Después de reparar su Pc por enésima vez, su mejor amigo le ha proporcionado todas las instrucciones necesarias para descargar un nuevo antivirus y cómo usarlo para proteger el sistema de cualquier infección futura. Desafortunadamente, no ha tocado esa Pc durante bastante tiempo y, después de encenderla nuevamente hoy, se dio cuenta de que ni siquiera recuerda una palabra sobre qué hacer y cómo comportarse para garantizar que el antivirus sea siempre efectivo.

Como se dice Desea evitar molestar a su amigo experto en informática nuevamente y finalmente querrá comprender cómo funciona el antivirus, para que puedas actuar de forma completamente autónoma? Entonces ha llegado a la guía correcta: aquí le mostraré las peculiaridades de los antivirus modernos, para que pueda comprender cómo funciona y adoptar las estrategias necesarias para minimizar el riesgo de nuevas infecciones.

Entonces, ¿qué más estás esperando para comenzar? Ahorre unos minutos, póngase cómodo y lea con atención todo lo que tengo que decirle sobre este tema: al hacer esto, además de aprender nuevos conceptos, podrá aumentar la seguridad de su Pc configurando el mejor software de seguridad que has decidido usar. Dicho esto, no tengo nada más que hacer, ¡excepto desearles una feliz lectura!

Técnicas de escaneo

Para comprender mejor el funcionamiento de un antivirus, debe conocer necesariamente los componentes que lo caracterizan, es decir, los módulos de escaneo que constituyen su «escudo defensivo».

Escaneo en tiempo real

La forma de escanear en tiempo real (también llamado On-Access ) es el componente del antivirus que comienza con el sistema operativo, se posiciona en la RAM y analiza cualquier acción realizada en la Pc en tiempo real. Cada vez que se ejecuta, mueve, crea o modifica un archivo (también de forma «invisible», por ejemplo, simplemente abriendo un programa), el módulo en tiempo real analiza cada archivo utilizado en el proceso (archivo binarios, archivos DLL, etc.) en busca de un archivo malicioso o sospechoso. Cuando la «alarma se apaga«, el módulo se encarga de bloquear cualquier acción del archivo y «neutralizarlo», moviéndolo a un área protegida, ubicada dentro de las carpetas antivirus (esta área protegida generalmente se llama cuarentena o basura ).

Por lo tanto, este módulo es un componente fundamental del antivirus: no es sorprendente que esté presente en la mayoría de los programas diseñados para este propósito. Gracias al escaneo en acceso, de hecho es posible bloquear una infección de raíz, evitando que los virus modifiquen el comportamiento del sistema y dañen los archivos personales.

Obviamente, este formulario no es infalible : si el virus está bien oculto en archivos legítimos o no está presente en la «lista» especial en posesión del antivirus (al que volveremos más adelante), podría escapar de este control, siendo casi completamente invisible. De hecho, se pueden activar numerosos virus de forma remota o después de un cierto período de tiempo, evitando así el control del escaneo en tiempo real y, en consecuencia, generando una infección más grande.

Un módulo de escaneo en tiempo real debe ser lo suficientemente ligero y no intrusivo durante su acción: si no fuera así, el rendimiento de la Pc disminuiría significativamente después de cualquier operación iniciada por el usuario (incluso la simple apertura de un archivo o un carpeta, por ejemplo).

Escanear bajo demanda

La forma de escanear a pedido (también llamado On-demand ) es el componente del antivirus que se encarga de analizar, uno a la vez, todos los archivos presentes en el sistema o en la carpeta indicada. En comparación con el módulo de escaneo en tiempo real, adopta un sistema mucho más preciso y efectivo, y requiere una mayor cantidad de recursos: en el pasado, no era raro tener que detener su trabajo al iniciar un análisis bajo demanda, ya que el disco duro y la CPU estaban completamente ocupados realizando esta tarea.

Debido a esta gran demanda de recursos, este módulo solo se puede iniciar a pedido, haciendo clic en un botón específico en la interfaz antivirus o llamando a la funcionalidad adjunta desde el menú contextual de los archivos guardados en el sistema.

El escaneo bajo demanda también se puede programar: de esta manera, es posible hacer que esto suceda en períodos en los que la Pc no se va a utilizar para otras tareas.

Personalmente te recomiendo programar un análisis completo del sistema al menos una vez al mes estableciendo un día y / o hora cuando esté seguro de que no está presente en la PC (es mejor dejar la Pc encendida para tal fin, para no tener que posponerla al primer inicio útil).

