Por muchos años, he leído los resultados: incontables páginas de información sobre las pruebas de la industria y de las compañías encargadas de los análisis estándar de los antivirus y he tratado de encontrarle un sentido.
Cuando terminé, todavía me cuestionaba el interrogante que me había llevado a leerlos por primera vez.: ¿Qué programa antivirus sería mejor para mi escuela?
Como Analista de Seguridad Informática en Colby-Sawyer Collage en New London, New Hampshire, tengo la oportunidad de ver todo tipo de programas maliciosos.
Los estudiantes quieren explorar todo lo que Internet les ofrece. El problema es que Internet no siempre es el mejor lugar para ser curioso.
Como resultado, he visto demasiadas infecciones causadas por programas maliciosos, como por ejemplo, 8000 virus en un solo ordenador.
Puse en práctica mis conocimientos y encontré 10 virus/troyanos y dos exploits del día cero en una sola noche.
Todas estas podrían considerarse infecciones del día cero, ya que la mayoría no fue detectada por el programa antivirus, pero todas fueron confirmadas por dos o más compañías después de habérselas enviado.

Decidí analizar estas amenazas con 13 de los más conocidos programas antivirus disponibles en los Estados Unidos, porque ya había visto a estas amenazas específicas destruir un ordenador y dejarlo totalmente inútil, tanto conectado como desconectado de Internet.
Estas amenazas no se auto-propagan, que es lo que se espera de un verdadero virus.

La propagación es innecesaria cuando muchas de estas infecciones están empaquetadas en juegos conocidos o en programas punto a punto, o en una página de Internet a la que se accede 10000 veces al día.
En realidad, Kazaa fue la palabra más buscada en Yahoo el año pasado.
En cualquiera de los casos, la mayoría de estas infecciones fueron mucho más complicadas, llevaron mucho más tiempo sacarlas y los efectos fueron peores que los del temido gusano Sasser.

Entonces ¿Por qué todos los programas antivirus no detectan y eliminan todas estas infecciones?
Un técnico de uno de los programas antivirus probados, me explicó que muchas de las muestras que le envié eran troyanos y éstos se utilizan principalmente para propagar programas espías en lugar de virus.

Sin embargo, estos troyanos crean una puerta trasera en el ordenador o instalan alguna clase de código malicioso, el cual eventualmente deshabilitaría completamente el ordenador.

Esta compañía no detectará estas infecciones a menos que las mismas desarrollen en realidad una actividad semejante a la de un virus, o que tengan otras intenciones que no sea sólo bombardear el ordenador con espías.
El técnico me contó además, que una compañía de programas espías en el Reino Unido fue lo suficientemente atrevida como para tomar acciones legales contra esta compañía de antivirus y demandarlos argumentando que su programa no se propaga solo y que por eso no cumple los requisitos legales para ser virus.
La detección por parte de una compañía de antivirus seguramente llevaría a tener mala prensa a esta y a otras compañías que desarrollan programas espías similares.
En mi opinión, están caminando por la delgada línea de la ley, esquivando la legalidad, aduciendo que sus programas no se propagan solos y que por eso no son virus.
Es importante destacar que otra de las razones por la que estas compañías evitan ser demandadas es que sólo son un programa: un programa malicioso ilícito no siempre destruye su ordenador, pero cuando un programa malicioso descarga otro programa malicioso que a su vez descarga otro, etc., esto sí destruye su ordenador.
Y eso es lo que estos productos hacen.

No he visto virus alguno que yo no pueda deshabilitar después de un rato; sin embargo, a menudo paso varias horas en el ordenador tratando de eliminar los programas espía.
Con algunas pocas excepciones, la gente que tiene virus, generalmente no sabe que está infectada; esto casi nunca sucede con los programas espías.
El problema es que estos programas maliciosos técnicamente tampoco son espías: son una combinación de programas espía y un virus o un troyano.
Por esa razón, tampoco fueron detectados por los programas anti-espía que utilicé, creando una especie de zona gris.
Si no se sacan estos programas, la reinfección de su ordenador seguirá ocurriendo.

