Día: 14 de diciembre de 2006

[*MiIT}– Computación Personal, herramienta indispensable. 12: Virus y otro malware (2/2)

Carlos M. Padrón

A fin de hacerme entender mejor, voy a diferenciar entre los programas antivirus y los programas anti-malware, entendiendo por malware —a efectos de este artículo, repito— todo objeto maligno que no sea el clásico virus que sólo busca causar daño al HW o SW de la PC.

Por años, los programas antivirus funcionaron solamente en base a “signatures” (= firmas), o sea, fichas de los virus que fueron descubiertos pululando en la Red. Era algo así como la Interpol que, una vez que conoce las características particulares de un delincuente, hace de él una ficha y la distribuye a las Policías del mundo.

Los dueños del programa antivirus y anti-malware hacen una signature de cada virus identificado y la envían por Internet a los usuarios de su programa, con lo cual éste se actualiza, o, mejor dicho, algunos de estos programas se actualizan automáticamente; otros requieren que el usuario solicite actualización, aunque estos casos de actualización sólo manual son pocos actualmente. Suele ser común que estos programas indiquen la cantidad de signatures que en un determinado momento tiene su base de datos.

Pero en el periodo de tiempo que media entre que el virus aparece en la Red dispuesto a causar destrozos, y el momento en que al programa antivirus llega la signature correspondiente, el virus puede ocasionar verdaderos desastres.

Para reducir este peligro aparecieron las técnicas de heurística que, usando un ejemplo muy pedestre, funcionan como el “Si tiene cuatro patas, rabo y ladra, es perro”. O sea, que la heurística intercepta todo objeto sospechoso que pretenda entrar a la PC, y lo somete a un escrutinio para determinar si tiene ciertas características típicas de los objetos malignos.

Si el resultado es positivo, a ese objeto no se le permite entrar, y se le somete a rastreo intensivo hasta que se logra hacer para él, si resulta maligno, la signature correspondiente, que se distribuye luego en la forma ya descrita.

Esto no obstante, y comoquiera que la heurística no es 100% segura, es casi obligatorio que, por lo menos una vez a la semana, se pida, tanto al programa antivirus como al anti-malware, debidamente actualizados ambos, que escaneen toda la PC, por si, a pesar de las medidas descritas, logró colarse algún objeto maligno cuya signature ya está en la base de datos correspondiente.

Por tanto, la función de un programa, antivirus o anti-malware, es eliminar los objetos malignos (virus unos, y malware no tan maligno los otros) que encuentre en la PC, y tratar de impedir, en base a signatures o técnicas heurísticas, la entrada de otros.

Y para que el programa cumpla bien su función hay que “customizarlo”, hacerle set-up o ponerle los settings. (He visto que en las versiones en español traducen este término como “personalizar”, pero para mí no son equivalentes, pues “customizar” o “settings” implica usar del programa aquellas características operativas que éste tiene disponibles y que a mí, como usuario, me convengan, me gusten o no; mientras que a “personalizar” le veo más connotación de “poner en la forma que a mí me guste”. El customizar o set-up es más funcional, y el personalizar más subjetivo).

En función de la facilidad de customización hay programas, tanto antivirus como anti-malware, que van desde muy simple hasta sólo para expertos. Cuando más complejo, más funciones ofrece y mejor cumplirá su trabajo si se le customiza bien.

Por esto es importante tener la versión en el idioma que mejor domine el usuario, aunque a veces éste —como me ocurrió a mí que, aunque los uso en inglés, se los instalo en español a personas que no entienden inglés— se quede perplejo ante términos como “ventana emergente”, que me produjo un ataque de risa la primera vez que lo vi y, después de bastante trabajo, logré entender que era la traducción de “pop-ups”.

Hoy día, los más de los programas antivirus proclaman que cuentan con la técnica heurística más avanzada. Y hay programas, tanto antivirus como anti-malware, que, con tal de conseguir quien los compre, usan lo que se ha dado en llamar falso-positivo, que no es más que el truco, malicioso las más de las veces, de hacer aparecer como malignos objetos que no lo son.

Y, lo que es peor, los hay que hasta hacen aparecer en la PC tales supuestos malignos para luego aparentar que los eliminan y hacer creer al usuario que son una maravilla porque encontraron y eliminaron lo que otros no pudieron detectar.

Generalmente, estos programas —y también muchos que sirven para dar mejorar el rendimiento de la PC, eliminar archivos temporales, corregir fallas en los registros, etc.— no ofrecen periodo de uso gratis, sino que permiten que se los instale en prueba, que se escanee con ellos la PC, y al final del escaneo dicen que han encontrado varios objetos malignos —o mucha “basura” para sacar—, pero que si se quiere que los elimine —o saque— hay que comprar el programa. Un caso reciente de trucos como el descrito, y que llegó a los tribunales, es el reportado en el artículo “Antispyware Company to Reimburse Some Customers”.

En consecuencia, no suelo comprar ningún programa, sea del tipo que fuere, que no ofrezca un periodo de prueba gratuito, y que durante el mismo opere con todas sus funciones.

Una guía que considero buena para saber más de la calidad de un antivirus es la publicación digital inglesa VirusBulletin (VB) editada por una compañía supuestamente imparcial que hace pruebas periódicas y comparativas de todos los programas antivirus que se presten a ellas.

Analizando los varios reportes VB a través del tiempo se ve que hay más programas antivirus de los que uno pensaba que existían, y que sólo algunos se han mantenido por tiempo ganando siempre un “VB Award” (premio al desempeño satisfactorio), prueba tras prueba y en distintas plataformas, mientras que otros o no han salido de la mediocridad o, lo que es peor, en vista de que nunca conseguían un aprobado optaron por no presentarse más; pero, eso sí, se autopromocionan de todas las formas imaginables, desde la publicidad directa hasta la medio disfrazada en artículos sobres temas de seguridad que atraen al lector por lo novedosos de su título, pero que, ya al final, mencionan como fuente —poco fiable, por supuesto— a la bendita compañía. ¿Podría uno confiar en un programa de este tercer tipo?.

En el caso de los programas anti-malware ocurre otro truco diferente: lo que para unos es malware para otros no lo es. ¿Por qué? Porque hay de por medio intereses comerciales, y algunas compañías pagan a los fabricantes de programas anti-malware para que no traten como malware las cookies, rootkits y demás objetos más o menos malignos que ellas meten en las computadoras cuando se visitan ciertas páginas de Internet. De ahí la conveniencia de usar más de un programa anti-malware.

Tengo tres en mi PC, y hago que los tres la escaneen al menos una vez por semana. Afortunadamente, hace tiempo que ninguno de estos tres encuentra nada. Sin embargo, la semana pasada recibí evaluaciones contradictorias acerca de un programa anti-malware producido por la misma compañía que produce uno de mantenimiento que me ha resultado bueno.

Curioso, instalé —en versión de prueba, por supuesto— ese programa anti-malware, e hice que los otros tres que tengo escanearan mi PC. Cuando me cercioré de que ninguno encontró nada, entonces puse a escanear a ése del que me llegaron evaluaciones contradictorias y, ¡oh, sorpresa!, al final del escaneo dijo haber encontrado 14 objetos malignos; y, ¡oh, mayor sorpresa!, me dijo que si quería que los eliminara tenía que comprarlo. Por supuesto, lo mandé a paseo.