Los antivirus son programas cuyo objetivo es detectar y eliminar virus informáticos.[1] Con el paso del tiempo, los antivirus han evolucionado hacia programas más avanzados que además de buscar y detectar virus informáticos consiguen bloquearlos, desinfectar archivos y prevenir una infección de estos. Actualmente son capaces de reconocer otros tipos de malware, como spyware, gusanos, troyanos, rootkits y pseudovirus.
Uno de los primeros antivirus que se tiene documentado fue El realizado de manera exprofeso por Omri y Rakvi (Universidad Hebrea de Jerusalén) para combatir al virus Jerusalén en 1987. Luego agregaron detección para otras amenazas informáticas y fundaron la compañía BRM. El software fue vendido a Symantec (ahora llamada NortonLifeLock); en los años siguientes Check Point invirtió una gran cantidad de dinero para desarrollar más opciones de software contra virus. [2]
Los antivirus utilizan distintos tipos de mecanismos para detectar virus. Como demostró Frederick Cohen ningún método es totalmente efectivo para identificar un virus.[3] Los tipos de mecanismos más usados por los antivirus para detectar virus son:
Los antivirus tradicionalmente se ejecutan en el sistema analizado y utiliza la red para actualizar su software y datos. Los antivirus en la nube lo que hacen es delegar la mayor parte del procesamiento del antivirus en la nube.[6] Hay que establecer decisión de que procesamientos son lo suficientemente importantes como para incluirlas en el cliente local sin saturar y cuáles deberían permanecer en un servidor en la nube.[6] Las principales ventajas que se tienen son: acceso más rápido a actualizaciones de software y datos (no depender de actualización manual o de las actualizaciones automáticas programadas), el cliente del antivirus en el equipo a analizar es mucho más pequeño y requiere poco procesamiento dejando recursos para nuestro uso, facilidad de uso e instalación.[6] Las principales desventajas son: dependencia con respecto a la conexión, posibles problemas de privacidad al enviar datos a la nube y posible foco de infección secundaria al subir datos a la nube.[6]
El antivirus de puerta de enlace se puede utilizar para proteger contra una variedad de ataques, incluidos los ataques de kits de exploits. Además, la prevención de intrusiones y el antispyware también se utilizan para evitar ataques de kits de exploits. También existen formas para que los suscriptores reciban estos sistemas de prevención de forma continua, lo que les ayuda a defenderse mejor de los ataques.[7]
La planificación consiste en tener preparado un plan de contingencia en caso de que una emergencia de virus se produzca, así como disponer al personal de la formación adecuada para reducir al máximo las acciones que puedan presentar cualquier tipo de riesgo. Cada antivirus puede planear la defensa de una manera, es decir, un antivirus puede hacer un escaneado completo, rápido o de vulnerabilidad según elija el usuario.
El software es otro de los elementos clave en la parte de planificación. Se debería tener en cuenta la siguiente lista de comprobaciones para tu seguridad:
Disponer de una visión clara del funcionamiento de la red permite poner puntos de verificación de filtrado y detección ahí donde la incidencia es más claramente identificable. Sin perder de vista otros puntos de acción es conveniente:
Esta es la primera barrera de protección de la red.
Es conveniente disponer de una licencia activa de antivirus. Dicha licencia se empleará para la generación de discos de recuperación y emergencia. Sin embargo, no se recomienda en una red el uso continuo de antivirus.
El motivo radica en la cantidad de recursos que dichos programas obtienen del sistema, reduciendo el valor de las inversiones en hardware realizadas. Aunque si los recursos son suficientes, este extra de seguridad puede ser muy útil.
Sin embargo, los filtros de correos con detectores de virus son imprescindibles, ya que de esta forma se asegurará una reducción importante de elecciones de usuarios no entrenados que pueden poner en riesgo la red.
Filtrar contenidos y puntos de acceso. Eliminar programas que no estén relacionados con la actividad. Tener monitorizado los accesos de los usuarios a la red, permite asimismo reducir la instalación de 'software' que no es necesario o que puede generar riesgo para la continuidad del negocio. Su significado es barrera de fuego y no permite que otra persona no autorizada tenga acceso desde otro equipo al tuyo.
Los puntos de entrada en la red la mayoría de las veces son el correo, las páginas web, y la entrada de ficheros desde discos, o de computadoras ajenas a la empresa.
Muchas de estas computadoras emplean programas que pueden ser reemplazados por alternativas más seguras.
Es conveniente llevar un seguimiento de cómo distribuyen bancos, y externos el software, valorar su utilidad.
La centralización de recursos y garantizar el backup de los datos es otra de las pautas fundamentales en la política de seguridad recomendada.
La generación de inventarios de 'software', centralización de este y la capacidad de generar instalaciones rápidas proporcionan métodos adicionales de seguridad.
Es importante tener localizado dónde se sitúa la información en la empresa. De esta forma podemos realizar las copias de seguridad de forma adecuada.[14]
Control o separación de la informática móvil, dado que esta está más expuesta a las contingencias de virus.
Para servir ficheros no es conveniente disponer de los mismos sistemas operativos que se emplean dentro de las estaciones de trabajo, ya que toda la red en este caso está expuesta a los mismos retos. Una forma de prevenir problemas es disponer de sistemas operativos con arquitecturas diferentes, que permitan garantizar la continuidad de negocio.
Existen ideas instaladas por parte de las empresas de antivirus parte en la cultura popular que no ayudan a mantener la seguridad de los sistemas de información.