Antivirus

Antivirus y anti-malware. Ambos hacen referencia a software de seguridad informática, pero ¿qué significan estos términos, en qué se diferencian, y qué relación tienen con las amenazas digitales actuales?

En Malwarebytes, nos importa la precisión, especialmente cuando se trata de dos conceptos de seguridad informática que normalmente se confunden y a menudo se utilizan indistintamente: antivirus y anti-malware. Por supuesto, ambos hacen referencia a software de seguridad informática, pero ¿qué significan realmente estos términos? ¿en qué se diferencian? y ¿siguen siendo relevantes para tratar las amenazas digitales actuales?

Abordemos estos términos de uno en uno y echemos un vistazo detallado a los aspectos semánticos de la seguridad informática.

¿Cuál es la diferencia entre antivirus y anti-malware?

En gran parte, “antivirus” y “anti-malware” se refieren a lo mismo. Ambos hacen referencia al software diseñado para detectar, proteger y eliminar software malicioso. Pese a lo que podría sugerir el nombre, el software antivirus protege contra algo más que virus; simplemente utiliza un nombre un poco anticuado para describir lo que hace. El software anti-malware está también diseñado para proteger contra los virus. El anti-malware simplemente utiliza un nombre más moderno que engloba todo tipo de software malicioso, incluidos los virus. Dicho esto, el anti-malware puede evitar la aparición de una infección viral y eliminar los archivos infectados. Sin embargo, el anti-malware no está necesariamente equipado para restaurar archivos que un virus ha cambiado o sustituido. Tanto el antivirus como el anti-malware se engloban en el término más amplio “seguridad informática”, también llamada ciberseguridad.

¿Qué es la seguridad informática?

La seguridad informática es un término amplio para cualquier estrategia encaminada a proteger un sistema contra ataques maliciosos dirigidos al robo de dinero, información personal, recursos del sistema (cryptojacking, botnets) y toda una serie de otras acciones indeseables. El ataque podría ocurrir en su hardware o software, o por medio de la ingeniería social.

Las amenazas actuales de seguridad informática y sus contramedidas son variadas y presentan muchos matices, pero el mercado busca naturalmente la simplicidad cuando se comunica con los usuarios. Ésta es la razón por la que muchas personas siguen viendo los “virus” como la mayor amenaza para su equipo. En realidad, los virus son sólo un tipo de ciberamenaza que era común en los primeros tiempos de la informática. Están lejos de ser la amenaza más extendida en la actualidad, pero el nombre ha perdurado. Es como llamar resfriado a todas las enfermedades.

“En gran parte, antivirus y anti-malware se refieren a lo mismo. Ambos hacen referencia al software diseñado para detectar, proteger y eliminar software malicioso”.

¿Qué es un virus informático?

Un virus informático es un software (generalmente) dañino definido por dos características:

  • Tiene que iniciarlo un usuario desprevenido. Activar un virus puede ser tan sencillo como abrir un archivo adjunto de correo electrónico malicioso (malspam) o lanzar un programa infectado. Una vez que eso sucede, el virus intenta propagarse a otros sistemas de la red en la que se encuentra el equipo o mediante la lista de contactos del usuario.
  • Se debe replicar por sí solo. Si el software no se replica por sí solo, no es un virus. Este proceso de autorreplicación puede ocurrir al modificar o reemplazar completamente otros archivos en el sistema del usuario. En cualquier caso, el archivo resultante debe mostrar el mismo comportamiento que el virus original.

Los virus informáticos han existido durante décadas. En teoría, el origen de los “autómatas que se reproducen por sí solos” (es decir, los virus) se remonta a un artículo publicado por el polifacético matemático John von Neumann a finales de la década de 1940. Los primeros virus afectaron a plataformas anteriores a los ordenadores personales en la década de 1970. No obstante, la historia de los virus modernos comienza con un programa llamado “Elk Cloner“, que empezó a infectar sistemas Apple II en 1982. El virus, que se diseminaba mediante disquetes, era inocuo en realidad, pero se extendía a todos los discos conectados a un sistema. Se propagó tan rápidamente que la mayoría de expertos en seguridad informática lo considera el primer brote de virus informático a gran escala de la historia.

