Diferencia entre antivirus

Antivirus: el efecto "zoo"
A la pregunta de "¿cuál sería el mejor antivirus?", una respuesta bastante obvia sería "el que detecte todos los virus". Afortunadamente atrás quedaron las campañas de publicidad engañosas que prometían protección 100% contra virus conocidos y desconocidos. Así que hoy día, demostrado una y otra vez que no pueden ofrecer garantías de protección proactiva contra especímenes nuevos, la respuesta podría quedar en "el que detecte más número de virus". Falso. Es más, el enfoque de "cuantos más, mejor" nos conduce de forma irreversible hacia peores productos antivirus. ¿Hora de cambiar?

En este artículo no pretendo entrar en nuevas tecnologías proactivas que podrían, sino sustituir de inmediato, al menos complementar los actuales sistemas por detección de firmas. Ya no sólo como evaluador, sino como desarrollador en Hispasec de algunas pruebas de concepto sobre nuevas tecnologías antivirus, soy consciente de que aun queda mucho camino por recorrer antes de que puedan equipararse a los sistemas actuales en cuanto a fiabilidad y facilidad. Esto no quita que existan algunas funcionalidades proactivas que no estarían de más en los actuales antivirus, y que algunas casas ya empiezan a implementar. En definitiva, se trata de analizar el efecto negativo que, en los actuales sistemas antivirus de detección por firmas, provoca algunas prácticas que persiguen adulterar y engordar de forma artificial las estadísticas de virus reconocidos de cara a la galería.

Las colecciones "zoo"
En la mayoría de certificaciones y comparativas se suele enfrentar los productos antivirus contra varias colecciones de muestras infectadas. El porcentaje de aciertos en las diferentes colecciones suele ser el indicador más determinante a la hora de valorar un producto. Las colecciones pequeñas, de virus más significativos y activos, como la "InTheWild", apenas presentan diferencias de resultados entre la mayoría de los productos y, más que un indicador comparativo, sirve como mínimo exigible. Para marcar diferencias en las comparativas, y también como prueba de fuego en las certificaciones, se suele utilizar la llamada colección "zoo", que básicamente consiste en un conjunto de todas las muestras infectadas que se posee. La "zoo" comprende, además de los virus más relevantes y novedosos, toda muestra que el evaluador haya conseguido recolectar a lo largo de su carrera, desde los primeros virus que aparecieron, de los que hoy día ya no existen pruebas de infecciones reales, hasta aquellos que nunca han visto la luz ni infectado a nadie, pero que forman parte de pruebas de laboratorio o colecciones privadas. Llegados a este punto, el usuario debe ser consciente que de los 60.000 o 70.000 virus que hoy día algunos antivirus afirman detectar, tan sólo unos cientos representan el 99% de las infecciones reales durante un año. La necesidad de que un antivirus detecte un virus de los años 80 que hoy día no tiene posibilidades de propagación bajo Windows, o un virus que nunca ha salido a la luz y no ha infectado a nadie, puede llegar a ser discutible. Aunque las comparaciones y extrapolaciones en este campo no son buenas, es como si alguien se vacunara contra una enfermedad ya erradicada o contra un virus biológico de laboratorio, por si algún día resulta que hay un brote. Pero la realidad es que la posibilidad, por remota que sea, existe, y el deber de un antivirus es ofrecer el mayor grado de protección posible, en especial si se trata de virus conocidos. Así que hasta el momento, nada que objetar.

Adulteraciones en las "zoo"
El problema real de las colecciones "zoo" es que no están depuradas. Es decir, existen muestras consideradas virus (o cualquier otra variante de malware, como gusanos, troyanos, etc.) que en realidad no lo son, ni presentan ningún efecto nocivo ni dañino. En definitiva, no tendrían que formar parte de la colección, ni tendrían que ser detectadas por los antivirus. Para la confección de las propias comparativas antivirus de Hispasec, revistas especializadas, así como para análisis e informes técnicos, necesitamos contar con el mayor número de muestras posibles para realizar nuestro trabajo. Entre otras fuentes, regularmente recorremos las webs de creadores de virus y coleccionistas que permiten la descarga de muestras de forma pública a través de Internet y, por tanto, son especímenes que potencialmente podrían llegar a cualquier usuario. Una de las tareas más tediosas para mantener la colección de muestras de Hispasec no es la recolección, sino la comprobación de las mismas. Afortunadamente a lo largo de los años hemos desarrollado varias herramientas que de forma automática nos hacen las primeras cribas y son capaces de descubrir las muestras falsas más comunes. Sin embargo, son muchas las comparativas, incluida algunas certificaciones, que a juzgar por algunos resultados no realizan una depuración de las colecciones. Como resultado, sus colecciones "zoo" están adulteradas con muestras que no son virus, y ello se extrapola a los indicadores que obtienen los diferentes productos antivirus. Lo peor aun es que la mayoría de las casas antivirus, tal vez condicionadas por estas comparativas y certificaciones donde se podían ver perjudicadas, han optado por incluir en su base de datos de firmas esas falsas muestras como si fueran auténticos virus. Otra posibilidad podría ser la inversa, que las casas antivirus hubieran sido las primeras en incorporarlos como virus a sus bases de datos y que las comparativas los incluyeran a posteriori en sus colecciones al comprobar que algún antivirus las reconocían como virus. Independientemente de si fue primero el huevo o la gallina, el caso es que el circulo vicioso no hace más que aumentar. Como dato, durante la comparativa antivirus que llevé a cabo en 1999 para PCActual e Hispasec, introducí un test inédito hasta la fecha, que consistió en enfrentar a los antivirus contra una serie de archivos representativos que habían quedado fuera de nuestra colección durante las cribas de recopilación al comprobarse que no eran virus reales. Los resultados son reveladores:

