Publicado por Javi Guerrero, 7 Abril, 2010

De todos es sabido que el software de seguridad en general, y el de antivirus en particular, siempre va por detrás de los ciberdelincuentes. Es decir, lo más habitual es que los creadores de malware descubran nuevas formas de atacar nuestros ordenadores, y que las compañías de seguridad actualicen sus productos para evitar esas nuevas amenazas.
Así, los sistemas operativos y aplicaciones deben corregir sus vulnerabilidades, y los antivirus deben además actualizar sus bases de datos de conocimiento, para poder detectar cada nuevo malware que aparece.

Si tenemos en cuenta la enorme cantidad de amenazas que surgen cada día, es fácil darse cuenta del titánico esfuerzo que supone mantenerse al día en la lucha contra esta amenaza. En este sentido, desarrollos innovadores de Panda, como las tecnologías TruPrevent o el más reciente Cloud AV (primer antivirus del mundo en poner en práctica el concepto de protección desde la nube) han mostrado una gran eficacia en la detección del malware, pero aun así, la lucha continúa y continuará indefinidamente.

Sin embargo, hay un aspecto del desarrollo del software antivirus, en el que resulta clara y evidente su situación de desventaja: su obligación de ser respetuoso con el sistema operativo y con el resto de aplicaciones instaladas, en términos de estabilidad, rendimiento y funcionalidad.

¿Qué significa esto? Pues que, tal y como ya expuse en mi anterior artículo Antivirus, rendimiento y seguridad, la solución de seguridad debe proteger el sistema sin mermar su rendimiento más allá de lo razonable pero también sin afectar, en la medida de lo posible, al funcionamiento de otras aplicaciones o del mismo sistema operativo, y de esta forma evitar provocar situaciones de inestabilidad, cuelgues o incompatibilidades. Esto último, a veces, es muy difícil de garantizar, debido a las peculiaridades intrínsecas al funcionamiento de un producto antivirus.

Volviendo al tema que nos ocupa, podemos poner un ejemplo de esta situación de desventaja: cualquier software antivirus en general, y en especial determinados componentes del mismo (como por ejemplo la capa de detección “on-access”) debe cumplir unas determinadas normas, reglas y recomendaciones de buenas prácticas, marcadas por Microsoft, para asegurar la calidad y fiabilidad del producto, y también para obtener certificaciones de compatibilidad, etc. Estas normas incluyen, entre otras, el no emplear funcionalidades indocumentadas del sistema, ya que pueden cambiar de una a otra versión de Windows, o incluso entre distintos service packs, y provocar así un problema de incompatibilidad que dé lugar a los problemas antes mencionados..

Sin embargo, evidentemente el malware ni sigue estas reglas ni se esfuerza por ser “respetuoso” con el sistema y sus aplicaciones, o al menos no más allá de lo estrictamente necesario para conseguir sus fines, puesto que él no es una aplicación legal y legítima.

Y así el antivirus, al verse obligado a respetar esas normas, se encuentra en desventaja a la hora de detectar y neutralizar la amenaza. Esto hace que, en ocasiones, el desarrollador del producto de seguridad sienta que lucha con una mano atada a la espalda, y curiosamente encontramos aquí un interesante paralelismo con el mundo real: mientras que un delincuente infringe la ley a su antojo, las fuerzas de seguridad deben atenerse a una serie de normas y leyes para poder detenerlo.

Si tenemos en cuenta estas circunstancias, resulta verdaderamente encomiable el esfuerzo realizado por el software de seguridad para mantener a raya a las omnipresentes amenazas.