programas AV son efectivos con heurísticas, mientras que otros son buenos con las definiciones de virus; este es un atributo interesante a considerar al seleccionar un programa AV para su sistema.

 

Nota interesante: si desea probar si su software de AV funciona correctamente o no, consulte el archivo de prueba EICAR (Instituto Europeo de Investigación de Antivirus de Computadoras).

 

Considere todas las funciones mencionadas anteriormente al elegir un programa AV para su sistema.

 

Simplificación de las tasas de detección y confiabilidad del programa de AV con el teorema de Bayes

 

Tomemos el siguiente ejemplo: la tasa general de detección de malware es del 75% para AV 1, del 97% para AV 2 y del 94% para AV 3. La elección parece obvia, ¿no es así?

 

Supongamos que hemos analizado nuestro sistema en busca de malware y llegamos a la conclusión de que la probabilidad que esté “en buen estado” es del 1%. También hemos evaluado la fiabilidad de nuestro AV la cual es de aproximadamente el 99%. La pregunta es: si el AV informa que el sistema está en buen estado, ¿cuál es la probabilidad de que se infecte? Aquí es donde el teorema de Bayes despliega su poder. La mayoría de las personas asumirán que la respuesta es del 99% o cerca del 99%, esa es la tasa de fiabilidad de la exploración, ¿verdad? En realidad, la respuesta exacta, respaldada por el teorema de Bayes, es solo del 50%.

 

En el teorema bayesiano,

 

P (B): la probabilidad que su sistema se haya infectado antes de ser escaneado es del 1% o 0.01.

 

P (E): la probabilidad que se detecte una infección. P (E) es la probabilidad de la exploración sea positiva, ya sea que su sistema esté infectado o no. En otras palabras, incluye tanto falsos positivos como verdaderos positivos.

 

Para calcular la probabilidad de un falso positivo, debe multiplicar la tasa de falsos positivos, la cual es 1% o 0.01 por el porcentaje del sistema que ha sido infectado, es decir, 99%, para un total de 0.0099. Sí, ¡tu súper prueba con un 99% de precisión da tantos falsos positivos como verdaderos positivos! Vamos a terminar el cálculo. Para obtener P (E), agregue los positivos falsos y verdaderos a un total de 0.0198, cuando se divide por 0.0099, da 0.5. Entonces, la probabilidad que su sistema se infecte realmente es del 50%.

 

Mantengámoslo breve y simple: si ha escaneado su sistema solo una vez, la probabilidad de que su computadora esté “limpia” es de 50–50. Esto puede parecer extraño pero es real porque el AV no reconoce un malware desconocido, pero si reinicia un escaneo, todo cambiará. Haciendo la prueba, puede reducir considerablemente su incertidumbre ya que ahora la probabilidad que su sistema se infecte, P (B), es del 50% y no del 1%. Si el segundo escaneo es positivo, el teorema de Bayes le dice que la probabilidad de infección es ahora del 99% o 0.99.

 

Como muestra este ejemplo, la repetición del teorema de Bayes puede proporcionar datos muy precisos, esto significa que la probabilidad de ser infectado su sistema  disminuye con cada análisis sucesivo porque, por un lado, el software AV recibe información sobre el malware que anteriormente se desconocía con cada actualización consecutiva y, por otro lado, la probabilidad que descargará malware desconocido regularmente es significativamente bajo.

 

Por lo tanto, comprender las estadísticas bayesianas es la forma más adecuada de juzgar la confiabilidad de un programa AV.

 

Incluso en 2019, necesitamos programas AV. En estos días, el programa AV no se usa obligatoriamente para eliminar virus y un puñado de ataques de ciberseguridad, si no también ayuda a garantizar que los malhechores malintencionados no puedan robar sus datos o dañar su sistema fácilmente. Vivir una vida en línea nunca ha sido fácil, y con el avance de la tecnología, se necesita toda forma de defensa.

Fuente: Zdnet

ETIC Solutions S.A.S