domingo, 29 de enero de 2012

¿Verdad o mito? Dos antivirus son mejor que uno

Dado que los antivirus no son muy populares (Ni necesarios) para Linux es claro que vamos a dirigir un poquito este artículo hacia el lado oscuro de la fuerza: Windows. Durante mi carrera en el mundo de la informática me he encontrado con decenas de computadores infectados con toda una variedad de virus (Podría armar hasta un zoológico (?)), algunos más inofensivos y fáciles de borrar y otros ciertamente más sofisticados y peligrosos.

A diferencia de muchas de las personas que se dedican únicamente al soporte y reparación de PCs, mi palabra favorita NO es "Formatear": Me gusta estudiar el cómo y porqué se infecta una máquina, qué hace, cómo borrarlo y darle al usuario unas recomendaciones para que no le vuelva a suceder. Es un enfoque poco práctico y demorado... Pero no me gusta el facilismo de la "Formateadera" para que a los ocho días el cliente esté ahí de nuevo con el mismo problema.

Siguiendo esa misma línea me he encontrado con muchos programas de seguridad, pagos y no pagos, legales y no legales, buenos y no tan buenos... Y lo que me llamó más la atención: Algunas personas contaban con dos antivirus instalados al mismo tiempo con el argumento que "Si no lo pesca uno lo coge el otro". Pero ¿Qué hay de cierto? ¿Dos antivirus son más efectivos que uno?

Cómo funciona un antivirus
Primero debemos comprender qué hace un antivirus. Un antivirus es un programa que se encarga de proteger el sistema de la ejecución de código malicioso. Ese código malicioso puede tener una cantidad de connotaciones y propósitos distintos que se encierran en un gran término denominado Malware. Malware incluye lo que denominamos virus, gusanos, troyanos, rootkits, scareware, spyware, adware intrusivo, crimeware y otros softwares maliciosos e indeseables.

La mayoría de los antivirus modernos protegen contra la mayoría del malware pero, a veces, es necesario alguna herramienta especial contra, por ejemplo, un troyano en específico para eliminarlo (Y no es precisamente otro antivirus).

Un antivirus tiene esencialmente tres componentes:

  • Módulo residente en memoria: Básicamente es un servicio (Software que se inicia desde el arranque del computador) que siempre se mantiene en ejecución (Por tanto consume memoria y tiempo de CPU) y su función es interceptar (Por así decirlo) todo lo que se cargue en memoria. Por ejemplo, al ejecutar mspaint.exe (Paint) este se cargará en memoria... Pero tu antivirus verificará que al subirlo no haga "Jugadas raras" como cambiar configuraciones del navegador... Que son acciones típicas de cosas como mivirus.exe.
  • Escáner por demanda: Este módulo básicamente realiza lo mismo que hace el módulo residente en memoria, con la diferencia que examina los archivos de tu disco duro y usualmente solo actúa cuando se le indique, por ejemplo, al programar es un escaneo total de todos los discos duros.
  • Base de datos de virus: ¿Cómo sabe el antivirus que algo es potencialmente dañino? En esencia, todos tienen una gran base de datos que le indican el comportamiento y archivos que afectan la mayoría de los virus. Por supuesto, los más avanzados incluyen algoritmos que les permiten "Predecir" comportamientos sospechosos (Muy útil cuando hay virus nuevos en la red y aun no se han identificado) pero la esencia sigue siendo esa: Una gran base de datos de ".exe's malos".
¿Qué pasa cuando hay dos antivirus instalados?

Ya vimos que un antivirus tiene un módulo residente en memoria, el cual consume recursos de tu CPU y memoria RAM. Cuando hay dos antivirus, hay dos módulos residentes y por tanto hay más consumo de recursos innecesariamente ya que se supone ambos hacen lo mismo. Así que la primera gran desventaja es que te hará el computador más lento.

Pero eso no es lo peor, también pierden efectividad: Dado que ambos están en memoria y ambos interceptan todo lo que se suba allí, pueden "Auto detectarse" como amenazas y causar conflictos entre sí. Además vimos que ambos antivirus cuentan con su base de datos. ¿Qué pasa si ninguno de los dos tiene al día sus definiciones de virus? Simplemente ninguno atrapará virus recientes.

Sin embargo, a veces es bueno contar con una segunda opinión (En cuanto a virus) y por eso, si cuentas con una buena conexión de banda ancha puedes hacer un escaneo en línea de tu sistema. No requiere la instalación de un antivirus adicional pero sí de un plugin en el navegador para facilitar la tarea. Esto puede ayudarte a encontrar amenazas muy recientes que quizá tu antivirus local no pueda pescar todavía.

En conclusión, por rendimiento, efectividad y conveniencia solo es recomendable tener un solo antivirus. Pero ¿Cuál? Bueno, yo soy fanático de las cosas libres y si no son software libre al menos que sean gratuitas (Y por supuesto, de calidad).

