¿Qué es un análisis heurístico?

El análisis heurístico es un método de detección de virus mediante el cual se examina el código en busca de propiedades sospechosas.

Los métodos tradicionales de detección de virus implican identificar malware mediante la comparación de código de un programa con el código de tipos de virus conocidos encontrados, analizados y registrados en una base de datos, lo que se conoce como detección de firma.

Aunque este método resulta útil y todavía está en uso, la detección de firmas también ha encontrado limitaciones, debido al desarrollo de nuevas amenazas que surgieron con el cambio de siglo y que siguen apareciendo constantemente.

Para contrarrestar este problema, el modelo de análisis heurístico se diseñó específicamente para detectar características sospechosas que se pueden encontrar en virus desconocidos y nuevos, en las versiones modificadas de las amenazas existentes, así como en muestras de malware conocido.

Los cibercriminales están desarrollando constantemente nuevas amenazas, y el análisis heurístico es uno de los únicos métodos que se encarga del enorme volumen de estas nuevas amenazas detectadas a diario.

El análisis heurístico es también uno de los pocos métodos capaces de combatir los virus polimórficos; el término para un código malicioso que se adapta y cambia constantemente. El análisis heurístico se incorpora en soluciones de seguridad avanzadas ofrecidas por empresas como Kaspersky Lab para detectar las nuevas amenazas antes de que causen daños, sin la necesidad de una firma específica.

¿Cómo funciona el análisis heurístico?

El análisis heurístico puede emplear una serie de técnicas diferentes. Un método heurístico, conocido como análisis heurístico estático, implica descompilar un programa sospechoso y examinar su código fuente. Luego, este código se compara con virus ya conocidos y registrados en la base de datos heurística. Si un determinado porcentaje del código fuente coincide con algo de la base de datos heurística, el código se marca como posible amenaza.

Otro método se conoce como heurística dinámica. Cuando los científicos desean analizar algo sospechoso sin poner en riesgo a las personas, contienen la sustancia en un entorno controlado como en un laboratorio seguro antes de realizar las pruebas. El proceso es similar en el caso del análisis heurístico, pero en un mundo virtual.

Este permite aislar el programa sospechoso o parte del código dentro de una máquina virtual especializada, o sandbox, lo que le da al programa antivirus una oportunidad para probar el código y simular lo que ocurriría si se permitiera la ejecución del archivo sospechoso. Examina cada comando a medida que se activa en busca de comportamientos sospechosos, como la autoreplicación, la sobrescritura de archivos y otras acciones comunes a los virus.

Problemas potenciales

El análisis heurístico es ideal para identificar nuevas amenazas, pero para que sea eficaz se debe ajustar con cuidado para que proporcione la mejor detección de nuevas amenazas, sin generar falsos positivos en código perfectamente inocuo.

Por este motivo, las herramientas heurísticas son a menudo un arma más de un avanzado arsenal antivirus. Generalmente se implementan junto con otros métodos de detección de virus, como el análisis de firmas y otras tecnologías proactivas.

Related articles:

• ¿Qué es el adware?
• ¿Qué es un troyano?
• Datos y preguntas frecuentes sobre virus informáticos y malware
• Spam y Phishing

Related products:

• Kaspersky Total Security
• Kaspersky Internet Security
• Kaspersky Antivirus
• Kaspersky Internet Security for Mac
• Kaspersky Internet Security para Android