44 - ¿Sirven los antivirus? - 22/07/2006


Autor: Lic. Cristian F. Borghello

http://www.segu-info.com.ar

Esta semana me ha tocado leer diversos artículos que hablan de la eficacia (y de la eficiencia) de los antivirus y también me ha tocado preguntarme si todo es tan feo como parece. En esta noticia se menciona que el 80% del malware actual no es detectado por los antivirus tradicionales y aún cuando el 98% de las compañías utilizan un antivirus, casi la mitad de ellas experimentaron excedentes de infecciones el último año.

Si bien los números en frío dan escalofríos (sic) hay que remarcar ciertos aspectos de los mismos, ya que si bien el especialista (nada menos y nada mas que el Director de AusCERT, Graham Ingram) no ha querido mencionar empresas ha remarcado que:

  • Esa tasa de detección no necesariamente se debe a productos defectuosos sino más bien a la velocidad de los cybercriminales para escribir malware (y yo agregaría a la cantidad de ellos).
  • Los badguys prueban sus "productos" contra los antivirus para asegurar su no-detección.
  • Existen antivirus menos populares en cuyo caso la tasa de detección es más alta. Aquí mi reflexión sería que quizás algunas empresas de antivirus se han preocupado más por su imagen estética y efectividad publicitaria que por su eficiencia a la hora de realizar su trabajo (en lo que deben realizar): detectar malware.

Si bien el panorama parece desolador y más de uno puede llegar al extremo de recomendar desinstalar su antivirus porque acaba de leer esas estadísticas lo cierto es que en el contexto actual los antivirus nos protegen contra una gran cantidad de amenazas existentes. Estadísticamente quizás el porcentaje de detección sea bajo pero esto no quiere decir que el número de detecciones sea bajo. Otra realidad es que cada usuario nunca podrá ser atacado por las miles de aplicaciones dañinas existentes. Sólo un bajo porcentaje de ellas tiene posibilidad de reproducción masiva y por ende tendrá posibilidades de llegar a él. Si consideramos que existen 100.000 códigos maliciosos y que sólo entre 3.000 y 4.000 se mantienen activos (según http://www.wildlist.org/) entonces llegamos a la conclusión que sólo el 3% del malware puede ser peligroso para el usuario en un momento dado. Volviendo a Ingram, considerando que el 20% de los códigos son detectados estaríamos hablando de un porcentaje mayor de detección que de virus activos, lo cual es absolutamente positivo. Como vemos los números pueden ser "manejados" según la óptica con la cual se mire sin favorecer o perjudicar ningún punto de vista en particular.

Además debemos considerar otro aspecto fundamental: si los antivirus actuales considerarían detectar el 100% del malware lograrían un resultado adverso en la práctica como lo es un producto extremadamente antiperformante e ineficiente por las cualidades que el mismo debería tener para manejar tan alto número de detecciones. De esto último resultan dos conclusiones:

  • Nuevas formas de detección deben implementarse en los antivirus para lograr mayores resultados con menores tiempos y recursos.
  • Alan Turin tenía razón al afirmar: que "existen pruebas de que no puedes tener una defensa perfecta... no puedes escribir un programa que, en todas las circunstancias, determine correctamente el comportamiento de otro programa. Puedes conseguir un resultado muy cercano pero no puedes lograr la perfección."

Buenos Aires, 22 de julio de 2006

Con más de 19 años de experiencia compartiendo la mejor información de Seguridad

Contacto