¿Hay malware imposible de detectar por el antivirus?

Utilizar un antivirus a día de hoy es imprescindible dependiendo del dispositivo que usemos. Por ejemplo, si tenemos un ordenador con Windows, es imprescindible utilizarlo porque se están creando cientos e incluso miles de nuevos virus cada día. Windows Defender viene preinstalado, y sólo se desactiva si activamos otro antivirus de terceros. Sin embargo, ¿hay algún virus que pueda saltarse a los antivirus?

Las compañías de antivirus están monitorizando constantemente la actividad de malware a nivel mundial. El antivirus analiza todos los archivos que se ejecutan en el ordenador y envía esos datos a la compañía. Gracias a ello, la base de datos está siempre lo más actualidad posible. Pero, ¿cómo detecta el antivirus ese contenido malicioso en primer lugar, si ningún antivirus lo tiene en la base de datos?

El malware usa mecanismos similares

La clave radica en el mecanismo que utiliza el malware, que suele ser el mismo que otros antivirus previamente conocidos. Por ejemplo, el código de un malware se analiza y se puede detectar si hay intenciones maliciosas en el mismo. En el caso de que se lo salte, si un malware intenta empezar a cifrar un ordenador de golpe, o intenta modificar archivos del sistema con un patrón automatizado, el antivirus puede detectarlo y bloquearlo de golpe.

Este tipo de mecanismo de detección pueden dar lugar a que haya falsos positivos. Este es el caso por ejemplo de programas como cracks para programas, los cuales realizan comportamientos como modificar el código del programa o incluso del sistema para saltarse los mecanismos de detección. Todo ello es detectado como malicioso por el antivirus, y bloqueado de raíz.

Pero algunas vulnerabilidades de día cero se escapan

Por desgracia, todo esto puede no funcionar en algunas ocasiones, y hay antivirus que pueden no detectar las llamadas vulnerabilidades de día cero. Estas vulnerabilidades consisten en fallos de seguridad que no se han parcheado, ya sea a nivel de software e incluso de hardware. Un ejemplo lo vimos con WannaCry, donde los ordenadores que no tenían el parche instalado se vieron infectados sin que el antivirus pudiera detectarlo, ya que muchos ordenadores no tenían actualizado ni el sistema operativo para instalar el parche, ni el antivirus para detectarlo.

En AV-TEST, la mejor web de análisis de seguridad de antivirus, realizan pruebas con millones de amenazas, ya sean conocidas o no conocidas. De hecho, siempre tienen una base de datos de vulnerabilidades de día cero que utilizan para comprobar si un antivirus está al día en cuanto a protección se refiere.

En la última prueba, cuyos resultados publicaron esta semana, comprobaron la protección ante 303 vulnerabilidades de día cero. Prácticamente todos los antivirus aprobaron con nota y protegieron ante todas, pero uno que normalmente protege ante todas falló: ESET. El antivirus se «comió» cuatro vulnerabilidades de día cero.

Por ello, es posible que haya malware que se escape al antivirus, y por eso hay que tener siempre cuidado con lo que hacemos en el ordenador y los contenidos que visitamos o ejecutamos. Además, esto nos hace ver también que es importante hacer un escaneo completo al ordenador de vez en cuando, ya que puede que hace meses o años nos hayamos bajado y almacenado un archivo que contiene un malware, pero que en aquel entonces no fuera detectado por el antivirus. Así, si tenéis una carpeta de programas y algunos no los habéis ejecutado en años, y le pasáis el antivirus, veréis que seguro que detecta algún archivo malicioso.

Fuente: adslzone