AntiMalware, más conocidos como soluciones antivirus

Los antimalware o también normalmente conocidos como soluciones antivirus, son programas que pueden ser instalados tanto en ordenadores personales, como en servidores o dispositivos móviles y funcionan normalmente de la siguiente manera: realizan un escaneo de los archivos almacenados en nuestros dispositivos, proceden a la detección de malware utilizando diferentes técnicas y por último intentan realizar su eliminación siempre que sea posible.

Antimalware, mas conocidos como soluciones antivirus

Cualquier dispositivo que utilice el protocolo TCP/IP para comunicarse con Internet, mediante una WAN o una LAN, puede ser objeto de ser infectado por un malware, por lo que es necesario la utilización de una solución antimalware adecuada para cada tipo de dispositivo. Entre los dispositivos donde generalmente debemos instalar herramientas antimalware, podemos encontrar tres familias: los ordenadores personales que por lo general utilizan sistemas operativos Windows de Microsoft, iOS de Apple o distribuciones de Linux, los dispositivos smart o inteligentes como son los móviles o las tabletas que utilizan en general sistemas operativos como Android o iOS y los servidores que pueden utilizar cualquier tipo de sistemas operativos.

Temas relacionados que te pueden interesar:

Operatoria AntiMalware

Técnicas y formas de escaneo

Las soluciones antimalware realizan un escaneo de todos los archivos siguiendo una serie de reglas predefinidas. A modo de ejemplo podemos mencionar los siguientes casos, cada vez que se abre o se cierra un archivo, cada vez que se pretende instalar o ejecutar cierto tipo de archivo tipo .com o .exe. Si durante el escaneo que realiza el programa, encuentra un archivo que coincide con un determinado patrón de virus, procede a realizar su bloqueo o a eliminarlo para que no pueda infectar al propio equipo o a otros ordenadores que se encuentren en su misma red.

Existen tres técnicas de realizar este escaneo:
  • Signature matching. Consiste en comparar el código del archivo escaneado con el código de todos los tipos de malware conocidos. Para evitar problemas de rendimiento, el antivirus analiza sólo una porción representativa del código del archivo. Se trabaja con firmas en lugar de con códigos completos. Cada vez que aparece un nuevo malware, la base de datos de firmas es actualizada. La actualización de las firmas es realizada por los antivirus actuales una o varias veces al día. Esta actualización se hace descargando todas las firmas lo que implica tiempo y consumo de recursos o de forma incremental.
  • Heuristic analysis. Se utiliza para completar el tipo de escaneo descrito anteriormente, es decir, para bloquear posibles virus que todavía no se hayan catalogado en la base de datos de firmas o que se consideren polimórficos. En este caso el antivirus realiza un escaneo basado en la búsqueda de comportamientos anómalos del sistema. Por ejemplo, que un archivo intente acceder al sector de arranque, que al ejecutar un .exe  se inicie el borrado de archivos. Basándose en estas heurísticas, se asigna un peso al archivo analizado y si el peso supera un determinado umbral, el antivirus lo bloquea. El problema de este tipo de escaneo es que consume muchos recursos y puede producir falsos positivos.
  • Behaviour blocking. Es parecido al tipo anterior, en este caso se analiza el comportamiento de un código que se intuye malicioso pero con mecanismos más sofisticados de análisis que unas simples normas heurísticas.AntiMalware, mas conocidos como soluciones antivirus
Formas de realizar los escaneos:
  • Escaneo activo o automático. Se examinan los archivos cuando se produce un cambio en ellos, no permitiendo su uso, copia o edición hasta que han sido escaneados. Por ejemplo al copiar o salvar archivos, al ejecutar aplicaciones .exe o .com. En este momento el antivirus lleva a cabo la comparación de los resultados de los cambios con la base de datos de firmas o utiliza métodos heurísticos.
  • Escaneo manual. Examina un determinado conjunto de ficheros o directorios y es iniciado por un usuario o administrador. Suele tener una mayor duración y por tanto por lo general, suele llegar a degradar más el rendimiento del sistema. Es utilizado para realizar análisis profundos altamente necesarios, aprovechando determinados momentos como son las paradas programadas o los de poca actividad. La configuración del escaneo, suele permitir al usuario incrementar los recursos de procesamiento dedicados a realizar esta tarea.

