{"id":7833,"date":"2016-10-13T03:21:19","date_gmt":"2016-10-13T03:21:19","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=7833"},"modified":"2020-07-03T04:49:20","modified_gmt":"2020-07-03T10:49:20","slug":"signature-virus-disinfection","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/signature-virus-disinfection\/7833\/","title":{"rendered":"Los principios fundamentales de los antivirus: virus, firmas, desinfecci\u00f3n"},"content":{"rendered":"<p>Hablamos y hablamos sobre c\u00f3mo comportarse (e incluso sobre c\u00f3mo sobrevivir) en el mundo digital. Esperamos que no sea en vano y que nuestros lectores aprendan de nosotros para luego ense\u00f1ar a sus amigos y familiares. Es muy importante.<\/p>\n<p>https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2020\/07\/03044916\/antivirus-delusions-featured.jpg<\/p>\n<p>Pero, a veces, damos por hecho cierto conocimiento com\u00fan de algunos t\u00e9rminos y expresiones espec\u00edficos. As\u00ed que hoy volvemos a lo b\u00e1sico para abordar tres cosas fundamentales de los antivirus.<\/p>\n<h3>1. Firmas<\/h3>\n<p>Las bases de datos de antivirus se llaman hist\u00f3ricamente <i>firmas<\/i>, tanto en el uso com\u00fan como en el escrito. En realidad, las firmas cl\u00e1sicas llevan sin usarse unos 20 a\u00f1os.<\/p>\n<p>Las firmas como concepto no estaban definidas desde el principio (desde los 80). Ni si quiera ahora tienen una p\u00e1gina en Wikipedia y la <a href=\"https:\/\/es.wikipedia.org\/wiki\/Malware\" target=\"_blank\" rel=\"noopener nofollow\">entrada sobre <i>malware<\/i><\/a> usa el t\u00e9rmino de \u201cfirmas\u201d sin definirlo, como si fuera algo de conocimiento general y no requiriera explicaci\u00f3n.<\/p>\n<p>\u00a1As\u00ed que, por lo menos, definamos las firmas! Las cl\u00e1sicas firmas de virus son una secuencia continua de <i>bytes<\/i> comunes en cierta muestra de <i>malware<\/i>, lo que significa que se contiene dentro de este o del archivo infectado y no en archivos no afectados.<\/p>\n<div id=\"attachment_9302\" style=\"width: 715px\" class=\"wp-caption aligncenter\"><img decoding=\"async\" aria-describedby=\"caption-attachment-9302\" class=\"wp-image-9302 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2016\/10\/05195427\/malanov-1.png\" width=\"705\" height=\"229\"><p id=\"caption-attachment-9302\" class=\"wp-caption-text\">Una secuencia caracter\u00edstica de bytes.<\/p><\/div>\n<p>Hoy en d\u00eda, las firmas no son suficientes para detectar archivos maliciosos: los creadores de <i>malware<\/i> usan m\u00e9todos de ofuscaci\u00f3n para cubrir sus huellas. Por ello, los productos de antivirus modernos deben utilizar m\u00e9todos m\u00e1s avanzados de detecci\u00f3n. Las bases de datos de antivirus todav\u00eda contienen dichas firmas (representan m\u00e1s de la mitad de las entradas), pero tambi\u00e9n incluyen entradas m\u00e1s sofisticadas.<\/p>\n<p>Como costumbre, todav\u00eda se puede llamar a esas entradas \u201cfirmas\u201d. No hay nada de malo en ello, siempre que recordemos que el t\u00e9rmino se refiere a una gama de t\u00e9cnicas que conforman un arsenal mucho m\u00e1s robusto.<\/p>\n<p>Idealmente, deber\u00edamos dejar de utilizar el t\u00e9rmino \u201cfirma\u201d para referirnos a cualquier entrada en la base de datos del antivirus, pero se sigue usando porque a\u00fan no existe un t\u00e9rmino m\u00e1s exacto.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\"><a href=\"https:\/\/twitter.com\/hashtag\/MachineLearning?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#MachineLearning<\/a> is fundamental to <a href=\"https:\/\/twitter.com\/hashtag\/cybersecurity?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#cybersecurity<\/a>. Here are some interesting facts about them: <a href=\"https:\/\/t.co\/5BV78lc737\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/5BV78lc737<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/ai_oil?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#ai_oil<\/a> <a href=\"https:\/\/t.co\/6frMGOzUgL\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/6frMGOzUgL<\/a><\/p>\n<p>\u2014 Eugene Kaspersky (@e_kaspersky) <a href=\"https:\/\/twitter.com\/e_kaspersky\/status\/780417443424534528?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">September 26, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Una entrada en la base de datos del antivirus es solo eso: una entrada. La tecnolog\u00eda tras ella podr\u00eda ser una firma cl\u00e1sica o algo supersofisticado, innovador y que busca el <i>malware<\/i> m\u00e1s avanzado.