Una vez que conoce el modus operandi, o aún mejor, que obtiene una muestra de ADN, puede normalmente comparar el crimen con el criminal y llegar a capturarlo.

Quizás en una serie de crímenes, existe el mismo tipo de marca o huella digital, una vía de entrada similar, el mismo tipo de artículo robado, o incluso una muestra de ADN concordante - un indudable corpus delicti.

Este es un buen método para arrestar criminales, pero tiene una falla significativa: es completamente reactivo.

Al menos uno, o usualmente varios crímenes deben ser cometidos (y varias víctimas verse afectadas) antes que el criminal pueda ser aprehendido.
Desafortunadamente, lo antes descrito es análogo a la forma en que trabajan los antivirus tradicionales.

Luego que el virus es lanzado, un patrón comienza a emerger.

Alguien se da cuenta que algo no anda bien, como por ejemplo, un aumento en la cantidad de mensajes de correo electrónico con un tipo particular de archivo adjunto.

Quizás redes enteras de ordenadores empiezan a reiniciarse espontáneamente; tal vez los servidores de correo electrónico cesan su funcionamiento bajo una enorme carga.

Finalmente, "pistas" - ADN digital - son encontradas, y son enviadas a los "detectives" - en este caso, las compañías antivirus.

Las "pistas" son examinadas, el modus operandi es establecido, y una vez que es conocido, el virus puede ser detectado y detenido.

Sin embargo, esto es reactivo, recayendo en dos factores: primero, conocimiento de que el "crimen" ya ha sido cometido, y segundo, recolectando las "pistas" para detectar fiablemente al "criminal".
Este es un ciclo repetitivo: Un nuevo virus es lanzado, y luego de un lapso de tiempo, que en algunos casos es grande, la actualización para detectar el virus, es lanzada.

Históricamente, el problema del lapso de tiempo no era de gran importancia. Alcanzaba con actualizar el antivirus una vez al mes, a lo sumo una vez por semana.

Los virus se reproducían lentamente en la mayoría de los casos, muchas veces a través de una transferencia manual en discos flexibles - la llamada "sneakernet" - y aunque siempre había un riesgo, el modelo de actualizaciones era suficiente.

Volvamos a la actualidad, donde la oficina tradicional se ha convertido en una oficina virtual, con usuarios conectados permanentemente.

Las compañías y sus empleados, están literalmente "siempre en línea".

Esto es una bendición productiva para las compañías, permitiendo a los empleados trabajar incluso desde sus cuartos de hotel, automóviles o incluso desde una cafetería.

Pero, desgraciadamente, la conectividad constante también permite que los virus se propaguen con mayor velocidad.
En un principio, escribir un virus era una tarea que requería de ciertas "habilidades", que ameritaba algo de conocimiento.

Hoy, Internet ofrece vastas cantidades de información, y casi cualquiera puede crear un virus tras descargarse algún código fuente desde la red.

Cada innovación en materia de virus es seguida por un lote de virus relacionados, que difieren muy poco del original, y que son lanzados al mundo rápidamente, cortesía de un imitador.
Un solo virus puede convertirse en una epidemia global en unas pocas horas.

Un buen ejemplo de esto es el Win32/Bagle.AS (ver Figura 1).

En el tiempo que le lleva a una compañía antivirus actualizar su producto, este gusano ya era una gran amenaza.

Algunos gusanos han sido aún más rápidos en su propagación.
Además, como los criminales han comenzado a operar en línea, empezamos a verlos explotando el potencial del software malicioso para actividades criminales.

Grandes redes de ordenadores infectados sirven como generadores de Spam, como puntos para ataques distribuidos de denegación de servicios (DDoS), y como responsables de una "mina de oro" para los criminales formada por detalles de tarjetas de crédito, información bancaria y contraseñas robadas.

Mientras que el modelo tradicional de actualizar las firmas de los antivirus reactivamente ya no es viable para una protección adecuada, existe otra cara de la historia.

Es bien conocido que la guerra lleva a avances tecnológicos, y que en la "guerra" virtual entre los escritores de virus (los "criminales" en nuestra analogía) y las compañías antivirus (los "detectives"), no todo ha sido a pedir de boca de los escritores de virus.
Muchos productos antivirus ahora incluyen algún tipo de tecnología activa (o proactiva), usualmente llamada Heurística.
Heurística es un término muy amplio, y no existe una definición acordada entre los fabricantes de antivirus, pero básicamente describe un rango de técnicas predictivas o proactivas para detectar nuevo software malicioso sin la necesidad de lanzar una actualización.

Una forma efectiva, y razonablemente simple, es crear firmas genéricas.

Usado en este sentido, genérico no significa estándar, sino que se usa para decir que la firma puede ser aplicada genéricamente a más de un objeto.

Esto puede ser muy efectivo ante virus 'imitadores' - es decir, ante nuevos miembros o variantes de una misma familia de virus, que sólo tienen pequeñas modificaciones del original.

Otra técnica usual es la llamada heurística "pasiva", la cual examina el código en un archivo, y le asigna una "puntuación" basándose en algunas reglas para determinar lo que puede ser normal en un archivo o no, aunque esto es fácilmente evitable utilizando encriptación o compresión.

El método conocido como "caja de arena" (Sandboxing) es menos utilizado, debido a la complejidad que conlleva y a la saturación del rendimiento del equipo que causa.

Una "caja de arena" es un ambiente virtual, creado por emulación (por ejemplo, una máquina virtual - o una "escena del crimen" virtual) que permite al código ejecutarse, dentro de un ambiente controlado que monitorea sus acciones y toma una decisión en base a ellas.

La clave de la "caja de arena", debido a que es muy "cara" en cuanto al poder de procesamiento necesario para emular completamente cada archivo, es decidir de una forma inteligente que archivos deben ser monitoreados y cuales no.

Además de los problemas de rendimiento, esta técnica es difícil de implementar y puede llegar a ser engañada fácilmente si no está bien desarrollada.
El método más efectivo es combinar todas estas técnicas - utilizando algún tipo de emulación y utilizando técnicas para analizar archivos codificados y/o comprimidos, además del Sandboxing - y luego realizar un análisis del archivo.

Un sistema de puntuación bien balanceado puede hacer un juicio preciso sobre si el objeto es malicioso.

Usando esta técnica, las mejores soluciones antivirus detectan más del 90 % de los nuevos gusanos de correo electrónico sin generar falsos positivos.

Resumiendo, en nuestro mundo perpetuamente interconectado, los virus modernos pueden propagarse más rápido, llegar a más "victimas" potenciales y causar mucho más daño de lo que era posible antes, particularmente a través del crimen organizado.

Si UD. está buscando un nuevo producto antivirus, asegúrese de verificar sus capacidades heurísticas; ya que no todos los detectives digitales brindan los resultados deseados.

Autor: Andrew J. Lee
Andrew J. Lee es CTO (Chief Technical Officer, Director Técnico) de la empresa ESET, desarrolladora de ESET NOD32 Antivirus, habiendo escrito diversos artículos para revistas como PC Magazine y SC Magazine, además de ser miembro de los grupos AVIEN (Anti-Virus Information Exchange Network, Red para el intercambio de información de antivirus) y AVIEWS (una comunidad virtual en línea derivada de AVIEN para compartir esfuerzos y reducir el impacto de la difusión de código malicioso).