Eliminación y/o cuarentena

Una vez que el malware es detectado, existen diferentes formas de evitar que afecte al equipo o la red. Mediante la realización de la limpieza del archivo, su borrado o dejándolo en cuarentena. Es decir, el archivo espera en una zona del disco aislada hasta que el administrador o usuario deciden qué hacer con él. Durante esta espera, el malware no puede infectar a otros archivos o sistemas.

AntiMalware, mas conocidos como soluciones antivirus

Principales funcionalidades AntiMalware

Las funcionalidades específicas que suelen incluir las soluciones antimalware son las siguientes:

AntiMalware para ordenadores personales:
  • Detección de virus, spyware, troyanos, gusanos y otras amenazas de malware.
  • Comprobación de seguridad al descargar y/o abrir archivos y aplicaciones y al visitar sitios web.
  • Prevención automática de ejecución de exploits y detección y análisis de vulnerabilidades de aplicaciones.
  • Verificación de la seguridad de conexiones Wi-Fi: existencia de vulnerabilidades y riesgos y recomendaciones de configuración.
  • Control de ejecución de aplicaciones: sólo se ejecutarán las de confianza.
  • Utilización de mecanismos de desbloqueo de dispositivos en caso de malware como son normalmente los troyano de bloqueo.
  • Incorporación de motores anti-banner para evitar anuncios potencialmente peligrosos.
  • Evitar correo tipo spam.
  • Incorporación de motores anti-phishing.
  • Control de acceso no autorizado a través de webcams.
  • Identificación de malware keylogger para evitar el acceso a los datos escritos con el teclado.
  • Incorporación de funcionalidades que incrementan la seguridad al realizar operaciones on line (banca, compras, etc.)
  • Almacenamiento y sincronización de contraseñas.
  • Cifrado de archivos considerados confidenciales.
  • Control parental para evitar el acceso a espacios no recomendados para menores o para filtrar la compartición de datos personales.
AntiMalware para dispositivos móviles:

En el caso de los dispositivos móviles, existe alguna funcionalidad adicional además de las ya mencionadas. Muchas soluciones antimalware incluyen en este caso funciones de antirrobo como la localización del dispositivo o de privacidad y de seguridad como son las funcionalidades de autenticación o la autorización de acceso a información personal.

AntiMalware para servidores:

Por último en el caso de los servidores, además de incluir las funcionalidades ya mencionadas, se añaden otras que aprovechan la capacidad de procesamiento de estos dispositivos. Así, es común que las soluciones antimalware instaladas en servidores permitan:

  • Realizar acciones de detección y prevención de intrusos (IDS/IPS).
  • Llevar a cabo la segmentación de tráfico habilitando funciones de firewall.
  • Supervisar la integridad de archivos y registros del sistema.
  • Inspeccionar los eventos de seguridad más importantes, que normalmente son luego integrados en sistemas SIEM (Security Information and Event Management).AntiMalware, mas conocidos como soluciones antivirus

Conclusiones AntiMalware

Tenemos a nuestra disposición una extensa y variada gama de posibilidades para eliminar o mitigar las amenazas relacionadas con la existencia de malware. Debemos seleccionar las más adecuadas teniendo en cuenta diferentes factores:

  • Tipo de sistemas que necesitamos proteger.
  • Seleccionar la forma menos invasiva pero la que nos dotará de la mayor de seguridad.
  • Tipo de procesos que se ejecutan en nuestro ámbito de acción.
  • Grado de madurez de las personas en el ámbito de la seguridad.
  • Nivel de presupuesto disponible.AntiMalware, mas conocidos como soluciones antivirus

Con una solución antimalware es complicado estar protegido de forma completa por muy sofisticada que esta sea, pero lograremos un nivel adecuado de protección con una combinación adecuada de este tipo de soluciones, realizando actualizaciones periódicas del sistema operativo y de todas las aplicaciones instaladas y aplicando técnicas sencillas de tipo off line como es el uso seguro de dispositivos USB.

FuenteCiberseguridad. Entender los ataques para desplegar contramedidas.

¿Qué herramienta AntiMalware utilizas? ¿Combinas diferentes soluciones? ¿Implementas procedimientos de tipo offline para protegerte?
Espero tus comentarios del artículo o también puedes contactar directamente por otros temas y estaré encantado de ponerme en contacto contigo. Si te ha parecido interesante el presente contenido, sería genial que lo compartieras en tus redes sociales. Muchas gracias.