<\/p>\n<h3>2. Virus<\/h3>\n<p>Como te habr\u00e1s dado cuenta, nuestros analistas evitan utilizar el t\u00e9rmino \u201cvirus\u201d y prefieren definiciones como <i>\u201cmalware\u201d<\/i> o \u201camenaza\u201d, entre otras. La raz\u00f3n es que un virus es un tipo espec\u00edfico de <i>malware<\/i> que se comporta de una manera espec\u00edfica: infecta archivos limpios. Los analistas prefieren referirse a ellos con el termino ingl\u00e9s <i>infector<\/i> (que infecta).<\/p>\n<p>Los <i>infectors<\/i> gozan de una posici\u00f3n \u00fanica en el laboratorio. En primer lugar, son dif\u00edciles de detectar porque, a primera vista, el archivo parece limpio. En segundo lugar, requieren de un tratamiento especial: casi todos ellos necesitan una desinfecci\u00f3n y un proceso de detecci\u00f3n espec\u00edficos. Por ello, de los <em>infectors<\/em> se encargan personas especializadas en este tipo de amenazas.<\/p>\n<div id=\"attachment_9304\" style=\"width: 460px\" class=\"wp-caption aligncenter\"><img decoding=\"async\" aria-describedby=\"caption-attachment-9304\" class=\"wp-image-9304 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2016\/10\/05195426\/malanov-2.png\" width=\"450\" height=\"450\"><p id=\"caption-attachment-9304\" class=\"wp-caption-text\">Clasificaci\u00f3n de malware.<\/p><\/div>\n<p>As\u00ed que, para evitar confusi\u00f3n cuando se hable de amenazas en general, los analistas utilizan t\u00e9rminos gen\u00e9ricos como \u201cprograma malicioso\u201d o <i>\u201cmalware\u201d<\/i>.<\/p>\n<p>Esta son otras clasificaciones que pueden ser \u00fatiles. Un gusano es un tipo de <i>malware<\/i> que puede replicarse y que puede salir del dispositivo que ha infectado inicialmente para as\u00ed infectar otros. El <i>malware<\/i>, t\u00e9cnicamente hablando, no incluye el <i>adware<\/i> (<i>software<\/i> de publicidad intrusiva) ni el <i>riskware<\/i> (<i>software<\/i> leg\u00edtimo que puede causar da\u00f1o en un sistema si lo instala un malhechor).<\/p>\n<h3>3. Desinfecci\u00f3n<\/h3>\n<p>\u00daltimamente, he o\u00eddo cierto rumor que espero que no sea una interpretaci\u00f3n err\u00f3nea generalizada: que un antivirus solo analiza y detecta el <i>malware<\/i>, pero luego el usuario necesita descargar una utilidad especial para borrar el <i>malware<\/i>. De hecho, las <a href=\"http:\/\/support.kaspersky.com\/sp\/viruses\/disinfection?_ga=1.4595889.306474299.1476371451\" target=\"_blank\" rel=\"noopener\">utilidades especiales<\/a> existen para ciertos tipos de <i>malware<\/i>: por ejemplo, los<a href=\"https:\/\/noransom.kaspersky.com\/?_ga=1.4595889.306474299.1476371451\" target=\"_blank\" rel=\"noopener\"> descifradores de archivos<\/a> afectados por <i>ransomware<\/i>. Pero los antivirus pueden hacerlo por s\u00ed mismos (y a veces es la mejor opci\u00f3n por el acceso que tienen a los <i>drivers<\/i> del sistema y a otras tecnolog\u00edas que las utilidades no tienen).<\/p>\n<p>Entonces, \u00bfc\u00f3mo se realiza el borrado del <i>malware<\/i>? En un peque\u00f1o porcentaje de los casos, una m\u00e1quina elige un <i>infector<\/i> (normalmente antes de que se instale el antivirus, ya que pocas veces pueden saltarse las defensas de un antivirus), este act\u00faa en algunos archivos y luego el antivirus detecta cualquier archivo infectado y elimina el c\u00f3digo malicioso y lo restaura a su estado original. Se emplea el mismo proceso cuando necesitas descifrar archivos que un <i>ransomware<\/i> ha cifrado, com\u00fanmente detectados como Trojan-Ransom.<\/p>\n<p>En el resto de los casos (la mayor\u00eda, quiz\u00e1 el 99 % de los mismos), el <i>malware<\/i> es detectado antes de que infecte alg\u00fan archivo, el proceso consiste en simplemente borrar el <i>malware<\/i>. Si no se han da\u00f1ado archivos, no hay por qu\u00e9 restaurar nada.<\/p>\n<div id=\"attachment_9305\" style=\"width: 440px\" class=\"wp-caption aligncenter\"><img decoding=\"async\" aria-describedby=\"caption-attachment-9305\" class=\"wp-image-9305 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2016\/10\/05195426\/malanov-3.png\" width=\"430\" height=\"368\"><p id=\"caption-attachment-9305\" class=\"wp-caption-text\">En la mayor\u00eda de los casos, basta con eliminar el archivo malicioso.