El título es un poco provocador, pero es cierto: el software antivirus puede tener aspectos negativos muy significativos. Más allá de la protección básica, existen problemas como los falsos positivos de antivirus que pueden causar más problemas de los que resuelven. Antes de decidir si debes confiar en tu antivirus ciegamente, es crucial entender sus mecanismos y, sobre todo, sus fallos.
Tabla de Contenido
¿Cómo Funciona un Antivirus en tu PC?
Un antivirus opera principalmente a través de un análisis constante y la detección de comportamientos anómalos para proteger tu sistema.
Comencemos por los beneficios que aportan los antivirus. El programa se inicia en cuanto arrancas tu ordenador; se ejecuta antes que otros programas gracias a los «Filter Drivers» que ofrece el sistema operativo, los cuales permiten elegir el orden de arranque de los programas. Esto permite, por ejemplo, iniciar los procesos del teclado y del ratón antes que los demás. También logra que «toda apertura de archivo» pase por un «filtro» antivirus antes de su ejecución.
De esta forma, protege tu PC de inmediato y hasta que lo apagues.
El Escaneo Basado en Firmas («Scan Time»)
El antivirus puede escanear los archivos de tu ordenador cuando se crean, renombran, ejecutan, descargan o suben a la red. También puedes lanzar un escaneo global cuando lo desees. Durante el proceso, crea y compara una firma única de cada archivo con una base de datos que contiene las firmas de los archivos infectados. Como ya habrás entendido, si detecta que una firma está en su base de datos, lanza la alerta.
A partir de aquí, sabemos que los archivos no escapan al antivirus y solo queda esperar que este último contenga el máximo de firmas en su base de datos. Aquí es también donde se encuentra una de las primeras debilidades de un antivirus: un software malicioso polimórfico (que cambia su código y, por tanto, su firma) puede eludir fácilmente estos filtros, convirtiéndose en una de las amenazas indetectables más comunes.
Incluso hoy, herramientas como rustdsplit demuestran que es posible eludir la detección por firmas dividiendo un archivo malicioso en partes. Al modificar un solo byte en el segmento que activa la detección, la firma global cambia y el antivirus ya no es capaz de reconocer la amenaza. Para profundizar en este tema, puedes consultar las técnicas avanzadas para eludir antivirus.
Si es necesario, se puede escanear un archivo directamente y de forma gratuita con varios antivirus en VirusTotal para tener una idea más general.
La Detección por Comportamiento («Run Time»)
Por supuesto, los antivirus emplean otros métodos como la detección heurística (basada en el comportamiento). Su objetivo es identificar una conducta sospechosa cuando no se dispone de una firma correspondiente en la base de datos. Así, si el programa intenta eliminar archivos del sistema o se replica 100 veces, se considera sospechoso y el antivirus lanza la alerta.
Esta detección heurística antivirus es hoy muy avanzada; puede incluir inteligencia artificial y ejecución controlada en la nube. Esto implica que el potencial «virus» se envía a una máquina virtual para ser analizado en un entorno real, como se explica en este detallado artículo sobre el análisis heurístico en ciberseguridad.
Técnicas muy conocidas por los virus, como Run PE (ejecución de «virus» en memoria, sin pasar por el sistema de archivos y eludiendo así el escaneo) también se detectan en este nivel. Lo mismo ocurre con las inyecciones de DLL en programas legítimos.
Funcionalidades Adicionales
Hoy en día, los antivirus ofrecen VPNs integradas, gestores de contraseñas y muchas otras funcionalidades que a veces ni siquiera necesitamos.
Paso rápidamente por alto otras ventajas como los firewalls integrados, los escaneos web en tiempo real o los entornos de ejecución seguros. En resumen, estás claramente protegido con un antivirus y un firewall actualizados.
Aun así, si bien es recomendable instalar uno, es crucial entender que esta protección tiene importantes limitaciones de los antivirus, como veremos a continuación.
Las Limitaciones de los Antivirus: ¿Por Qué No Son Infalibles?
Hemos explicado brevemente que es posible hacer que un programa sea indetectable aunque antes sí fuera detectado.
A partir de este momento, toda la parte sobre los escaneos se desmorona. En efecto, es posible modificar una parte del código fuente o binario de un programa para cambiar su firma sin alterar su comportamiento. Existen incluso programas llamados Crypters que permiten realizar esta modificación de código automáticamente, para hacer que el «virus» en cuestión sea indetectable.
