Autor: Lic. Cristian F. Borghello
Esta semana me ha tocado leer diversos artículos que hablan de la eficacia (y de la eficiencia) de los antivirus y también me ha tocado preguntarme si todo es tan feo como parece. En esta noticia se menciona que el 80% del malware actual no es detectado por los antivirus tradicionales y aún cuando el 98% de las compañías utilizan un antivirus, casi la mitad de ellas experimentaron excedentes de infecciones el último año.
Si bien los números en frío dan escalofríos (sic) hay que remarcar ciertos aspectos de los mismos, ya que si bien el especialista (nada menos y nada mas que el Director de AusCERT, Graham Ingram) no ha querido mencionar empresas ha remarcado que:
Si bien el panorama parece desolador y más de uno puede llegar al extremo de recomendar desinstalar su antivirus porque acaba de leer esas estadísticas lo cierto es que en el contexto actual los antivirus nos protegen contra una gran cantidad de amenazas existentes. Estadísticamente quizás el porcentaje de detección sea bajo pero esto no quiere decir que el número de detecciones sea bajo. Otra realidad es que cada usuario nunca podrá ser atacado por las miles de aplicaciones dañinas existentes. Sólo un bajo porcentaje de ellas tiene posibilidad de reproducción masiva y por ende tendrá posibilidades de llegar a él. Si consideramos que existen 100.000 códigos maliciosos y que sólo entre 3.000 y 4.000 se mantienen activos (según http://www.wildlist.org/) entonces llegamos a la conclusión que sólo el 3% del malware puede ser peligroso para el usuario en un momento dado. Volviendo a Ingram, considerando que el 20% de los códigos son detectados estaríamos hablando de un porcentaje mayor de detección que de virus activos, lo cual es absolutamente positivo. Como vemos los números pueden ser "manejados" según la óptica con la cual se mire sin favorecer o perjudicar ningún punto de vista en particular.
Además debemos considerar otro aspecto fundamental: si los antivirus actuales considerarían detectar el 100% del malware lograrían un resultado adverso en la práctica como lo es un producto extremadamente antiperformante e ineficiente por las cualidades que el mismo debería tener para manejar tan alto número de detecciones. De esto último resultan dos conclusiones:
Buenos Aires, 22 de julio de 2006