lunes, 17 de octubre de 2016

Los principios fundamentales de los antivirus: virus, firmas, desinfección

Hablamos y hablamos sobre cómo comportarse (e incluso sobre cómo sobrevivir) en el mundo digital. Esperamos que no sea en vano y que nuestros lectores aprendan de nosotros para luego enseñar a sus amigos y familiares. Es muy importante.
Pero, a veces, damos por hecho cierto conocimiento común de algunos términos y expresiones específicos. Así que hoy volvemos a lo básico para abordar tres cosas fundamentales de los antivirus.

1. Firmas

Las bases de datos de antivirus se llaman históricamente firmas, tanto en el uso común como en el escrito. En realidad, las firmas clásicas llevan sin usarse unos 20 años.
Las firmas como concepto no estaban definidas desde el principio (desde los 80). Ni si quiera ahora tienen una página en Wikipedia y la entrada sobre malware usa el término de “firmas” sin definirlo, como si fuera algo de conocimiento general y no requiriera explicación.
¡Así que, por lo menos, definamos las firmas! Las clásicas firmas de virus son una secuencia continua de bytes comunes en cierta muestra de malware, lo que significa que se contiene dentro de este o del archivo infectado y no en archivos no afectados.
Una secuencia característica de bytes.
Hoy en día, las firmas no son suficientes para detectar archivos maliciosos: los creadores demalware usan métodos de ofuscación para cubrir sus huellas. Por ello, los productos de antivirus modernos deben utilizar métodos más avanzados de detección. Las bases de datos de antivirus todavía contienen dichas firmas (representan más de la mitad de las entradas), pero también incluyen entradas más sofisticadas.
Como costumbre, todavía se puede llamar a esas entradas “firmas”. No hay nada de malo en ello, siempre que recordemos que el término se refiere a una gama de técnicas que conforman un arsenal mucho más robusto.
Idealmente, deberíamos dejar de utilizar el término “firma” para referirnos a cualquier entrada en la base de datos del antivirus, pero se sigue usando porque aún no existe un término más exacto.
Una entrada en la base de datos del antivirus es solo eso: una entrada. La tecnología tras ella podría ser una firma clásica o algo supersofisticado, innovador y que busca el malware más avanzado.

2. Virus

Como te habrás dado cuenta, nuestros analistas evitan utilizar el término “virus” y prefieren definiciones como “malware” o “amenaza”, entre otras. La razón es que un virus es un tipo específico de malware que se comporta de una manera específica: infecta archivos limpios. Los analistas prefieren referirse a ellos con el termino inglés infector (que infecta).
Los infectors gozan de una posición única en el laboratorio. En primer lugar, son difíciles de detectar porque, a primera vista, el archivo parece limpio. En segundo lugar, requieren de un tratamiento especial: casi todos ellos necesitan una desinfección y un proceso de detección específicos. Por ello, de los infectors se encargan personas especializadas en este tipo de amenazas.
Clasificación de malware.
Así que, para evitar confusión cuando se hable de amenazas en general, los analistas utilizan términos genéricos como “programa malicioso” o “malware”.
Esta son otras clasificaciones que pueden ser útiles. Un gusano es un tipo de malware que puede replicarse y que puede salir del dispositivo que ha infectado inicialmente para así infectar otros. Elmalware, técnicamente hablando, no incluye el adware (software de publicidad intrusiva) ni elriskware (software legítimo que puede causar daño en un sistema si lo instala un malhechor).

3. Desinfección

Últimamente, he oído cierto rumor que espero que no sea una interpretación errónea generalizada: que un antivirus solo analiza y detecta el malware, pero luego el usuario necesita descargar una utilidad especial para borrar el malware. De hecho, las utilidades especiales existen para ciertos tipos de malware: por ejemplo, los descifradores de archivos afectados porransomware. Pero los antivirus pueden hacerlo por sí mismos (y a veces es la mejor opción por el acceso que tienen a los drivers del sistema y a otras tecnologías que las utilidades no tienen).
Entonces, ¿cómo se realiza el borrado del malware? En un pequeño porcentaje de los casos, una máquina elige un infector (normalmente antes de que se instale el antivirus, ya que pocas veces pueden saltarse las defensas de un antivirus), este actúa en algunos archivos y luego el antivirus detecta cualquier archivo infectado y elimina el código malicioso y lo restaura a su estado original. Se emplea el mismo proceso cuando necesitas descifrar archivos que un ransomware ha cifrado, comúnmente detectados como Trojan-Ransom.
En el resto de los casos (la mayoría, quizá el 99 % de los mismos), el malware es detectado antes de que infecte algún archivo, el proceso consiste en simplemente borrar el malware. Si no se han dañado archivos, no hay por qué restaurar nada.
En la mayoría de los casos, basta con eliminar el archivo malicioso.
Hay una excepción: si el malware no es un infector (por ejemplo, si es un ransomware) y ya está activo en el sistema, el antivirus activa el modo de desinfección para asegurarse de que la amenaza se ha eliminado para siempre y de que no volverá. Puedes aprender más sobre el proceso aquí.
Dicha excepción suele suceder por dos motivos:
1. El antivirus se ha instalado en una computadora ya infectada. Típica secuencia errónea, infectarse primero y luego decidir que es hora de hacer algo con la protección.
2. El antivirus marcó algo como “sospechoso” en lugar de “malicioso” y ha empezado a monitorizar su actividad. Tan pronto como se compruebe que el malware es malicioso, el antivirus detendrá todas las actividades maliciosas (detectadas durante el período de seguimiento). Por ejemplo, el antivirus podría restaurar archivos cifrados desde copias de respaldo instantáneas si el PC ha sido atacado por ransomware o algún infector.

Conclusión

Eso es todo por hoy. Espero que ahora:
1. Sepas que las firmas hoy en día son, básicamente, cualquier entrada en la base de datos del antivirus, incluidas las más avanzadas.
2. Estés más familiarizado con los diferentes tipos de malware.
3. Comprendas que el proceso de desinfección de un ordenador o un dispositivo está entre las competencias de un programa antivirus (además de por qué es importante mantener el componente System Watcher activo para analizar el comportamiento de archivos sospechosos).