Los primeros virus como Elk Cloner se diseñaron principalmente como una broma. Sus creadores lo hacían por notoriedad y simplemente para presumir. Sin embargo, a principio de la década de 1990, aquellas travesuras de adolescentes habían evolucionado hasta convertirse en muy perjudiciales. Los usuarios de PC sufrieron una oleada de ataques de virus diseñados para destruir datos, ralentizar los recursos del sistema y registrar las pulsaciones del teclado (también conocidos como keylogger). La necesidad de contramedidas llevó al desarrollo de los primeros programas de software antivirus.

Los primeros programas antivirus eran exclusivamente reactivos. Sólo podían detectar las infecciones después de que ocurrieran. Además, aquellos primeros programas antivirus identificaban los virus mediante la técnica relativamente primitiva de buscar la firma de identificación creada por el autor del virus. Por ejemplo, podían saber que hay un virus con el nombre de archivo “PCdestroy”, por lo que si el programa antivirus reconocía ese nombre, pararía la amenaza. Sin embargo, si el atacante cambiaba el nombre del archivo, el antivirus no sería tan efectivo. Aunque los primeros programas antivirus también podían reconocer patrones o identificadores digitales específicos, como ciertas secuencias de código en el tráfico de la red o secuencias conocidas de instrucciones dañinas, necesitaban estar actualizándose continuamente.

Los primeros antivirus que utilizaban estrategias basadas en firmas podían detectar fácilmente virus conocidos, pero no podían detectar ataques nuevos. Por lo tanto, cada nuevo virus se tenía que aislar y analizar para determinar su firma, y después se añadía a la lista de virus conocidos. El usuario del antivirus tenía que descargar periódicamente un archivo, cada vez mayor, de base de datos que contenía cientos de miles de firmas. No obstante, los nuevos virus que se adelantaban a las actualizaciones de la base de datos dejaban un porcentaje significativo de dispositivos desprotegidos. El resultado era una carrera constante por mantenerse al día en el panorama en constante evolución de amenazas a medida que se creaban y liberaban nuevos virus.

Estado actual de los virus informáticos y los programas antivirus

Los virus informáticos en la actualidad son más una amenaza heredada del pasado que un riesgo vigente para los usuarios. Han existido durante décadas y no han cambiado sustancialmente. De hecho, el último virus realmente “nuevo” que se replicaba a sí mismo por medio de la interacción de usuario surgió en 2011 o 2012.

Por lo tanto, si los virus informáticos han dejado de ser lo que eran, ¿por qué la gente sigue llamando a su software de protección contra amenazas un programa antivirus?

Todo se reduce al reconocimiento de un nombre arraigado. Los virus aparecieron en titulares alarmantes en los medios de comunicación en los años 90 y las empresas de seguridad empezaron a utilizar el término para las ciberamenazas en general. Así nació el término “antivirus”. Décadas más tarde, muchas firmas de seguridad siguen utilizando el término “antivirus” para comercializar sus productos. Se ha convertido en un círculo vicioso. Los usuarios asumen que virus es sinónimo de ciberamenaza, por lo que las empresas llaman a sus productos de seguridad informática software “antivirus”, lo que lleva a los usuarios a pensar que los virus siguen siendo el problema.

Y aquí viene lo importante: aunque “virus” y “antivirus” no son estrictamente conceptos anacrónicos, las ciberamenazas modernas a menudo son mucho peores que sus predecesores virales. Se ocultan más profundamente en nuestros sistemas informáticos y son muy hábiles en evadir la detección. Los tradicionales virus de ayer han dado lugar a toda una galería de amenazas avanzadas como spyware, rootkits, troyanos, exploits y ransomware, por nombrar algunos.

A medida que estas nuevas categorías de ataques aparecían y evolucionaban superando a los primeros virus, las empresas de antivirus continuaron su misión contra estas nuevas amenazas. Sin embargo, las empresas de antivirus no estaban seguras de cómo clasificarse. ¿Deberían continuar comercializando sus productos como un “antivirus” a riesgo de parecer limitado? ¿Deberían utilizar otro término “anti-amenaza” para comercializarse como, por ejemplo, “anti-spyware”? ¿O bien, sería mejor adoptar un enfoque global y combinar todo en una sola línea de productos que abordara todas las amenazas? Las respuestas a estas preguntas dependen de la empresa de antivirus.

