Publicado por Javier Guerrero Marzo, 2010

Una de las quejas m谩s recurrentes del usuario a la hora de usar un antivirus, es el consumo de recursos y la ralentizaci贸n general sufrida por el sistema una vez que se ha instalado el producto. En este art铆culo vamos a aportar una explicaci贸n sencilla y razonada de por qu茅 tiene lugar este fen贸meno.

Por definici贸n, un virus o cualquier otro ejemplar de malware, es un elemento que efect煤a diversas operaciones de car谩cter malicioso en el sistema operativo; el abanico de acciones聽 potencialmente peligrosas es bastante variado, pudiendo abarcar desde la infecci贸n de un archivo (operaciones sobre ficheros) hasta la ejecuci贸n de un troyano (operaciones de procesos)聽 pasando por la instalaci贸n de un gusano (operaciones de registro), y eso sin contar operaciones de red, que por s铆 solas merecer铆an un art铆culo aparte.

Por su parte, el antivirus es una soluci贸n de seguridad que a帽ade una funcionalidad adicional al sistema operativo, con el objetivo de protegerle de dichas operaciones maliciosas. Por tanto, el producto debe instalar una serie de componentes que, situados en determinados puntos del sistema, se encargan de detectar en tiempo real la ocurrencia de esas acciones; es lo que denominamos analizador 鈥渙n-access鈥.

Muchos de estos eventos ser谩n descartados, y muchos otros ser谩n comprobados mediante el uso de varias t茅cnicas de an谩lisis, para determinar si son (o pueden ser, punto importante 茅ste) obra de alg煤n tipo de malware. Pero para que haya una protecci贸n 鈥渙n-access鈥, todos deben ser interceptados en tiempo real.

N贸tese que en el anterior p谩rrafo he subrayado 鈥渆n tiempo real鈥. La importancia de este detalle se pondr谩 de manifiesto cuando expongamos a continuaci贸n algunas cifras y datos obtenidos tras realizar una peque帽a prueba, que nos ayudar谩n a comprender mejor el problema del rendimiento:

  • En un Windows 7 reci茅n instalado y sin aplicaciones de terceros, en un intervalo de apenas 1 minuto y 30 segundos, en el cual 煤nicamente ejecutamos la Calculadora y el Paint, se produjeron 481 operaciones de procesos, 26.012 operaciones sobre ficheros, y 45.885 operaciones de registro. Eso hace un total de 72.378 operaciones susceptibles de ser comprobadas en tiempo real y denegadas en caso de ser consideradas como maliciosas.
  • A la hora de determinar si un archivo est谩 infectado, cada uno de estos ficheros debe ser cotejado en tiempo real contra una gigantesca base de datos de firmas, formada por cientos de miles de definiciones de virus.

La problem谩tica empieza a estar clara, 驴verdad?

Pero a煤n hay m谩s: los antivirus tambi茅n deben protegerse a s铆 mismos frente a los habituales ataques provenientes del malware, que pueden reducir o anular totalmente su funcionalidad. Esto significa que necesita ejercer controles adicionales que, de nuevo, pueden influir en la ralentizaci贸n del sistema.

El software siempre tratar谩 de optimizar todo lo posible su funcionamiento, pero siempre que haya un an谩lisis 鈥渙n-access鈥, el procesamiento en tiempo real va a ser inevitable, y por tanto, tambi茅n se traducir谩 en un coste para el rendimiento del sistema; 茅sta podr谩 ser considerable, razonable, o incluso imperceptible, dependiendo tambi茅n del tipo de producto instalado (no es lo mismo un simple analizador, que un suite completa que incluya Firewall, Antivirus, auto-protecci贸n, an谩lisis de comportamiento, control parental, etc.). Pero siempre habr谩 una penalizaci贸n.

En definitiva, al final se trata de alcanzar un equilibrio razonable entre rendimiento y seguridad, y 茅ste ha sido, es y ser谩 siempre uno de los grandes retos de cualquier producto antivirus; m谩s a煤n si tenemos en cuenta que, por diversos motivos, las soluciones de seguridad se encuentran en desventaja frente al malware鈥.pero esto lo explicaremos en otro art铆culo.

Nota: en este art铆culo hablo sobre el enfoque de an谩lisis en un antivirus 聽鈥渃l谩sico鈥. 聽El nuevo enfoque de an谩lisis en la Nube (Cloud) es diferente. Se puede encontrar m谩s informaci贸n sobre CloudAV, en este post, publicado en el blog de Panda Research: http://research.pandasecurity.com/arguments-against-cloud-based-antivirus/

Javier Guerrero D铆az
Dpto. Desarrollo 鈥 I+D