El software antivirus está atravesando un gran cambio. Tradicionalmente, software antivirus Se basa en comparar archivos con una base de datos de firmas de malware conocidas. Pero las amenazas actuales están evolucionando demasiado rápido como para mantener de manera confiable una base de datos de firmas de malware conocidas.
Podría ser útil pensarlo de esta manera: el antiguo software antivirus actuaba como el portero de un club nocturno con una pila de fotografías de malos actores detrás del mostrador. Si un archivo coincide con una firma de malware conocida, se descarta. Si no, el mal actor solía llevar gafas de sol y bigote postizo.
Pero ahora el software monitorea el comportamiento en lugar de verificar los nombres en la puerta. Para ampliar sus capacidades predictivas, muchas plataformas antivirus modernas dependen cada vez más del aprendizaje automático, el análisis del comportamiento y la supervisión en tiempo real para detectar actividades sospechosas antes de que una amenaza se clasifique por completo.
Esto significa que, en lugar de detectar únicamente el malware conocido después de su aparición, un software antivirus eficaz puede detectar comportamientos sospechosos antes de que la amenaza esté completamente operativa o se haya extendido por todo el sistema.
Aquí, desglosamos exactamente cómo funciona el software antivirus moderno y ofrecemos algunos consejos para encontrar los servicios de seguridad adecuados para usted.
El software antivirus se utiliza para encontrar amenazas conocidas.
Desde los primeros días de la informática personal, el software antivirus ha funcionado principalmente mediante el reconocimiento. Las empresas de seguridad estudian el malware, crean firmas únicas para amenazas conocidas y envían esas actualizaciones a los usuarios.
Su software antivirus fue programado para escanear archivos y compararlos con una base de datos. Si algo coincide, suena la alarma. El sistema funcionó razonablemente bien siempre que las empresas de seguridad pudieran mantener actualizadas las bases de datos de malware con la suficiente rapidez.
Sin embargo, los malos actores tratan el código como un objetivo en movimiento, y el software malicioso ha evolucionado más rápido que los modelos creados para detenerlo.
Por ejemplo, el malware polimórfico, que cambia partes de su código cada vez que se propaga, evita parecer idéntico en cada infección. El malware metamórfico reescribe su propio código para que cada versión parezca sustancialmente diferente de la anterior. Ataque de día cero Detecte vulnerabilidades de software recién descubiertas antes de que los proveedores de seguridad tengan tiempo de desarrollar protecciones o actualizaciones.
Ese grado de velocidad crea un gran problema. Los creadores de malware ahora pueden producir infinitas variaciones más rápido de lo que los investigadores pueden analizarlas y catalogarlas manualmente. Las bases de datos de firmas siguen siendo importantes, pero responden cada vez más a amenazas que ya están sueltas.
El software antivirus ahora presta atención al comportamiento
El software antivirus comenzó a evolucionar para monitorear comportamientos sospechosos. ¿Un programa cifra archivos sin motivo aparente? ¿Está deambulando por la memoria protegida o comunicándose silenciosamente con servidores extraños a las 3 a. m.? Ahora el objetivo es detectar el mal comportamiento antes de que rompan la ventana.
Algunas herramientas antivirus modernas monitorean las llamadas API (que solicitan tareas específicas al sistema operativo u otro software), incluido el acceso a la memoria, la actividad de cifrado y el tráfico de red en tiempo real. No sólo monitorean si un archivo les resulta familiar, sino también si actúa de manera extraña.
Si bien una aplicación de uso habitual puede abrir algunos documentos o conectarse a un servidor de vez en cuando, el malware se comporta de manera muy diferente. Por ejemplo, puede cifrar rápidamente cientos de archivos, inyectar código en otros procesos, desactivar funciones de seguridad o intentar contactar con servidores sospechosos sin motivo aparente.
Aquí es donde entra en juego la detección de anomalías. El software antivirus crea una idea aproximada de cómo se ve la actividad “normal” en un sistema y luego busca comportamientos que se salen de línea. Incluso si nunca antes se ha visto un malware, la actividad puede parecer lo suficientemente sospechosa como para activar una alarma.
Si un proceso repentinamente comienza a bloquear documentos en una red o intenta repetidamente obtener privilegios elevados del sistema, el software de seguridad no necesariamente necesita una firma para darse cuenta de que algo sospechoso está sucediendo.
El ransomware es quizás el mejor ejemplo de por qué esto es tan importante. Estos ataques a menudo se propagan demasiado rápido para que las bases de datos de firmas tradicionales mantengan la tensión adecuada. El análisis de comportamiento permite que el software antivirus reconozca patrones de comportamiento de ataque y los detenga antes de que todo se convierta en una sopa de letras cifrada.
Los modelos de aprendizaje automático están entrenados para reconocer patrones maliciosos
en lugar de depender enteramente de Base de datos de firmas de malware conocidasLos sistemas de aprendizaje automático se entrenan utilizando grandes colecciones de archivos legítimos y maliciosos. Al buscar patrones que el malware tiende a mostrar en su actividad, el modelo aprende con el tiempo qué combinaciones de comportamientos suelen estar asociados con el malware y cuáles suelen ser inofensivos.