En Malwarebytes, seguridad informática es nuestra categoría genérica de más alto nivel. Y ésa es la razón por la que tiene sentido englobar nuestro esfuerzo para combatir las amenazas en un único término que abarca mucho más que los virus. Por lo tanto, el término que utilizamos que cubre la mayor parte de lo que hacemos es “anti-malware”, que es la abreviatura de “software anti-malicioso”.

“Los usuarios asumen que virus es sinónimo de ciberamenaza, por lo que las empresas llaman a sus productos de seguridad informática software "antivirus”, lo que lleva a los usuarios a pensar que los virus siguen siendo el problema”.

Si los virus han dejado de ser una gran amenaza, ¿por qué necesito seguridad informática?

Los virus son sólo un tipo de malware. Aunque los virus siguen existiendo, hay otras formas de malware que son más comunes hoy en día. Por ejemplo, éstas son algunas amenazas comunes que Malwarebytes puede detener:

  • El adware es un software no deseado diseñado para mostrar anuncios en su pantalla, con frecuencia en un navegador web pero a veces también en apps para móviles. Normalmente, se hace pasar por legítimo o bien se adosa a otro programa con el fin de engañar al usuario para que lo instale en su PC, tableta o dispositivo móvil.
  • El spyware es malware que observa en secreto las actividades del usuario en su equipo, sin su permiso, y transmite esta información al autor del software.
  • Un virus es malware que se adjunta a otro programa y, cuando se activa, se replica modificando otros programas informáticos e infectándolos con su propio código.
  • Los gusanos son un tipo de malware que se asemeja a los virus en que ambos se propagan, pero no requieren la interacción del usuario para activarse.
  • Un troyano, o caballo de Troya, es más un método de propagación para infecciones que un tipo de infección en sí misma. El troyano se presenta como algo útil para engañar a los usuarios y conseguir que lo abran. Los ataques de troyanos pueden transportar cualquier forma de malware, incluidos virus, spyware y ransomware.
  • El ransomware es un tipo de malware que bloquea el acceso del usuario al dispositivo o cifra sus archivos y después lo fuerza a pagar un rescate para devolvérselos. El ransomware se considera el arma preferida de los ciberdelincuentes, porque exige un pago rápido y rentable mediante criptomonedas difíciles de rastrear. El código que subyace en un ataque de ransomware es fácil de obtener en los repositorios online de aplicaciones de uso delictivo, y es difícil defenderse de él.
  • Un rootkit es un tipo de malware que proporciona al atacante privilegios de administrador en el sistema infectado y se oculta activamente del usuario habitual del equipo. Los rootkit también se ocultan de otro software presente en el sistema, incluso del propio sistema operativo.
  • Un keylogger o registrador de pulsaciones de teclas es malware que graba todas las pulsaciones de teclas del usuario, almacena la información recopilada y la envía al atacante, que busca información confidencial, como nombres de usuario y, contraseñas o datos de la tarjeta de crédito.
  • La minería de criptomonedas maliciosa, también denominada minería involuntaria o cryptojacking, es un malware, o ataque basado en navegador, cada vez más frecuente que se distribuye a través de múltiples métodos de ataque, incluidos malspam, descargas involuntarias y aplicaciones y extensiones fraudulentas. Permite que otras personas utilicen la CPU o GPU de su equipo para hacer minería de criptomonedas como bitcoin o monero. Los programas maliciosos de minería de criptomonedas utilizan los recursos de su equipo pero envían las monedas obtenidas a sus propias cuentas, no a las del propietario del equipo. En pocas palabras, un programa de minería de criptomonedas malicioso, le roba recursos de su dispositivo para ganar dinero.
  • Los exploits son un tipo de amenaza que aprovecha los errores y vulnerabilidades de un sistema para que el creador del exploit transmita el malware. Entre otras amenazas, los exploits están vinculados a la publicidad maliciosa, un ataque que utiliza anuncios maliciosos, en sitios web que por lo demás son legítimos, para transmitir exploits. Ni siquiera es preciso que haga clic en el anuncio para verse afectado: los exploits y el malware que los acompaña pueden instalarse en su equipo en una descarga involuntaria. Todo lo que tiene que hacer es visitar un sitio bueno el día equivocado.

¿Cómo funciona el anti-malware?

