El día de ayer fue especial para los laboratorios de ESET en todo el mundo. Muchos de nuestros lectores son también usuarios de nuestros productos y, si estuvieron atentos, habrán notado que ayer liberamos nuestra base de firmas número 10.000. Diez mil actualizaciones de firmas de nuestro producto, tan solo un número redondo que nos recuerda el constante trabajo realizado por nuestros analistas de malware -que probablemente hayan pasado por alto este número redondo, ya que para ellos cada base de firmas tiene el mismo valor: el de mantener protegido a nuestros usuarios.

Sin embargo, en el equipo de ESET Latinoamérica nos pareció que este "cumpleaños" es una excelente oportunidad para compartir con ustedes muchas de las dudas que recibimos respecto a qué son y cómo funcionan las firmas antivirus.

firma-10000
Antes de empezar, vale la pena repasar qué es una firma antivirus, que también son conocidas como "vacunas". Una firma antivirus es una cadena de caracteres que identifica a un código malicioso. Entonces, las bases de firmas de un producto son el conjunto de cadenas que posee para detectar distintos códigos maliciosos. Sus actualizaciones se producen cuando el producto descarga nuevas firmas, que son incorporadas a su base para así poder detectar más amenazas.

Dicho esto, comencemos con algunas de las principales dudas que existen alrededor de la forma en que los antivirus trabajan y protegen a los usuarios.

1. Las firmas nos brindan información sobre la amenaza

Cuando una solución antivirus detecta una amenaza, suele brindar información sobre la detección. Aunque los usuarios suelen concentrarse en el "casi me infecto" o "el antivirus encontró una amenaza", la descripción brindada cuando la detección es por una firma puede ser de mucha utilidad tanto para desinfectar el equipo si la detección se hizo con el equipo ya atacado, o bien para prevenir futuros ataques. Por lo general, una firma antivirus nos brinda la siguiente información:

  • Plataforma: es la primer sección de la misma, antes de la barra (/). Por ejemplo: Win32/, JS/ o PDF/.
  • Tipo de amenaza: describe (en algunos casos) información sobre el tipo de ataque. Por ejemplo: Adware, TrojanDownloader o Exploit.
  • Amenaza: se describe el nombre particular de la amenaza (o familia). Por ejemplo: Conficker, Dorkbot o Pidief.
  • Variante: se describe la cantidad de variantes dentro de la familia, en formato de cadenas alfabéticas. Por ejemplo: OR o NVW.

deteccion-flash

Por ejemplo, en la imagen contigua se muestra la detección de un troyano del tipo TrojanDownloader, que es la variante C de la amenaza Swif y que, además, se propaga en un archivo del tipo Flash (SWF). Esta información puede ser de mucha utilidad para el usuario y más aún para cualquier soporte técnico o equipo de seguridad que diera apoyo ante estas detecciones.

2. ¿Cada cuánto descarga bases de firmas mi producto y cuántas nuevas amenazas se detectan?

No existe una variable fija o estricta que defina cuántas veces por día se actualiza la base de firmas. Aunque en un día común solemos liberar de 3 a 4 actualizaciones a la base de firmas, esto puede verse modificado según el caudal de amenazas de ese día, como así también por la criticidad de las mismas.

En el sitio de actualizaciones de base de firmas, donde publicamos los detalles de cada una de las nuevas versiones, podrán ver estas actualizaciones diarias, como así también cómo según la actualización, se pueden descargar desde unas pocas (menos de 5) hasta varias decenas de firmas en una misma actualización:

bases-firmas
3. Si no actualizo mi base de firmas, ¿estoy protegido?

La realidad es que siempre es recomendable mantener los equipos actualizados a la última versión, para así estar protegido ante todas las amenazas, especialmente las más actuales. Las firmas se van creando por los laboratorios con la mayor velocidad posible, a medida que vamos detectando nuevas versiones de amenazas que circulan por Internet y que requieren una detección.

No obstante, las bases de firmas no son la única protección que tienen los usuarios (ver siguiente pregunta) y, a la vez, al no descargar una actualización sólo se estaría perdiendo detección por estas nuevas amenazas, pero la última versión disponible sigue totalmente funcional para la detección de todas las amenazas que ya han sido descargadas en el equipo.