<\/p><\/div>\n<p>Hay una excepci\u00f3n: si el <i>malware<\/i> no es un <i>infector<\/i> (por ejemplo, si es un <i>ransomware<\/i>) y ya est\u00e1 activo en el sistema, el antivirus activa el modo de desinfecci\u00f3n para asegurarse de que la amenaza se ha eliminado para siempre y de que no volver\u00e1. Puedes aprender m\u00e1s sobre el proceso aqu\u00ed.<\/p>\n<p>Dicha excepci\u00f3n suele suceder por dos motivos:<br>\n1. El antivirus se ha instalado en una computadora ya infectada. T\u00edpica secuencia err\u00f3nea, infectarse primero y luego decidir que es hora de hacer algo con la protecci\u00f3n.<\/p>\n<p>2. El antivirus marc\u00f3 algo como \u201csospechoso\u201d en lugar de \u201cmalicioso\u201d y ha empezado a monitorizar su actividad. Tan pronto como se compruebe que el <i>malware<\/i> es malicioso, el antivirus detendr\u00e1 todas las actividades maliciosas (detectadas durante el per\u00edodo de seguimiento). Por ejemplo, el antivirus podr\u00eda restaurar archivos cifrados desde copias de respaldo instant\u00e1neas si el PC ha sido atacado por <i>ransomware<\/i> o alg\u00fan <i>infector<\/i>.<\/p>\n<p><span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"640\" height=\"390\" src=\"https:\/\/www.youtube.com\/embed\/iX9Ajl8j1Ls?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span><\/p>\n<h3>Conclusi\u00f3n<\/h3>\n<p>Eso es todo por hoy. Espero que ahora:<\/p>\n<p>1. Sepas que las firmas hoy en d\u00eda son, b\u00e1sicamente, cualquier entrada en la base de datos del antivirus, incluidas las m\u00e1s avanzadas.<\/p>\n<p>2. Est\u00e9s m\u00e1s familiarizado con los diferentes tipos de <i>malware<\/i>.<\/p>\n<p>3. Comprendas que el proceso de desinfecci\u00f3n de un ordenador o un dispositivo est\u00e1 entre las competencias de un programa antivirus (adem\u00e1s de por qu\u00e9 es importante mantener el componente System Watcher activo para analizar el comportamiento de archivos sospechosos).<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Te explicamos tres conceptos importantes sobre la acci\u00f3n del antivirus: firmas, la naturaleza de los virus y c\u00f3mo eliminan el malware las soluciones antivirus.<\/p>\n","protected":false},"author":595,"featured_media":7836,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3145,9],"tags":[115,2773,2772,34,629,2774,1262,20],"class_list":{"0":"post-7833","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-products","9":"tag-antivirus","10":"tag-desinfeccion","11":"tag-firmas","12":"tag-malware-2","13":"tag-productos","14":"tag-terminos","15":"tag-troyanos","16":"tag-virus"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/signature-virus-disinfection\/7833\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/signature-virus-disinfection\/7790\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/signature-virus-disinfection\/7799\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/signature-virus-disinfection\/9298\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/signature-virus-disinfection\/9151\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/signature-virus-disinfection\/13233\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/signature-virus-disinfection\/6166\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/signature-virus-disinfection\/6708\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/signature-virus-disinfection\/5529\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/signature-virus-disinfection\/8953\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/signature-virus-disinfection\/12878\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/signature-virus-disinfection\/13233\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/signature-virus-disinfection\/13233\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/antivirus\/","name":"antivirus"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/7833","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/595"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=7833"}],"version-history":[{"count":2,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/7833\/revisions"}],"predecessor-version":[{"id":19346,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/7833\/revisions\/19346"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/7836"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=7833"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=7833"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=7833"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}