lunes, 24 de agosto de 2015

¿Son los antivirus infalibles?.

¿Son los antivirus infalibles?.




Tenia tiempo que no tocaba el tema de los virus pero a raíz de la consulta que me hiciera un amigo, quise compartir estas líneas ya que por razones que no valen mencionar se vio en la necesidad de descargar cierto programa y su antivirus le advirtió que se trataba de un malware y la pregunta es: ¿lo descargo o no?.

Responder esta pregunta no es sencillo y hay que analizar muchos factores como:

- ¿Que tipo de archivos queremos descargar?.
- ¿Por que necesitamos descargarlo (importancia)?.
- ¿Estamos seguros que se trata de un malware?.
- ¿Aun siendo un malware, afectaría nuestro equipo?.

Antes de seguir, quiero dejar claro que el propósito de todo antivirus es mantener a salvo nuestros equipos, una labor en la que demuestran una gran solvencia por lo general. Pero en su afán por bloquear nuevas amenazas, pueden errar gravemente en su análisis. Son los llamados falsos positivos, avisos provocados por una excesiva suspicacia de los algoritmos de detección de malware.

Como ejemplos de estos errores o falsos positivos podemos ver como han dejado una estela de víctimas ilustres: desde Chrome, víctima de un fallo de Microsoft Security Essentials, hasta Windows XP, bombardeado sin piedad por AVG al borrar el archivo User32.dll. Son problemas que se repararon rápidamente, pero no antes de que hubieran dañado miles de máquinas en todo el mundo y como estos, muchos ejemplos más.

¿Hay alguna forma de evitar los falsos positivos sin tener que vivir sin antivirus?

La respuesta es sí, a continuación te explico cuáles son las causas más habituales de falsas alarmas, cómo prevenirlas y como reconocer cuáles son auténticas amenazas.

1.- ¿Por qué se dan falsas alarmas, qué las provoca?

Tradicionalmente, los antivirus detectaban el malware comparando los archivos con una base de datos de huellas “base de firmas” que era enriquecida a mano por los laboratorios e instalada en los equipos de manera automática si están conectados a Internet, al momento de escribir estas líneas, consulte mi historial de actualizaciones y Microsoft había actualizado la “firma de virus” de Windows Defender 5 veces en lo que va de día y 8 veces el día anterior, eso habla de como se comportan los virus en el mundo. La detección basada en firmas sigue usándose, pero ha demostrado ser ineficaz frente a nuevas amenazas y virus que cambian su código sin parar. Es por ello que casi todos los antivirus añaden una capa de protección más, “la heurística”, capaz de detectar comportamientos sospechosos en cualquier programa o virus nada más ejecutarse en el sistema. Algunas conductas detectadas como sospechosas son, por ejemplo, las siguientes:

• Descargar ejecutables en segundo plano
• Abrir procesos sin solicitar permiso
• Intervenir en otro programa
• Leer texto de otros programas
• Sobrescribir archivos de sistema
• Acceder a parte vitales del sistema
• Cargarse en áreas de memoria reservadas

Es un sistema de vigilancia extraordinariamente eficaz contra nuevos virus, pero su sensibilidad es tal que programas perfectamente legítimos pueden caer bajo su espada, especialmente si no han sido añadidos a alguna clase de lista blanca interna.

2.- ¿Cómo se distingue un falso positivo de malware genuino?

Reconocer falsos positivos es como reconocer spam y programas engañosos: un aprendizaje que requiere mucho tiempo y práctica. Con todo, hay una serie de pasos que ayudan a decidir con bastante acierto acerca de la peligrosidad de un programa.

- Pedir una segunda opinión a otros antivirus: Con VirusTotal (https://www.virustotal.com/), Jotti (https://virusscan.jotti.org/es) o Metascan Online (https://www.metascan-online.com/#!/scan-file) puedes pedir una segunda opinión a más de 40 motores antivirus distintos. Si la proporción es inferior al 20%, difícilmente estarás ante una amenaza real. Verdad a través del consenso, si muchos antivirus coinciden en que un programa es peligroso, lo más seguro es que lo sea, y ahora debes sopesar, la necesidad de usar el archivo o programa contra la seguridad e integridad de tu equipo.

- Indagar el nombre del virus detectado (¿es genérico?): Algunos antivirus, los más educados, te dicen si lo que acaban de detectar es una simple sospecha o algo seguramente dañino. Otros evitan confundir al usuario y proporcionan nombres genéricos, tipo W32.Suspicious o Not-a-virus. En ese caso, busca el programa en Google para comprobar su fama.

- ¿Conoces este programa? ¿En serio es lo que querías?: Buscar en Google no suele ser suficiente. ¿Cómo conseguiste el programa? ¿Lo bajaste de una página segura o de una sin garantías? ¿Tal vez lo bajaste desde páginas P2P sin comprobar antes la reputación de la descarga? Y sobre todo, ¿es lo que estabas buscando? ¿Lo has ejecutado voluntariamente, sabiendo lo que es?.

- Compara la firma MD5 del archivo con la del original (para usuarios avanzados): Si te fías de la página de la cual bajaste el archivo y consideras que el mismo es seguro, pero aun así sigues sospechando del ejecutable, la medida definitiva es sacarle las huellas de identidad (hash) al archivo y compararla con la que el autor proporciona en su página. Puedes hacerlo, por ejemplo, con MultiHasher.

- Enviar un correo electrónico al autor o preguntar en los foros oficiales: La mayoría de los autores suelen percatarse muy pronto del problema, pero a menudo no pueden actuar de inmediato por culpa de la lenta burocracia de algunas casas de antivirus. No obstante, estarán encantados de desmentir las falsas alarmas en los foros oficiales o en su página web.

