Si bien las computadoras pueden parecer brillantes, en esencia, son máquinas poco inteligentes que se basan en instrucciones que los humanos crean para hacerlas funcionar. Los virus son programas que hacen que las computadoras ejecuten instrucciones que pueden dañarlas a ellas y a sus datos. Los desarrolladores de software crean aplicaciones antivirus de comportamiento y heurísticas que utilizan diferentes métodos para detectar y eliminar virus y otras formas de malware que pueden infectar su computadora.
Bases de datos de virus y firmas de código
Windows Defender, una aplicación de seguridad que viene con Windows, identifica un programa sospechoso comparándolo con una base de datos que mantiene Microsoft. Los programas de seguridad que dependen de las bases de datos para obtener información de malware los revisan con frecuencia porque las personas crean nuevos virus continuamente. Muchos programas antivirus identifican amenazas examinando sus "firmas". Una firma es similar a una huella digital: representa un conjunto específico de características de un archivo que ayudan a otros a identificarlo.
Detección de comportamiento
Un programa antivirus de detección de comportamiento funciona como un oficial de policía que busca un comportamiento extraño en un sospechoso. Si instala una aplicación antivirus que utiliza la detección de comportamiento, observa su sistema operativo en busca de eventos sospechosos. Por ejemplo, si el programa antivirus es testigo de un intento de cambiar o modificar un archivo o comunicarse a través de la Web, puede tomar medidas y advertirle de la amenaza. También puede bloquear la amenaza dependiendo de cómo ajuste su configuración de seguridad.
Detección heurística
Las aplicaciones antivirus que utilizan heurística son similares a los programas de detección basados en firmas. Buscan identificar malware examinando el código en un programa de virus y analizando la estructura del programa. Una aplicación antivirus heurística que utilice este método de detección podría ejecutar un proceso que simule la ejecución real del código que está examinando. Cuando lo hace, la aplicación antivirus busca identificar una lógica de código adicional que pueda ayudarla a determinar si el virus sospechoso es realmente una amenaza.
Cambios en el patrón de código
Dado que los programas antivirus que utilizan la detección de comportamiento buscan comportamientos sospechosos en un virus potencial, pueden identificar amenazas que algunos programas antivirus heurísticos pueden pasar por alto. Suponga, por ejemplo, que una base de datos heurística contiene un patrón de código que consta de A-B-B-A. Si los creadores de un virus modifican su código para que el patrón cambie a A-A-B-B, es posible que una aplicación antivirus heurística no detecte esa versión modificada.
Consideraciones
Un falso positivo ocurre cuando un programa antivirus le informa que un programa es peligroso aunque no lo sea. La detección de malware mediante métodos heurísticos a menudo aumenta el número de incidentes de falsos positivos. También puede llevar más tiempo a los programas antivirus heurísticos analizar archivos que a los programas que utilizan la detección de comportamiento. Muchos programas antivirus modernos utilizan métodos heurísticos y de comportamiento para proteger las computadoras del malware.