Aquí en Piensa en Binario ya he dejado dos buenas recomendaciones de antivirus que me han ayudado mucho en mis tareas de desinfección de computadores Windows mientras mi portátil Linux se ríe: El primero y el base es Avast Antivirus y el segundo Avira.

Algunos servicios en línea para escanear tu PC pueden ser:

ESET (El mismo desarrollador de NOD32)
http://www.eset-la.com/online-scanner

Panda ActiveScan (El mismo desarrollador de PandaAntivirus)
http://www.pandasecurity.com/spain/homeusers/solutions/activescan/

BitDefender
http://www.bitdefender.es/scanner/online/free.html

8 comentarios:

  1. Te cuento que aunque soy usuario Mac, si me ha tocado ver uno q otro windows por ahí infectado, y créeme q por cuestiones de tiempo, lo mejor es formatear: le corre uno hasta 5 antivirus .. no detecta nada, pero por el comportamiento del equipo, uno sabe que está infectado con algo.
    Los antivirus gratuitos no sirven para nada, por que la amenaza ahora no es tanto el gusano que se propaga por correo, o el virus que llega por un macro de word. Los malware de ahora convierten al equipo en botnets zombies que lo convierten en un despachador de spam, y además en un sistema para atacar sitios web, que despachan spam por medio de formularios sin captcha, o para hacer ataques de SQL Injection.
    Lo ideal es que la gente adquiera legalmente una suite de seguridad .. aunque realmente no he encontrado la primera que diga .. esta es la mejor!! Normalmente esta suite se come mas recursos de la máquina, haciéndola mas lenta de lo que realmente es.
    Definitivamente .. el mundo Windows está demasiado amenazado :(

    ResponderEliminar
    Respuestas
    1. Gabriel muchas gracias por tu comentario. En efecto, la opción más rápida es formatear, pero como comentaba a lo largo del post no suele ser mi opción favorita.

      En cuanto a los antivirus gratuitos difiero un poco de tu opinión, en mi caso han dado buenos resultados e incluso mejores que muchos pagos... Ya que, muchos virus nuevos conseguían cómo pasarse fácilmente las detecciones de motores "Archi-conocidas" como Norton o McAffe.

      Por parte, si es muy complicado sentirse 100% seguro con una solución de seguridad... Seguramente también va de la mano de buenos hábitos de navegación.

      Finalmente el mundo Windows no creo que esté amenazado... Siempre ha sido así y aquí está... Solo que ahora impulsa la prometedora industria de la seguridad y la protección de información (La nueva definición de virus).

      Un saludo!

      Eliminar
  2. Muy buen post. No me imagino una máquina con Windows Vista e instalados Norton Antivirus y McAfee al mismo tiempo jajajajajajajajajaja

    ResponderEliminar
    Respuestas
    1. ¡Con solo Windows Vista es suficiente y no tuve que imaginarmelo! xD - Gracias Jorge Alfonso por tu comentario!

      Eliminar
  3. Vivan al extremo, no usen antivirus en Windows!!!
    Buen post!!
    Viva Linux FEDORA!
    : )

    ResponderEliminar
  4. Con experiencia personal te comento que hace muchos años cuando era un jovencito que arreglaba computadores por dinero a mis vecinos me tope con un equipo con Win 98' tenia un problema, una lentitud extrema, tardaba como 5 minutos en abrir panel de control, después de perder como 1hora revisando que podría causar esto, descartando problemas de Hw, me di cuenta que el usuario tenia 2 antivirus, haciendo alucion al comentario que diste tu "si no lo pesca uno, lo pescara el otro"

    ahí aprendí que era lo peor que podrías hacer es tener 2 antivirus, quizás la mejor opcion hoy por hoy es tener un antivirus y unos 2 antispyware, claramente los spyware solo en ejecución cuando tu lo digas, nunca los 2 back-end

    Ahora que estoy mas viejo y tabajo todo el dia en eso pocas veces arreglo equipos a vecinos y si lo hago simplemente respaldo y busco la partición de respaldo q traen los equipos OEM
    xD

    ResponderEliminar
  5. Me gustó mucho este post, especialmente por como explicas de qué se compone un antivirus. Recuerdo que antes escaneaba mi computador desde Panda, pero la verdad no recuerdo por qué dejé de hacerlo y acá volviste a prender una alarma en mi, que me dice que es mejor que vuelva a hacerlo periódicamente. Por cierto, ¡Larga vida a Avast!

    ResponderEliminar
    Respuestas
    1. Primero, muchas gracias por tu comentario Vivian... Es un honor para mí que te pasees por estas letras. Ahora que mencionas escaneo completo y Avast, precisamente este antivirus tiene una función que no he visto en ningún otro: Programar un escaneo al arranque. Es lento y no puedes usar el PC mientras tanto pero es muy efectivo y claro también es una buena práctica hacerlo periódicamente. ¡Un saludo!

      Eliminar