El método de la vieja escuela de detección de amenazas basada en firmas es efectivo hasta cierto grado, pero el anti-malware moderno también detecta amenazas utilizando nuevos métodos que buscan comportamiento malicioso. Dicho de otro modo, la detección basada en firmas es un poco como buscar las huellas dactilares de un delincuente. Es una excelente manera de identificar una amenaza, pero sólo si sabe cómo son las huellas dactilares del criminal. El anti-malware moderno lleva la detección un paso más adelante de modo que puede identificar amenazas que no ha visto nunca antes. Al analizar la estructura y el comportamiento de un programa, puede detectar actividad sospechosa. Siguiendo con la analogía, es como darse cuenta de que una persona frecuenta los mismos lugares que los delincuentes conocidos y además lleva una ganzúa en su bolsillo.    

Esta tecnología de seguridad informática más nueva y efectiva se denomina análisis heurístico. “Heurística” es un término que los investigadores acuñaron para una estrategia que detecta amenazas mediante el análisis de la estructura del programa, su comportamiento, y otros atributos.

Cada vez que un programa anti-malware heurístico analiza un archivo ejecutable, examina la estructura global, la lógica de programación y los datos del programa. Al mismo tiempo, busca cosas como instrucciones inusuales o código basura. De esta forma, evalúa la probabilidad de que el programa contenga malware.

Además, un punto a favor para la heurística es su capacidad de detectar malware en archivos y registros de arranque antes de que el malware tenga la posibilidad de ejecutarse e infectar su equipo. En otras palabras, el anti-malware con tecnología heurística es proactivo y no reactivo. Algunos productos anti-malware también pueden ejecutar malware sospechoso en un sandbox, que es un entorno controlado en el que el software de seguridad puede determinar si un programa se puede desplegar o no de forma segura. Ejecutar malware en un sandbox permite que el anti-malware vea lo que hace el software, las acciones que realiza y si intenta ocultarse o comprometer su equipo.

Otra forma en que el análisis heurístico ayuda a mantener a los usuarios seguros es mediante el análisis de las características de las páginas web para identificar sitios de riesgo que podrían contener exploits. Si reconoce algo sospechoso, bloquea el sitio.

En resumen, el antivirus basado en firmas es como un portero de una discoteca que consulta un voluminoso álbum de fotografías y prohíbe el acceso a todo aquél que coincida. El análisis heurístico es un portero que busca comportamientos sospechosos, registra a las personas y envía a casa a los que llevan armas.

“La heurística es un término que los investigadores acuñaron para designar una estrategia que detecta los virus mediante el análisis de la estructura del programa, su comportamiento y otros atributos”.

Avances en programas de seguridad informática

Dos formas relativamente nuevas de malware han ayudado a impulsar el avance de los métodos de detección no basados en firmas: exploits y ransomware. Aunque estas amenazas son similares a otras en muchas formas, pueden ser bastante más difíciles de detectar. Además, una vez producida la infección, es casi imposible de eliminar.

Los exploits reciben su nombre porque literalmente explotan las vulnerabilidades en un sistema, software o navegador web para instalar código malicioso de varias formas. Las medidas anti-exploit se desarrollaron como un escudo contra este método de ataque, protegiendo contra los exploits de Flash y las debilidades de los navegadores de Internet, incluidos nuevos exploits que no se han identificado o vulnerabilidades para las que todavía no se han creado parches.

El ransomware se presentó en la escena del malware en 2013 de una manera espectacular. El ransomware se hizo célebre secuestrando y cifrando datos informáticos para luego extorsionar exigiendo pagos mientras mantenía los datos secuestrados, e incluso amenazando con borrarlos si vencía un plazo sin recibir el pago.

Originalmente, estas dos amenazas provocaron el desarrollo de productos especializados anti-exploit y anti-ransomware. En diciembre de 2016, Malwarebytes incluyó tecnología anti-exploit y protección frente a sitios web maliciosos en la versión Premium de Malwarebytes for Windows, y desde entonces ha añadido funciones anti-ransomware para lograr una protección anti-malware incluso más avanzada.

El futuro de los programas de seguridad informática (que ya está aquí)

La inteligencia artificial (IA) y el aprendizaje automático son las últimas estrellas de la tecnología anti-malware.