http://www.hispasec.com/comp_avs.asp?id=25

En realidad hay muchos otros tipos de muestras que suelen ser incluidas en las bases de datos de firmas antivirus y que en realidad no tienen ningún efecto dañino, desde binarios que ni siquiera pueden llegar a ejecutarse, porciones de virus que están corruptos y no pueden activarse, etc.

El efecto "zoo"
¿Cómo repercute el número de firmas que reconoce un motor antivirus en su rendimiento? Parece claro que existe una relación directa, a mayor número de firmas a chequear, mayores recursos necesitará, y la velocidad de proceso será menor, lo que perjudica al resto de procesos o aplicaciones que existan en el sistema. El hecho de que los antivirus reconozcan virus falsos, además de la publicidad engañosa que pueda generar o la búsqueda de buenos resultados artificiales en comparativas y certificaciones de dudosa calidad, tiene un efecto negativo en el comportamiento del propio antivirus que puede penalizar el rendimiento del sistema e incluso hacer peligrar la seguridad del cliente. La solución aunque pueda parecer sencilla, bastaría con depurar las firmas de detección de los antivirus, tiene efectos negativos inmediatos a nivel comercial: podrían verse perjudicados en comparativas y certificaciones que cuenten con muestras falsas. Es la pescadilla que se muerde la cola. Las casas antivirus se encuentran en muchas ocasiones en la encrucijada de diseñar sus productos pensando en la protección real del usuario o en los requisitos de los evaluadores. Paradójicamente, además de no coincidir en algunas ocasiones, pueden existir incluso intereses opuestos. Normalmente se opta por un punto intermedio, intentar acometer los requerimientos de ambos, aunque a costa del detrimento en la optimización del producto. Llegados a este punto, no debemos caer en la tentación de arrojar sobre las espaldas de las casas antivirus toda la responsabilidad. De hecho, buena parte de esta percepción errónea de lo que debe ser un buen antivirus es achacable a las revistas especializadas y analistas que nos dedicamos a crear opinión sobre las soluciones antivirus. Si más de una vez he dicho que muchos productos antivirus se encuentran anclados en el pasado, por no integrar nuevas tecnologías de detección más allá de las firmas, las comparativas y certificaciones están mucho peor. Uno de los casos más sonados fue el de la comparativa antivirus de CNET en 2001, entre otros despropósitos, llegaron a utilizar simuladores de virus en vez de muestras reales para algunos tests. Por lo demás, la mayoría siguen basando su modelo de evaluación en arcaicas pruebas de detección ITW y Zoo.

Soluciones
Las comparativas y certificaciones deben de evolucionar, incluyendo nuevos tests acorde con las características de las nuevos especimenes que aprovechan Internet para su propagación, así como evaluaciones que contemplen las nuevas tecnologías antivirus que se están incorporando. Por otro lado, deberían de incorporar mecanismos para la depuración de sus colecciones para evitar el efecto "zoo", incluyendo tests de detección de falsos virus cuyos indicadores se relacionen con tests de rendimiento del motor. Los antivirus deberían de dejar de utilizar el concepto de número de virus detectados como arma de marketing, ya que no tiene ningún sentido que sigan en una guerra de cifras que de sobra saben no tiene ningún valor real y que tarde o temprano terminará por perjudicarles. Además, deberían optimizar su base de datos de firmas para reconocer sólo los especimenes que realmente pueden llevar a cabo acciones dañinas, eliminando los falsos virus. En caso de verse perjudicados en comparativas o certificaciones que utilicen colecciones "zoo" no depuradas, con muestras falsas, deberían denunciar públicamente los resultados. Los usuarios deben de tomar conciencia de que el número total de virus que dice reconocer un antivirus es un dato sin ningún valor. Además de todo lo comentado con anterioridad respecto a los falsos virus, la propia tecnología de detección por firmas lleva a resultados dispares. Por ejemplo, dado 10 variantes de un mismo virus, un producto puede necesitar 10 firmas diferentes mientras otro puede detectar las 10 variantes de forma más genérica con sólo 2 firmas. A efectos de marketing, el primero sumará 10 virus mientras que el segundo contará sólo 2, sin embargo la detección del segundo producto es más genérica y efectiva. Tan sólo las comparativas con colecciones depuradas pueden ofrecer las diferencias reales entre el poder de detección de los distintos motores antivirus, nunca el número de virus que el propio producto anuncia.