Una vez capacitado, el sistema puede clasificar archivos y procesos según el riesgo. Algunas herramientas antivirus asignan una puntuación que refleja qué tan sospechoso parece un programa y pueden colocar ciertos archivos en las categorías seguras, potencialmente no deseadas o maliciosas. Este proceso suele combinar muchas pequeñas señales para llegar a una conclusión.
Para ello se utilizan diversos modelos de aprendizaje automático, incluidos productos de empresas como Microsoft, CrowdStrike y SentinelOne. Los detalles técnicos varían, pero el objetivo general es el mismo en todos ellos: reducir la cantidad de malware simplemente porque nadie lo ve.
Los árboles de decisión dividen la actividad en una serie de decisiones basadas en reglas para clasificar las amenazas. Las máquinas de vectores de soporte analizan patrones de actividad normal y actividad maliciosa individual en función de las relaciones de datos aprendidas. Las redes neuronales procesan grandes cantidades de datos para descubrir patrones que son difíciles de definir manualmente.
La clave es que un sistema antivirus moderno impulsado por IA no necesita una firma exacta para identificar problemas. Si un nuevo malware se comporta de manera similar a un software malicioso conocido, el sistema a veces puede detectarlo.
El objetivo es detectar el malware antes de que se revele.
Una forma en que las herramientas de seguridad intentan detectar el malware antes de que cause un problema es mediante el análisis dinámico y el sandboxing. Los archivos sospechosos se pueden abrir en un entorno aislado (sandboxing), donde su comportamiento se monitorea de forma segura antes de interactuar con el sistema principal (análisis dinámico).
Como resultado, el software antivirus se inicia. Se integra con sistemas de seguridad más amplios, como detección y respuesta de terminales (comúnmente llamado EDR), que incluye herramientas de búsqueda de amenazas que escanean continuamente la red en busca de actividades sospechosas. La vieja idea del antivirus como un pequeño escáner silencioso que se ejecuta en un rincón del escritorio se está desvaneciendo.
La IA también está cambiando el malware
Lo inquietante de todo esto es que las mismas técnicas de inteligencia artificial que ayudan a las empresas de seguridad a crear defensas más inteligentes también pueden ayudar a los atacantes a crear malware más inteligente. Los investigadores ya han demostrado Cómo los malos actores pueden diseñar malware específicamente para confundir los sistemas de aprendizaje automático o reducir la precisión de la detección.
Una preocupación a largo plazo es el malware que adapta su comportamiento sobre la marcha. Cambiará su funcionamiento dependiendo del entorno en el que se presente. El malware totalmente autodidacta todavía se encuentra principalmente en la etapa de investigación, pero los investigadores de seguridad esperan cada vez más que los atacantes avancen en esa dirección.
Al mismo tiempo, los antivirus basados en IA todavía están lejos de ser perfectos. Los falsos positivos son un dolor de cabeza porque el comportamiento sospechoso no siempre es un comportamiento malicioso. Muchos de estos sistemas dependen del monitoreo continuo y de grandes cantidades de datos de telemetría, que A algunas personas no les entusiasma plantear la cuestión de la privacidad..
Incluso si todo esto suena emocionante, sigue siendo parte del mismo viejo ciclo donde los defensores mejoran, los atacantes se ajustan y todos corren para evitar quedarse atrás.
Utilice siempre un software antivirus sólido
El software antivirus moderno es mejor que nunca. Para la mayoría de las personas, las protecciones integradas de Windows y MacOS probablemente sean suficientes para una protección básica contra malware. Microsoft defensor Y XProtect de Apple ha mejorado mucho a lo largo de los años, y las pruebas de laboratorio de terceros ahora muestran fuertes tasas de detección de malware en la mayoría de las principales plataformas antivirus.
El software antivirus de terceros puede tener capas adicionales sigue siendo importanteY muchas suites de seguridad pagas ahora también se centran en funciones adicionales como controles parentales, monitoreo de identidad y protección contra ransomware. servicio VPN, Administrador de contraseñas y mayor cobertura multiplataforma.
Aunque existen algunas herramientas antivirus freemium legítimas de empresas establecidas, debe tener cuidado con el software de seguridad gratuito porque algunos productos dependen en gran medida de una recopilación agresiva de datos, publicidad o ventas adicionales.
El mayor problema es que los ciberataques modernos se dirigen cada vez más a personas y no solo a dispositivos. El phishing, el robo de credenciales, las páginas de inicio de sesión falsas y los ataques de ingeniería social a menudo pasan por alto el software antivirus porque, técnicamente, no ocurre nada malicioso en primer lugar.
Para obtener la máxima protección contra amenazas, un servicio antivirus sólido siempre debe combinarse con buenas prácticas, por ejemplo Al utilizar claves de acceso disponiblesMantenga el software actualizado e incluso Congele su crédito para reducir el riesgo de robo de identidad.
El software es cada vez más inteligente, pero la ciberseguridad depende en gran medida de la persona sentada frente al teclado.
