Lo que la protección contra virus y malware puede hacer por usted

A los vendedores de antivirus les gusta sugerir que sin ellos usted estaría perdido. O al menos que lo estarían sus datos. Algunos usuarios de Windows mantienen lo contrario: las herramientas antivirus merman el rendimiento del sistema, enfadan a los usuarios con alertas innecesarias y bloquean aplicaciones totalmente inofensivas sin que puedan garantizar que no pueda colarse algún software realmente malicioso.

Aunque el software antivirus puede llegar a ser especialmente molesto, también le proporciona una red de seguridad imprescindible. Sin software antivirus tendría que tener muchísimo cuidado en todas sus interacciones con los demás para evitar que el malware infecte su equipo. Para decirlo en pocas palabras: sin antivirus no hay Internet.

Los programas antivirus actuales son muy similares en la manera en que protegen a los usuarios del software malicioso; llamémoslo "software" para abreviar. Sus módulos de protección en tiempo real comprueban todos los archivos tan pronto como aparecen. Un módulo de protección web intenta impedir el acceso a sitios dañinos. Por último, un análisis bajo demanda comprueba todos los datos locales en busca de posibles archivos infectados.

Es cierto que estos tres métodos requieren potencia de procesamiento y pueden reducir ligeramente el rendimiento del sistema. Sin embargo, hay varios métodos que se utilizan para reducir este impacto. Uno de ellos es un enfoque a varios niveles para identificar sotwal dañino.

Una breve introducción: cómo funciona la protección antivirus

La forma más sencilla para identificar amenazas es comparando el código con "muestras" de malware conocido. En pocas palabras, todo se reduce a comprobar si el archivo analizado coincide con una suma de control de una lista negra.

Este enfoque tiene la desventaja de que los ataques pueden eludir el reconocimiento de muestras realizando unos cambios mínimos en el código. También tenemos el análisis heurístico, en el que el programa antivirus amplía los criterios de detección comparándolos con un patrón más amplio, como un fragmento de código específico en lugar de todo el archivo.

El análisis heurístico tiene la ventaja de detectar fácilmente las variantes de una amenaza. No obstante, como siempre hay un pero con el software antivirus, el análisis heurístico implica cierto grado de conjeturas y tiende a confundir aplicaciones válidas con malware.

El siguiente enfoque sería el análisis del comportamiento. Con este propósito, las aplicaciones sospechosas se ejecutan primero en un "sandbox", aislado del sistema operativo. Este método de detección, sin embargo, consume muchos recursos, por lo que, si lo ejecuta en su ordenador, el sandboxing puede afectar significativamente a su rendimiento.

Para mitigar estos problemas, los desarrolladores de antivirus han desarrollado sistemas de reputación en línea. Si el programa antivirus local duda sobre un archivo, puede ponerse en contacto instantáneamente con los servidores de su proveedor para comprobar si está en una lista blanca centralizada. Si se sabe que el código es inofensivo, se le permitirá ejecutarse. Si el código es desconocido, se envía como muestra a los servidores del fabricante para su análisis centralizado. Allí, la muestra se ejecuta en un entorno virtual de Windows donde se comprueba su comportamiento para detectar actividades inusuales.

Todo esto ocurre normalmente sin que los usuarios tengan que preocuparse lo más mínimo por ello. Piense en los programas antivirus como en unos pequeños y amables duendecillos que trabajan en segundo plano para mantenerle a salvo. Sin embargo, hasta los duendecillos pueden equivocarse alguna que otra vez.

Cuando las herramientas antivirus se desmelenan

A pesar de las defensas de las listas blancas y de los controles de reputación en línea, el software antivirus a veces convierte en objetivo software inofensivo. A este software inofensivo no se le permite funcionar correctamente y se bloquea el acceso a sitios web inocuos. Estos errores se conocen como "falsos positivos".

Un ejemplo reciente de un falso positivo es Comodo Internet Security Pro, que en determinadas circunstancias impide a los usuarios ejecutar SoftMaker Office 2018. Utilizando la configuración estándar, el firewall integrado de Comodo puede bloquear el acceso a los servidores de activación de SoftMaker. Como resultado, el software no puede verificar la validez de una licencia y se produce un error durante la activación.

Los desarrolladores de software afectados por este problema no tienen más remedio que ponerse en contacto con el fabricante del antivirus, convencerlo de la legitimidad de su software y solicitarles que añadan su producto a la lista blanca de la compañía. Esto lleva su tiempo. Mientras tanto, los usuarios tienen que conformarse con soluciones alternativas.

En el caso de Comodo Internet Security Pro y SoftMaker Office 2018, la única manera de completar la activación es, hasta el momento, desactivar el módulo "Filtro de sitios web" de la suite antivirus. Esto se hace yendo a la configuración de Comodo Internet Security y entrando en Filtro de sitios web. En esta sección, debe deshabilitar la opción "Habilitar el filtro de sitios web (recomendado)" y confirmar su elección haciendo clic en Aceptar.

En términos generales, debe tener mucho cuidado al deshabilitar elementos de su protección antivirus. La mejor solución para este problema es crear excepciones para aplicaciones concretas, algo así como una lista blanca local. No obstante, antes de añadir una excepción de este tipo, es conveniente asegurarse de que no pone en riesgo la seguridad del equipo. Afortunadamente, hay varios servicios en línea gratuitos que pueden ayudarle a hacerlo.