En una oportunidad, me enfrente a un ordenador con más de 300 procesos en ejecución y me llevó más de 20 minutos abrir el administrador de tareas.
En la era de la seguridad informática, los programas antivirus que no detecten estos híbridos de espías y virus, simplemente no servirán.
Los usuarios necesitan una solución antivirus completa en combinación con una buena solución para espías con protección en tiempo real como Pest Patrol o Spy Sweeper.
Programas más viejos tienden a no reconocer troyanos como espías.
Pest Patrol reporta más de 1000 pestes nuevas todos los meses. Eset encontró más de 400 virus o troyanos nuevos la semana de prueba, mientras que las compañías tradicionales de antivirus encontraron tan sólo nueve infecciones.

Observe mis resultados y dígame dónde está la amenaza real.

Las pruebas

Algunos comentarios sobre mis pruebas: examiné 13 programas antivirus diferentes, probándolos en una máquina virtual (VMware) con Microsoft Windows® XP Pro SP2 totalmente actualizada con la última versión y últimas definiciones del sitio de Internet de la compañía antivirus.

Sólo los productos que yo creí que estaban disponibles para los consumidores en los EEUU (o al menos que yo pensaba que lo estaban, previo a la prueba) fueron analizados.
Yo no leí ningún manual. Como la mayoría de ustedes, quiero instalar mi antivirus, saber que estoy inmediatamente protegido y continuar con lo que estaba haciendo.

Los productos fueron todos probados en el mismo día y posteriormente una semana después.
Para probar la reacción de las compañías de antivirus, a cada una se les envió ese mismo día los últimos 10 virus del día cero y los dos exploits que no conocían, por medio del correo electrónico utilizando una lista de distribución.

Exactamente una semana después, yo actualicé todas las definiciones para los antivirus y volví a probarlos.
Algunos de estos virus fueron detectados por varias de las compañías antivirus como infecciones desconocidas por medio de su heurística (Ver los gráficos Virus detectados antes del envío y Virus detectados una semana después del envío con las definiciones actualizadas.)

La siguiente sección ¿Sirve? fue escrita con información tomada de Virus Bulletin, uno de los mejores laboratorios de análisis antivirus del mundo, y en el cual muchos profesionales confían.
Esto es lo que me inspiró a hacer este análisis: a encontrar algunos virus que eludieron la detección y a enviárselos a las compañías de programas antivirus.
Como la cita dice, es necesario poder detectar la mayoría de los virus encontrados en la vida real, inclusive los troyanos.

¿Sirve?

¿Cómo determinar si un programa antivirus sirve?

El principal propósito de los programas antivirus es identificar y obstruir virus y troyanos que están circulando por el mundo real.

No importa qué programa antivirus pueda reconocer “la mayoría” de los virus, o si detecta todos los virus en una colección de análisis que consiste mayormente de virus no-funcionales, virus que han estado fuera de circulación por años, o virus artificiales que fueron creados solamente con fines de prueba.

Tampoco importa cuántas copias haya vendido el programa o cuántas compañías dependen de su protección.

El programa antivirus sólo sirve si puede lidiar con virus de la vida real que se hacen camino dentro de tu bandeja de entrada, tu buscador, o en tu red.

Virus Bulletin Magazine es una publicación técnica sobre los avances en el campo de los virus informáticos y de los productos antivirus.

VB prueba los programas antivirus mensualmente y premia con su galardón VB100 a los productos que detectan todos los virus "In the Wild" (en el mundo real) durante el análisis tanto por demanda como por acceso en ciertas pruebas efectuadas por esta publicación.
Se puede encontrar más detalles sobre este galardón en: http://www.virusbtn.com/vb100/about/100procedure.xml.

Conclusión

Luego de una prueba interna extensiva de casi todos los productos antivirus disponibles para la educación superior, llegué a la conclusión que NOD32 es el mejor producto antivirus en el mercado.
Kaspersky es mi segunda elección.

Ambos son de primera calidad.
En el análisis, NOD32 sobresalió en velocidad y en el bajo consumo de recursos, mientras que Kaspersky hizo un mejor trabajo con los archivos pero detectó menos en total.
Vale resaltar que NOD32 tiene respaldo en Estados Unidos.