4. Las firmas que se descargan son sólo algunos de los códigos maliciosos que detectamos

Como se adelantaba en el ítem anterior, las bases de firmas son sólo una parte de las capacidades de detección de una solución de seguridad y, de hecho, siquiera es la más importante; por su naturaleza reactiva (primero el laboratorio debe obtener la muestra para luego generar la firma), no es el método más eficiente en un contexto donde cada día recibimos más de 200 mil nuevas variantes de malware en los laboratorios de ESET en todo el mundo.

Es por ello que los antivirus, como ESET NOD32 Antivirus, poseen también algoritmos de detección heurística, que permiten detectar amenazas nuevas o desconocidas, de forma tal de evitar la necesidad de una firma específica para dicha amenaza. Las detecciones heurísticas se basan en comportamiento o similitud, entre otros, para poder identificar que un archivo es una amenaza, aún sin haber sido analizado por un analista en el laboratorio.

Pueden encontrar más información en el artículo de Heurística Antivirus en nuestra sección de white-papers de We Live Security. ESET ha sido pionera y su tecnología heurística ha sido multipremiada; en los laboratorios trabajamos muy fuerte en la investigación para seguir potenciando las detecciones que realizamos por esta vía, respecto a la detección por firmas tradicionales.

Este es el principal motivo por el cual podrán ver tan sólo unas decenas de nuevas firmas por día, mientras que aparecen miles de nuevas amenazas en el mismo período. Aunque la actualización de las bases de firmas son más "populares", porque son visibles a los usuarios y a la vez el método tradicional de detección desde el surgimiento de los antivirus; las capacidades heurísticas de una solución son cada vez más importantes en el entorno vertiginoso de los desarrolladores de malware, que crean y liberan miles de nuevas variantes día a día.

5. Si el producto posee heurística, ¿por qué se siguen creando firmas antivirus?

Hay tres motivos muy diversos por los cuales se mantienen las firmas tradicionales. En primer lugar, actualizar un algoritmo heurístico requiere de mucho más tiempo que la creación de una firma, que suele llevarnos muy pocas horas desde el descubrimiento de la amenaza. Para dar una respuesta rápida a nuestros usuarios, la creación de una firma es el método más eficiente que en muchos casos luego se mantiene en el proceso para mejorar los algoritmos inteligentes de detección heurística.

En segundo lugar, el análisis heurístico consume más recursos de un procesador que las firmas, por lo que la combinación de ambos métodos nos permite mantener el rendimiento de nuestro producto en los niveles eficientes que los usuarios ya conocen.

Finalmente, las detecciones heurísticas, al ser proactivas, no siempre ofrecen información específica sobre la amenaza detectada, que muchas veces es de utilidad para equipos de IT en entornos corporativo. Las detecciones heurísticas suelen brindar información más vaga respecto a la detección (por ejemplo, "probably unknown NewHeur_PE", "Kryptik" o "Genetik"), por lo que para amenazas de alta propagación se crean firmas de detección específica.

En la actualidad, existen dentro de los métodos heurísticos las firmas genéricas (detecciones .Gen o "una variante de...") que ofrecen un método combinado entre ambas tecnologías de detección.

En este contexto, en la actualidad no hay un método único de detección, sino que la conjunción entre los métodos heurísticos y las firmas tradicionales son los que dan respuesta y detección eficiente a nuestros usuarios.

Espero con esta guía de preguntas frecuentes (FAQ) sobre las firmas antivirus, haber colaborado para que puedan comprender mejor cómo funcionan los productos y cuál es la dinámica con la que trabajamos diariamente. ESET Latinoamérica fue la primer empresa antivirus en contar con un laboratorio de análisis de malware y detección de amenazas en la región, con el ánimo de poder brindar un equipo regional que analice y priorice las amenazas que circulan en la región. Si encontraran algún archivo que pudiera ser una amenaza no detectada, pueden enviar las muestras a nuestro laboratorio para que sean analizadas por nuestro equipo especializado.

Si aún tienen más dudas sobre las firmas antivirus, no duden en seguir consultándonos, y con gusto les daremos más información sobre este tema.