La IA permite que las máquinas realicen tareas para las que no se han programado antes específicamente. La IA no realiza a ciegas un conjunto limitado de comandos. En su lugar, la IA utiliza “inteligencia” para analizar una situación y ejecuta acciones para alcanzar un objetivo como identificar signos de actividad de ransomware.

El aprendizaje automático es una programación que es capaz de reconocer patrones en datos nuevos y luego clasifica los datos de manera que enseña a la máquina cómo aprender.

En otras palabras, la IA se centra en crear máquinas inteligentes, mientras que el aprendizaje automático utiliza algoritmos que permiten a las máquinas aprender de la experiencia. Ambas tecnologías son idóneas para la seguridad informática, especialmente porque el número y la variedad de amenazas que aparecen a diario son demasiado abrumadores para los métodos basados en firmas u otras medidas manuales. Tanto la IA como el aprendizaje automático están todavía en fase de desarrollo, pero son inmensamente prometedores.

De hecho, en Malwarebytes, ya utilizamos un componente de aprendizaje automático que detecta malware no visto nunca antes, también conocido como de día cero u hora cero. Otros componentes de nuestro software realizan detecciones heurísticas basadas en el comportamiento, lo que significa que pueden no reconocer un determinado código como malicioso, pero han determinado que un archivo o sitio web actúa de una forma distinta a la que debería. Esta tecnología se basa en IA/aprendizaje automático, y está disponible para nuestros usuarios como protección en tiempo real y como análisis bajo demanda.

En el caso de los profesionales de IT que necesitan proteger múltiples equipos, el enfoque heurístico es especialmente importante. Nunca sabemos cuál será la siguiente gran amenaza de malware. Por lo tanto, la heurística desempeña un papel importante en Malwarebytes Endpoint Protection, al igual que la IA y el aprendizaje automático. Juntos, crean múltiples capas de protección que abordan todas las etapas de la cadena de ataque para las amenazas tanto conocidas como desconocidas.

Más vale prevenir que curar

Desde equipos de escritorio y portátiles a tabletas y teléfonos inteligentes, todos nuestros dispositivos son vulnerables al malware. Si se tiene la opción, ¿quién no preferiría impedir una infección en lugar de tener que abordar las consecuencias?

Los antivirus tradicionales por sí solos no están a la altura del desafío, como lo demuestra la continua aparición de titulares de prensa que informan sobre nuevos ciberataques que han tenido éxito.

Entonces, ¿qué debe hacer para mantenerse seguro? ¿Qué tipo de software de seguridad informática —antivirus o anti-malware— se debe elegir para abordar un panorama de amenazas que consiste en virus tradicionales y malware emergente?  

El hecho es que el antivirus tradicional por sí solo no está a la altura del desafío, como lo demuestra la continua aparición de titulares de prensa que informan sobre nuevos ciberataques que han tenido éxito. Es insuficiente contra las amenazas del día cero, permite que el ransomware secuestre equipos con éxito y no elimina completamente el malware. Lo que se necesita es un programa avanzado de seguridad informática que sea lo suficientemente flexible e inteligente para anticiparse a las amenazas cada vez más sofisticadas de la actualidad.

Malwarebytes for Windows cumple esta necesidad de seguridad informática avanzada (junto con Malwarebytes for Mac, Malwarebytes for Android y las soluciones empresariales de Malwarebytes). Los productos Malwarebytes protegen contra el malware, ataques de hackers, virus, ransomware, y otras amenazas en constante evolución contribuyendo a mantener una experiencia online segura. Nuestra tecnología de tipo heurístico y mejorada con inteligencia artificial bloquea amenazas que los antivirus tradicionales no pueden detener.

Los analistas del sector han destacado a Malwarebytes for Windows por su enfoque de protección por capas que proporciona protección fiable sin degradar el rendimiento del sistema. Elimina todo rastro de malware, bloquea las últimas amenazas y realiza análisis rápidamente.

Con independencia de la seguridad informática que elija, su primera línea de defensa es la formación. Manténgase al día de las últimas amenazas y la protección leyendo de forma regular el blog de Malwarebytes Labs.

Información de ciberseguridad de la que no podrá prescindir

¿Desea estar al día en cuanto a los últimos avances en materia de seguridad informática? Suscríbase a nuestro boletín y sepa cómo proteger su ordenador frente a las amenazas.

Seleccione su idioma