Una persona real atiende el teléfono y la compañía ofrece soporte por correo electrónico casi las 24 hs del día los 7 días de la semana.

Los estudiantes de la academia cada día están más familiarizados con la tecnología, dedican una importante cantidad de horas diarias para explorar Internet, leer y enviar correos electrónicos y descargar archivos potencialmente riesgosos.

Para el semestre del otoño de 2005, Colby-Sawyer Collage necesitará que todos los ordenadores conectados en una red del campus tengan la protección antivirus de NOD32.

Comentarios adicionales y Notas generales sobre los productos evaluados

Todas las compañías en esta investigación respondieron a los correos electrónicos enviados con información de virus, e indicaron que yo tenía las direcciones de correo electrónico correctas.

Tanto Virus Bulletin como yo, hemos encontrado que NOD32 es el mejor programa antivirus en el mercado y por esta razón lo hemos ubicado en el primer puesto de una larga lista de programas antivirus.

Nota de la traducción: el detalle completo sobre la evaluación y calificación de los otros productos antivirus pueden ser consultados en el documento original.

Comentarios adicionales sobre NOD32 y la oficina de Eset en Estados Unidos

Soporte por correo electrónico prácticamente las 24 hs del día, los 7 días de la semana.

Consume muy pocos recursos.
El producto está publicitado como el analizador más rápido del mundo.
El módulo de Internet observa la pila IP e intercepta a los virus antes que ellos entren en el ordenador.
Posee un gran soporte, sin menú automatizado de respuestas, siempre atiende una persona real y nunca hay que esperar mucho tiempo.
Gran heurística. En realidad la más alta detección con la menor cantidad de falsos positivos, tal como analistas independientes han informado.
Las pruebas independientes dicen que el índice de eficacia en la detección de nuevas amenazas es de 85%, mientras Eset dice que se encuentran en el 91%.
Las actualizaciones automáticas comienzan inmediatamente al iniciarse el programa o a través de módem.
Este fue uno de los dos productos que atrapó virus entrando en mi sesión de VMware.
Después de la detección, no se me permitió acceder a eso archivos.
También, vale la pena mencionar que los pocos virus grandes que deshabilitaron otros programas antivirus, no deshabilitaron NOD32.
La única queja que tengo se relaciona con el sitio de Internet de la compañía.
Carece de información sobre los virus y sólo parece mostrar los más grandes.(1)
Este es un producto sobresaliente, probablemente el mejor.
Esta gente definitivamente no está publicitando lo suficientemente su producto, teniendo en cuenta que en los últimos nueve años, Virus Bulletin ha premiado a NOD32 con más galardones VB100 que a cualquier otro programa antivirus disponible.

(1) Nota de la traducción: Ontinet.com, S.L., distribuidor exclusivo de Eset NOD32 Antivirus en España, mantiene una completa enciclopedia de virus, en español, en http://www.enciclopediavirus.com.

Glosario

Exploit de día cero
Un exploit de día cero es un ataque que es lanzado a la red en el momento, e incluso antes, que la vulnerabilidad contra la que atenta sea identificada públicamente.

Fuente: http://www.eset.com/resources/Colby_Sawyer_white_paper.pdf
Traducción y adaptación al español: Ontinet.com, S.L.

Autor: Scott Brown
Scott Brown es Analista de Seguridad Informática en Colby-Sawyer Collage desde 2004. Antes de unirse a la academia, Scott había dirigido por casi 20 años su propio negocio, una consultora informática, especializándose en armado y reparación de hardware y en servicios técnicos para sistemas operativos para pequeñas empresas. A finales de los `90 se encontró con que hacía cada vez más reparaciones de sistemas operativos y de redes. Ha estado trabajando con programas maliciosos desde un principio y hoy es un individuo que entiende claramente los virus y otras formas de programas maliciosos.
Colby-Sawyer Collage es una academia secundaria de arte liberal e independiente situada en el pintoresco centro de New Hampshire.