3.- Cómo evitar las falsas alarmas sin prescindir del antivirus

El problema de los falsos positivos no es tan frecuente como se puede imaginar, sobre todo desde que los antivirus usan datos recogidos en millones de equipos “datos en la nube” para confirmar la aparición de una amenaza o no. Así y todo, si tienes el antivirus mal configurado y dejas que actúe por su cuenta, los daños no tardarán en llegar.

Para asegurarte de que la defensa proactiva de tu antivirus no dispara a todo lo que se mueve, sigue estas recomendaciones:

• Reducir la sensibilidad del escáner heurístico: Casi todos los antivirus permiten modificar la sensibilidad del análisis heurístico / de comportamiento. Mira en las opciones de tu antivirus y modifica la sensibilidad hasta niveles normales o bajo. No es recomendable tener la sensibilidad en niveles máximos.

• Activar avisos de detecciones sospechosas: No dejes que tu antivirus decida por ti cuando estés ante casos poco claros. En la configuración, pide que el antivirus te pregunte qué hacer en caso de topar con un ejecutable de comportamiento extraño.

• Desactivar el antivirus durante actualizaciones e instalaciones: La descarga, instalación y parcheo de código de algunos programas irrita la heurística de los antivirus modernos. Si estás totalmente seguro acerca del origen y propósito de lo que has descargado, desactiva temporalmente el antivirus para que este no ataque a la yugular del programa.

• Notifica a los antivirus acerca de falsos positivos: Esto no previene problemas en tu equipo, pero si has podido esquivarlos, es tu oportunidad para ayudar a los demás a no caer en la misma trampa. La mayoría de antivirus disponen de formularios de contacto en los que informar acerca de falsas alarmas.

• Busca una nueva versión del programa "sospechoso": Si el autor ha tomado medidas y es lo más probable, puesto que su pan cotidiano depende de ello, entonces actualiza el programa que hace disparar las alarmas. Seguro que ahora ya no da problemas (o no tantos).

4.- ¿Porque mi antivirus detecta el Crack como virus?

Bueno esta no es una pregunta sino una aclaración ya que he visto varias veces este problema y generalmente se presentan dos casos:

- Falso positivo

Cuando quieren aplicar un crack o ejecutar un serial el antivirus lo reconoce como virus y la persona que lo descargo piensa que lo han hecho descargar cualquier cosa con fin de alguna maldad. Comencemos por ver las funciones que tiene el antivirus, normalmente cuando un virus entra a nuestra PC lo que hace es cambiar el registro sin nuestro permiso, cuando el registro sufre un cambio el antivirus lo informa, este cambio es la actividad del virus. Y que hace el crack o serial que bajamos? exacto, cambia el registro de la PC, pero lo que hace es hacer creer al software que nuestro juego o aplicación es original.

¿Entonces concluyendo porque mi PC detecta los “cracks” y seriales como virus?. Porque estos cambian el registro para que nuestro juego pareciera original y esta actividad la detecta el antivirus creyendo que es alguna clase de Malware.

- Software malicioso

As como muchos programas o “Crack” no son maliciosos y son marcados por los antivirus como malware, existen muchos que si lo son. En está vida nada es gratis y el ámbito digital no escapa a ello, así como existen almas caritativas que comparten sus conocimientos para que podamos romper la seguridad de determinada aplicación o video juego, existen muchos otros que pescando en rio revuelto y aprovechándose de la necesidad, ingenuidad o falta de prudencia e muchos usuarios, manipulan ciertos archivos para que en algunos casos permitir el uso de un video juego o aplicación y por el otro, realizar acciones que pueden ser perjudiciales para el equipo y por consiguiente para el usuario, por otro lado, hay malware disfrazado de “Crack” que lo único que hace es perjudicar el equipo, este ultimo caso se ve más en el ámbito de los video juegos para PC.

5.- Cuando la necesidad supera la seguridad

Todos somos diferentes e igual son nuestra necesidades y prioridades e igual pasa en la informática, en el caso de la persona que me consulto, su necesidad es por decirlo de alguna manera casi que vital, ósea que su necesidad está por encima de la seguridad por lo que le recomendé que aunque el programa que quiere usar, de 54 motores antivirus que lo analizaron, 33 lo dan como malware, lo use tomando en cuenta estos factores:

- Realizar un respaldo de su información y los documentos con información sensible, sacarlos del equipo.

- Crear un punto de restauración y una imagen de recuperación del sistema, para restaurar el equipo a su estado anterior.

- Crear una cuenta de usuario sin privilegios (Invitado) y ejecutar el programa en ella ya que si se ejecuta en una cuenta de “Administrador”, tendrá más oportunidad de modificar el sistema.

- Si el equipo está conectado a otros equipos, aislarlo y dejarlo así antes de usar el programa.

- Desconectarse de Internet mientras lo usa.

- Verificar si el trafico de su router se altera luego de haber usado el programa, en las propiedades del adaptador de red, aparece la cantidad de megas enviados y descargados (luz del router parpadeando sin que se este enviando nada o descargando algo).

- Verificar si la luz de su disco duro se enciende frecuentemente aun si el equipo no se está usando (actividad sospechosa del equipo).

Después de todo lo anterior, ahora tienen información suficiente para decidir que hacer si llegan a estar en la situación de tener que decidir si descargan o no un archivo que su antivirus ha detectado como malware y más aun si quieren ejecutarlo. Por ultimo vuelvo y repito que el sentido común es la mejor defensa contra el malware.

No hay comentarios:

Publicar un comentario