La importancia de la Heurística

Hasta ahora nos hemos preocupado por describir cómo la protección antivirus puede actuar en los distintos niveles de un ambiente corporativo, sin analizar cómo trabajan realmente los antivirus.

Hoy en día, los antivirus se basan en tres técnicas de detección: reactiva, de comportamiento y heurística.
La reactiva es la forma tradicional de reconocimiento que utilizan los antivirus, basada en firmas de virus y comparación, y debe ser actualizada constantemente para reconocer las nuevas amenazas que aparecen a diario.

Por su parte, la detección basada en comportamiento analiza el funcionamiento de un programa en el entorno normal del usuario y según las acciones que trata de realizar, lo considera malicioso o no. La misma no puede ser utilizada en todos los niveles que mencionábamos en nuestros artículos anteriores (por ejemplo, en un servidor de correo electrónico), aunque puede llegar a ser fiable en la detección de ciertos tipos de malware a nivel de estaciones de trabajo y servidores de archivos.

La Heurística es otra técnica de detección de virus, cuyo objetivo principal es reconocer virus nuevos y desconocidos. Como dice Andrew J. Lee, CTO de Eset Software, en su artículo "Detectives Digitales", "la Heurística es un termino muy amplio y no existe una definición acordada entre los fabricantes antivirus, pero básicamente describe un rango de técnicas predictivas o proactivas para detectar nuevo software malicioso sin la necesidad de liberar una actualización".

Cada fabricante antivirus aplica distintas técnicas en la implementación heurística de sus productos, que permiten detectar mayor o menor cantidad de virus desconocidos, pero no todas han alcanzado aún un alto nivel de eficiencia.
Dada la gran rapidez con la que los nuevos gusanos de Internet se reproducen, alcanzando niveles epidémicos en cuestión de horas, contar con una protección heurística eficiente a nivel corporativo es esencial.

Lo anterior se justifica en que, para detectar los nuevos virus, los productos antivirus deben actualizar sus firmas, lo cual lleva varias horas en la mayoría de los casos, y brinda una ventana de tiempo muy amplia para que los gusanos basados en correo electrónico puedan propagarse libremente.

Es en estos casos donde la Heurística entra en acción y se vuelve un factor de defensa muy importante. Una buena heurística debe ser capaz de detectar los nuevos virus desconocidos antes de que ingresen a la red corporativa, trabajando en los servidores de correo electrónico de la empresa, y así evitando que un gusano llegue hasta las casillas de correo de los empleados de la compañía. Para ello, debe combinar distintas técnicas como firmas genéricas, análisis de código, y emulación, entre otras.

Lo bueno de la heurística es que si está bien desarrollada puede implementarse en servidores de correo electrónico, en el perímetro, en estaciones de trabajo, y en servidores de archivo, o sea, en cualquier lugar donde podemos encontrar un antivirus trabajando. De esta manera, tenemos múltiples capas de nuestra red corporativa protegida contra virus desconocidos.

Ahora bien, aunque, como dijimos antes, la gran mayoría de las soluciones antivirus cuentan con una heurística integrada, no todas funcionan igual ni tienen la misma capacidad de detección de virus desconocidos. Organismos independientes como AV-Comparatives.org o Hispasec se especializan en mostrar qué antivirus son capaces de detectar heurísticamente las amenazas con mayor índice de propagación.

Las pruebas de Hispasec, específicamente, se basan en virus encontrados en el mundo real, es decir, en aquellos que han sido encontrados activos y pueden llegar a afectar a su red corporativa si no está bien protegida.

En estas evaluaciones periódicas podemos ver qué existen productos antivirus con una heurística que trabaja en forma eficiente en el mundo real y otras que no. Desde que Hispasec comenzó con sus informes sobre este tema, NOD32 ha detectado más del 80 % de los nuevos gusanos de Internet solamente con su heurística, sin necesidad de actualizar su firma de virus, siendo el antivirus con la protección heurística con mayor nivel de detección en estas pruebas.
Una buena protección heurística permite a las empresas contar con una capa de protección adicional a las que nombramos en las cuatro entregas anteriores, dado que se complementa con ellas, y le ofrece una mayor seguridad contra los nuevos virus, evitando que ingresen en su red en la mayoría de los casos, pese a que su antivirus todavía no haya actualizado su firma de virus.

Una verdadera protección activa contra las amenazas del mundo real, que no dan segundas oportunidades.