La detección heurística también tiene sus límites, ya que se puede hacer pasar un programa malicioso por uno legítimo cambiándole el nombre, el icono (copiando el de un programa existente), etc. Además, puede ocurrir lo contrario: un programa legítimo puede ser detectado como sospechoso por realizar una determinada acción. Por tanto, es del interés de los fabricantes de antivirus ajustar bien este tipo de detección. En cualquier caso, es fácil hacer pasar un programa sospechoso por uno completamente legítimo. Así, la parte heurística también se viene abajo.
El Problema de los Falsos Positivos de Antivirus
Este es un punto importante que queremos mencionar ahora. Demasiados programas antivirus, antispyware y similares han decidido detectar el máximo número de «problemas», incluso a riesgo de generar falsos positivos y de asustar al usuario para que pague por una versión «premium» que en realidad no necesita. Este tipo de engaño antivirus es más común de lo que se piensa.
Lejos de nosotros la intención de acusar a un fabricante en particular ni de afirmar que todos los problemas detectados son falsos, pero hay ciertos límites…
Decir, por ejemplo (caso real), que un programa desconocido es un adware cuando no tiene ni la más mínima publicidad es burdo, además de erróneo. Este tipo de software a menudo se clasifica como rogueware, diseñado para asustar al usuario.
Decir también (otro caso real) que un programa es un troyano (incitando así al usuario a eliminarlo) cuando el programa es legítimo y ha sido creado con Microsoft Visual Studio es aún más burdo.
Finalmente, decir que hay 1254 «amenazas» mientras que 1253 de ellas son «configuraciones potencialmente no deseadas», es engañar un poco al usuario sobre la realidad de los hechos. Lo mismo ocurre con los «4567 errores por reparar» que en realidad son claves huérfanas completamente normales en el registro.
¿Difícil de creer? ¿Un caso aislado? Pues bien, amigos programadores, solo tienen que programar una aplicación sencilla que diga «Hola, Mundo» y escanearla después en VirusTotal.
El resultado es inapelable y, como explican en fuentes especializadas como CSO Online, no es un error aislado.
El resultado es este: 4 detecciones sobre 72 motores (anteriormente, 30 detecciones sobre 67 motores). ¡Hace no mucho: Aproximadamente UN antivirus de cada DOS (!) detecta el programa como peligroso, cuando solo muestra un mensaje y nada más.
Puedes ver de paso que algunos antivirus se pasan la voz, ya que la detección tiene exactamente el mismo nombre. El problema es que creer ciegamente lo que dice el vecino puede dañar tu propia reputación cuando el mensaje es falso.
En otras palabras, el antivirus (en general) se equivoca a veces (¿o a menudo?) y corresponde a cada uno analizar bien los resultados del escaneo.
Mientras que el usuario «común» tiende a confiar en su antivirus como si fuera su médico, y esto causa grandes problemas.
La razón de estas «sobredetecciones» es bastante lógica: los usuarios, naturalmente, prefieren el antivirus que «encuentra más virus», sin pensar en la calidad y precisión de los resultados.
«¡Tu antivirus no es tu médico!»
Conclusión: ¿Son los Antivirus Nuestros Amigos?
Hemos visto que el antivirus es indispensable, ya que detendrá las amenazas clásicas que afectan constantemente a los usuarios. Sin embargo, no debes depositar una confianza ciega en tu antivirus, porque alguien que te ataque específicamente podría burlar sus defensas mientras tú crees ingenuamente que estás protegido. También puede encontrar problemas que en realidad no lo son.
La pregunta clave no es si son amigos o enemigos, sino ¿cuándo y cómo son necesarios? La respuesta varía significativamente según el sistema operativo que utilices, ya que cada uno tiene un ecosistema y un vector de amenazas diferente. Para tomar una decisión informada, te recomendamos explorar nuestros análisis detallados:
- Para el sistema más atacado: Analizamos si es necesario un antivirus en Windows.
- Para el ecosistema móvil más grande: Cubrimos el papel del antivirus en Android.
- Para el sistema de código abierto: Detallamos la necesidad de un antivirus en Linux.
- Para el ecosistema de Apple: Exploramos si los dispositivos macOS e iOS realmente necesitan antivirus.
Más allá del software, la verdadera seguridad reside en el usuario. El pensamiento crítico antes de hacer clic, mantener todo el software actualizado y adoptar una higiene digital sólida son tu defensa más eficaz. El antivirus es solo una capa; el conocimiento es tu escudo principal.