Escaneo en la nube

Recientemente, se ha agregado un nuevo módulo a los componentes antivirus, que admite el módulo On-Access y On-Demand: el escaneo basado en la nube. Cuando este componente está activo, todos los datos en los archivos analizados por el antivirus son enviado por Internet a una red de servidores interconectados, para poder beneficiarse de una potencia informática mucho mayor: los servidores, de esta manera, pueden escanear los datos del archivo (o el archivo completo, donde este era relativamente pequeño) y proporcionar una respuesta inmediata a la antivirus, que luego puede eliminarlo (en el caso de un virus) o «dejarlo pasar» (en el caso de un archivo legítimo).

Este enfoque tiene dos ventajas principales: en primer lugar, el análisis se lleva a cabo en varios motores simultáneamente, lo que reduce drásticamente el riesgo de falsos negativos (o falsos positivos); en segundo lugar, los recursos de la Pc en uso no están comprometidos para el propósito del análisis, que se realiza exclusivamente a través de Internet.

Sin embargo, el sistema de escaneo en la nube requiere acceso constante a internet, porque los servidores de análisis siempre deben estar disponibles. Para evitar la saturación del ancho de banda de Internet (un problema muy común, especialmente si tiene una conexión que no es muy rápida), este componente generalmente entra en acción solo para escaneos a pedido y / o para archivos clasificados como «sospechosos». En ausencia de una conexión a Internet, el componente de la nube no funciona, por lo que el antivirus debe usar las herramientas disponibles «fuera de línea» para bloquear posibles amenazas.

Métodos de análisis

Después de analizar los módulos de escaneo característicos de los antivirus modernos, es hora de comprender cuáles son las herramientas que utiliza este software para comprender si un archivo es dañino o no.

Para comprender bien esta diferencia, imagine un obstáculo: las técnicas de escaneo podrían ser los policías, mientras que puede ver los métodos de análisis, como las herramientas utilizadas para detectar infracciones, como cámaras de velocidad, alcoholímetros, etc.

Método basado en firma

El método más simple y rápido utilizado por los antivirus para rastrear amenazas implica el uso de una serie de «listas especiales» que contienen firmas o definiciones virus conocidos: estos últimos son características específicas de las amenazas cibernéticas, como comportamientos conocidos precisa secuencias de bits dentro de los archivos infectados o códigos hash. Estos archivos se consultan cada vez que los módulos de análisis bajo demanda y acceso analizan un archivo.

Las listas de firmas / definiciones también son actualizadas regularmente por todos los fabricantes de antivirus, para poder «atrapar» (en el menor tiempo posible) cualquier nueva amenaza reconocida. Sin embargo, desafortunadamente, este método no es efectivo para los virus que han estado en circulación durante unos días o unas pocas horas desde el análisis: dado que no hay una firma conocida, el antivirus podría dejar pasar una amenaza sin activar la alarma (amenazas de 0 días) .

Volviendo a nuestro ejemplo sobre las autoridades, puede considerar las firmas / definiciones como las fotos policiales utilizadas por los policías para poder identificar de inmediato a los delincuentes buscados. Si un criminal ha cambiado sus connotaciones, o aún no ha sido atrapado en el acto (por lo que no tiene ninguna foto asociada con su identidad), puede escapar fácilmente incluso del control de patrulla más cuidadoso.

Método heurístico

Si la firma de un virus no está presente en el archivo apropiado, podría bloquearse usando un componente particular del antivirus, es decir, el módulo heurístico. Esa forma se refiere para detener archivos sospechosos (pero no bloqueados por firmas) y verificar su comportamiento : si los archivos siguen esquemas reconocidos como altamente sospechosos o peligrosos, se bloquean inmediatamente y se colocan en cuarentena, a la espera de nuevas investigaciones (es decir, la llegada de firmas sobre la naturaleza maliciosa del archivo).

Gracias a este módulo, la Pc puede defenderse contra nuevas amenazas. Por otro lado, sin embargo, el sensibilidad heurística desempeña un papel clave en su éxito: un módulo demasiado severo puede bloquear incluso archivos perfectamente legítimos, mientras que un módulo demasiado permisivo puede dejar pasar virus sin intervenir en absoluto.

Volviendo al ejemplo de las autoridades, puede comparar las heurísticas con el control completo que realizan los policías cuando pasa un automóvil sospechoso, durante un bloqueo de carretera. Incluso si la persona detenida no es deseada, pero parece inquieta, agitada, temerosa de los controles en el automóvil o para su persona, ¡es fácil suponer que está ocultando algo!

Métodos basados ​​en la nube

Muchas herramientas modernas, para bloquear virus, permiten el uso de Internet: técnicas como análisis de telemetría el heurística de enjambre (según los comportamientos registrados por otros usuarios que usan el mismo antivirus y que encuentran el mismo archivo) y minería de datos ayudan a detener incluso las amenazas más peligrosas, las llevadas a cabo por virus polimórficos, es decir, capaces de cambiar la identidad (lo que resulta limpio en cada PC infectada) y el ransomware (capaz de esconderse en archivos insospechados).

