En esta ocasión, no pretendemos realizar un artículo en el que se expliquen las ventajas y/o desventajas a la hora de apostar por un antivirus clásico basado en firmas o uno más avanzado basado en comportamiento o heurística. No se pretende entrar en un mundo ya muy documentado en la red, donde después de un sin fin de ventajas e inconvenientes acabemos pensando que “necesitamos” realizar una grandísima inversión en estas nuevas herramientas, NO. En este caso, y ante una tendencia cada vez más extendida de que parece estar más protegida aquella empresa que tiene más “cacharritos” de seguridad en su red (incluso sin estar correctamente configurados y dando una falsa sensación de seguridad) queremos dar una pequeña pincelada e intentar hacer reflexionar al lector.
Volviendo al título de este artículo, ¿En qué se diferencian los antivirus basados en firmas de los basados en comportamiento?
- Un antivirus basado en firmas es aquel que utiliza una base de datos de virus, administrada por el fabricante, que va siendo actualizada periódicamente con el objetivo de identificar todos los nuevos virus conocidos. Para actualizar las firmas de virus, el fabricante analiza una nueva muestra de virus, que acaba de encontrar, guardando información en esta base de datos sobre el código del virus, archivos sobre los que actúa o genera y los procesos que empiezan a ser usados una vez hemos sido infectados. El principal problema de este tipo de antivirus es que ante un virus totalmente nuevo que el fabricante no haya aún identificado, estaremos totalmente desprotegidos. Ocurre lo mismo si el fabricante ha identificado el virus pero por nuestra parte aún no tenemos actualizada la base de datos de firmas a la última versión, pasando este virus totalmente desapercibido.
- Un antivirus basado en comportamiento o ATP (Advanced Threat Protection) es aquél que, de manera proactiva, se basa en el comportamiento que pueda tener cierto archivo o proceso, identificando acciones sospechosas y haciendo saltar las alarmas ante las mismas. De esta manera, y a favor de este tipo de antivirus frente a los clásicos basados en firmas, se podría detectar un nuevo virus incluso antes de ser identificado por el fabricante por el simple hecho de que su comportamiento se parece a otro virus ya conocido. Por contra, este tipo de antivirus requieren de más gestión ya que pueden dar falsos positivos.
Hasta este punto, todo parece indicar que los antivirus basados en comportamiento son muy superiores a los basados en firmas pero, ¿Qué es lo que no hemos contado hasta el momento?
Al igual que la tecnología defensiva va avanzando, no se quedan atrás los atacantes. Por tanto, cada vez se diseñan virus más sofisticados con el objetivo de no actuar de manera predecible y no ser detectados por esta nueva generación de antivirus. En este caso, al fabricante no le queda otra opción que la de tener que mantener y actualizar periódicamente una base de datos basada en comportamiento. Volvemos pues a tener el mismo problema que con los antivirus basados en firmas, y es que, ante un nuevo virus cuyo comportamiento no se asemeje a nada conocido, no será detectado hasta que el fabricante no actualice la base de datos de detección e incluya este nuevo comportamiento.
Llegados hasta aquí, ya podríamos responder a la pregunta de este artículo: ¿Es el antivirus basado en comportamiento un sustituto o un complemento del basado en firmas? Como ya supondrás, se trata de un complemento. En cierto momento puede que se encuentre un virus que sea detectado por un antivirus basado en firmas pero no por otro basado en comportamiento o viceversa, por lo que hace que ambos sean necesarios para aumentar un poco más nuestra protección. Como muestra de ello, ya existen fabricantes cuya solución antivirus incluye tanto la detección en firmas como la de comportamiento.
Ahora bien, el problema de este tipo de antivirus es que no son tan accesibles como los antivirus tradicionales, sino que su coste es mucho más elevado. ¿Podría suponer una inversión asumible para intentar mejorar la seguridad en empresas cuya madurez en ciberseguridad no es muy elevada? Si estás pensando si hacer el esfuerzo e invertir o no en este nuevo tipo de antivirus, piensa primero en: ¿Tengo a mi plantilla completamente formada y concienciada? A pesar de todos los esfuerzos, de todas las herramientas en las que invirtamos, siempre estaremos expuestos ante un nuevo virus y un empleado que lo acabe ejecutando. Por tanto, ¿Por qué cada vez invertimos más y más en nuevas herramientas sin invertir en la correcta formación de nuestros empleados? A veces, es por cantidad de trabajo, por no poder buscar un hueco para que el empleado lo dedique a esa formación. Pero, si todos sabemos que aunque tengamos un presupuesto y una inversión enorme en ciberseguridad con un sistema super seguro y maduro, el eslabón más débil siempre será el empleado, ¿Por qué no se invierte verdaderamente en una formación eficaz y de calidad? Igual es porque de cara a defender una inversión en ciberseguridad siempre es más “vistoso” y fácil de conseguir presupuesto para un nuevo aparatito de última generación que en sacar al empleado de sus qué haceres y darle una buena formación o realizar un buen ejercicio de concienciación en ciberseguridad.
¿Preferís una empresa con la última tecnología en seguridad o con empleados capaces de saber identificar un correo malicioso? Si la respuesta es una empresa equilibrada, que aunque no tenga la última tecnología en seguridad tenga empleados capaces de identificarlos, ¿Por qué cada vez se invierte tanto en nuevas tecnologías y se va dejando un poco de lado al empleado?
Igual esté siendo lo más fácil, barato y que más riesgo supone para la empresa en términos de ciberseguridad lo que más se esté dejando de lado. EL EMPLEADO.
Consultor Senior de Ciberseguridad