Cómo comprobar si un archivo es inofensivo

Algunas aplicaciones antivirus son draconianas: eliminan rápidamente los archivos sospechosos o los ponen en "cuarentena" en un contenedor especial donde no pueden provocar ningún daño. Esto ocurre normalmente incluso antes de que el programa antivirus emita cualquier tipo de alerta.

Hay muchas formas de comprobar si un archivo es un falso positivo o tan malicioso como cree el software antivirus. A menudo, primero tendrá que restaurar el archivo desde la cuarentena. Dado que el proceso es muy específico de la aplicación, debe consultar la documentación de su antivirus para obtener más detalles. Para evitar que se vuelva a eliminar el archivo restaurado, a veces tendrá que crear una excepción temporal.

Después, puede cargar el archivo en un servicio de análisis de virus en línea, como por ejemplo HerdProtect, el escáner de malware de Jotti, Opswat Metadefender Cloud o VirusTotal. ¡Nunca haga doble clic sobre un archivo sospechoso antes de cargarlo! El servicio procederá a comprobar el archivo cargado utilizando varios motores de análisis de virus, lo que puede tardar unos minutos.

Los resultados de los servicios de análisis de virus en línea pueden ser difíciles de interpretar. Sin embargo, si más que unos pocos motores están de acuerdo en que el archivo es malicioso, lo más probable es que su antivirus local haya acertado. Tenga especial cuidado con los resultados marcados como resultados heurísticos (identificados normalmente como "heur") ya que, como se mencionó anteriormente, este tipo de análisis es bastante propenso a cometer errores.

Los servicios de análisis de virus en línea no son perfectos y puede que ninguno de los escáneres detecte que un archivo es malicioso al cargarlo. Esto puede ocurrir sobre todo con los archivos que haya recibido como adjuntos en correos electrónicos. Este tipo de malware suele estar diseñado a medida para evitar la protección antivirus.

Por lo general, los fabricantes de antivirus se dan cuenta del engaño en cuestión de horas. Por lo tanto, si usted sigue sospechando de un archivo después del primer análisis, espere unas horas y cárguelo de nuevo. Cuando esto ocurre se suelen obtener resultados muy diferentes que deberían despejar cualquier duda.

No obstante, tenga cuidado al subir datos personales a los servicios de análisis de virus en línea. La mayoría de ellos enviarán los archivos sospechosos individualmente a los proveedores de antivirus para que los analicen. Esto se suele indicar en las condiciones de uso del servicio de análisis en línea, aunque parece que nadie lee nunca ese tipo de cosas.

Cómo escoger su antivirus

Si es un usuario privado que ejecuta Windows, Windows Defender es una solución antivirus decente. Está desarrollado por Microsoft, por lo que se integra a la perfección en Windows. Windows Defender se basa tanto en muestras como en comprobaciones de reputación en línea. Intenta ser lo más discreto posible, aunque sea gratis.

Todas las demás herramientas antivirus gratuitas son básicamente un tablón de anuncios para sus compañeros comerciales. Esto significa que se esfuerzan más en llamar la atención sobre sí mismas, ya que su objetivo es vender un producto. Windows Defender sigue un modelo de negocio diferente.

Si utiliza su equipo para fines empresariales, Windows Defender podría no ser su mejor elección. El uso del software requiere una participación activa en "SpyNet", el servicio de reputación de Microsoft, donde no han estado muy finos a la hora de escoger el nombre. Si Windows Defender encuentra archivos sospechosos en un equipo, los cargará en Microsoft sin preguntarle. Esto podría terminar exponiendo datos confidenciales ante terceros.

Esto se debe a que Microsoft también vende una solución antivirus comercial llamada "Endpoint Protection", diseñada para clientes corporativos. Básicamente, lo que hace Windows Defender es alimentar Endpoint Protection con muestras de malware.

Los usuarios profesionales pueden decidirse en cambio por una solución antivirus comercial. La mayoría de ellos ofrecen la opción de no subir archivos sospechosos, aunque esto puede reducir el nivel de protección. Además, ofrecen capas adicionales de protección, algunas de ellas útiles y otras que aparentemente no lo son tanto.

Los vendedores comerciales de antivirus suelen ofrecer varios paquetes con diferentes características y precios: El programa antivirus básico sólo ofrece la funcionalidad esencial. El paquete de seguridad para Internet medio incluye funciones adicionales como entornos de navegación seguros para banca en línea, bloqueadores de anuncios, gestores de contraseñas y controles parentales. Una versión de lujo incorporará más ventajas, muchas de ellas de utilidad cuestionable.

Al escoger un paquete, primero debe instalar una versión de prueba para familiarizarse con la aplicación y decidir si se adapta o no sus necesidades. Tómese su tiempo para comprobar si la aplicación intenta "encerrarlo"; es decir, obligarlo a seguir utilizando su producto.

Los gestores de contraseñas, por ejemplo, suelen ser una muy buena idea, pero las que se incluyen con las suites de seguridad de Internet a menudo carecen de la posibilidad de exportar los datos a un formato que otros gestores de contraseñas puedan leer. En el peor de los casos, terminarías usando un programa antivirus de peor calidad únicamente porque tiene secuestradas a tus contraseñas.

Las herramientas de "puesta a punto" o "limpieza" del sistema operativo también son de dudosa utilidad, dado que Windows ya incluye características como "Disk Cleanup" y "Storage Sense" para recuperar espacio del disco duro. Una herramienta de "limpieza del registro" puede dañar el sistema operativo y se sabe que Microsoft ha declinado dar soporte a los clientes que utilizan estas herramientas.