Puede comparar métodos analíticos basados ​​en la nube, como el apoyo «externo» ofrecido a los policías durante una gran cacería humana: helicópteros, radiocomunicaciones y perros guardianes.

arenero

Otra herramienta popular disponible en los antivirus modernos es la llamada arenero : implica la creación de un espacio aislado, que no se comunica con el exterior, en el que Todos los archivos del sistema necesarios durante el lanzamiento de un programa sospechoso se virtualizan. o un ejecutable.

Si el ejecutable demuestra ser un virus, solo puede infectar la parte del sistema virtualizado dentro del entorno limitado, sin dañar el sistema operativo real.

Gracias a la caja de arena, se puede evitar una gran cantidad de infecciones: si la solución que ha elegido la tiene, asegúrese de incluir todos los nuevos programas descargados o aquellos que puedan representar importantes vectores de amenazas (por ejemplo, i navegador y yo cliente de correo electrónico ).

Importancia de las actualizaciones

Como puedes adivinar fácilmente, en este punto, actualizar constantemente el antivirus Es la única forma de mantener alta la barrera de protección que ofrece el software. Las actualizaciones, de hecho, a menudo implican la descarga de las nuevas firmas y la mejora de los módulos integrados en el antivirus.

Hasta la fecha, casi todos los programas antivirus están programados para descargar actualizaciones tan pronto como estén disponibles: para aquellos basados ​​principalmente en nube en cambio, la actualización es constante y en tiempo real, ya que las bases de datos se sincronizan apenas se agrega una sola firma. No lo creerá, ¡pero esta operación puede tener lugar varias veces en un minuto!

La falta de actualizaciones, por otro lado, podría hacer que las funciones de protección integradas en el software antivirus sean completamente inútiles: los archivos dañinos más recientes, en este caso, podrían actuar sin problemas y dañar el sistema operativo y los datos guardados en él. De hecho, ¡sería como no tener protección!

Por lo general, puede ajustar la frecuencia de las actualizaciones automáticas desde panel de configuración software antivirus: primero asegúrese de que estén activos y tenga cuidado de establecer el intervalo de verificación / descarga en un tiempo muy bajo (una hora o menos).

Para las soluciones integradas en sistemas operativos, como Windows Defender, puede descargar actualizaciones manualmente desde la configuración del sistema: en Windows 10 por ejemplo, tienes que ir al menú comienzo y haga clic en el botón en forma de i ngranaggio, ubicado a la izquierda, para abrir la ventana ajustes.

Luego, debes hacer clic en el botón Actualización y seguridad, vaya a la sección dedicada a Windows Update y haga clic en el botón Buscar actualizaciones.

El mejor antivirus

Déjame adivinar: ahora que entiendes cómo funciona el antivirus y que tiene ideas claras sobre sus necesidades, ¿le gustaría echar un vistazo a lo que ofrece la escena de la Pc para elegir la que mejor se adapte a su caso? No hay problema, realmente creo que puedo ayudarte.

Realmente hay una gran cantidad de software de seguridad de este tipo, cada uno con sus propias características: gratuito, pago, equipado con módulos de escaneo en tiempo real, preparados solo para escaneos a pedido, basados ​​en la nube, etc. Si usa el sistema operativo Windows, por ejemplo, le recomiendo que lea mi guía sobre el mejor antivirus para Windows 10, también válido para todas las demás versiones del sistema operativo, en el que le expliqué cómo comparar los distintos productos gratuitos y cómo elegir el más adecuado para usted.

Si, por otro lado, necesita una solución que sea eficiente, personalizable y equipada con una gran cantidad de módulos, le aconsejo que avance hacia un antivirus pago.

En cuanto a las soluciones de seguridad diseñadas para teléfonos móviles y tabletas con un sistema operativo Android, puedes echar un vistazo a mi guía sobre el mejor antivirus para Android, en el que he enumerado las mejores aplicaciones diseñadas para preservar la integridad de los dispositivos.

En cuanto a MacOS y iOS Por otro lado, no tengo mucho que decirte: estos sistemas operativos tienen protecciones de seguridad integradas extremadamente eficientes, por lo tanto, por regla general, no requieren la presencia de una solución antivirus específica.

Sin embargo, si ha omitido estas protecciones por una razón u otra o si todavía cree que es esencial tener un antivirus disponible, puede consultar mis tutoriales dedicados a antivirus para Mac y eliminación de virus desde iPhone, en el que traté el tema de «seguridad» con gran detalle.