Definición:
Los antivirus son una herramienta simple cuyo objetivo es detectar y eliminar virus informáticos.
Nacieron durante la década de 1980.
Con el transcurso del tiempo, la aparición de sistemas operativos más avanzados e Internet, ha hecho que los antivirus hayan evolucionado hacia programas más avanzados que no sólo buscan detectar virus informáticos, sino bloquearlos, desinfectarlos y prevenir una infección de los mismos, y actualmente ya son capaces de reconocer otros tipos de malware, como spyware, rootkits, etc
LOS ANTIVIRUS
Un antivirus es un programa de computadora cuyo propósito es combatir
y erradicar los
virus
informáticos. Para que el antivirus sea productivo y efectivo hay que
configurarlo cuidadosamente de tal forma que aprovechemos todas las cualidades
que ellos poseen. Hay que saber cuales son sus fortalezas y debilidades y
tenerlas en cuenta a la hora de enfrentar a los virus.
Debemos tener claro que según en la vida humana hay virus que no tienen cura,
esto también sucede en el mundo digital y hay que andar con mucha precaución. Un
antivirus es una solución para minimizar los
riesgos
y nunca será una solución definitiva, lo principal es mantenerlo actualizado.
Para mantener el sistema estable y
seguro el
antivirus debe estar siempre actualizado, tomando siempre medidas preventivas y
correctivas y estar constantemente leyendo sobre los virus y nuevas tecnologías.
Escanear
El antivirus normalmente escanea cada archivo en la computadora y lo compara
con las tablas de virus que guarda en disco. Esto significa que la mayoría de
los virus son eliminados del sistema después que atacan a éste. Por esto el
antivirus siempre debe estar actualizado, es recomendable que se actualice una
vez por semana para que sea capaz de combatir los virus que son creados cada
día. También, los antivirus utilizan la técnica heurística que permite detectar
virus que aun no están en la
base
de datos del antivirus. Es sumamente útil para las infecciones que todavía
no han sido actualizadas en las tablas porque trata de localizar los virus de
acuerdo a ciertos comportamientos ya preestablecidos.
El aspecto más
importante de un antivirus es detectar virus en la computadora y tratar de
alguna manera de sacarlo y eliminarlo de nuestro sistema. Los antivirus, no del
todo facilitan las cosas, porque ellos al estar todo el tiempo
activos y
tratando de encontrar un virus, al instante esto hace que consuman memoria de la
computadora y tal vez la vuelvan un poco lentas o de menos
desempeño.
Un buen antivirus es uno que se ajuste a nuestras necesidades. No debemos
dejarnos seducir por tanta
propaganda
de los antivirus que dicen que detectan y eliminan 56,432 virus o algo por el
estilo porque la mayoría de esos virus o son familias
derivadas
o nunca van a llegar al país donde nosotros estamos. Muchos virus son solamente
de alguna región o de algún país en particular.
A la hora de comprar un buen antivirus debemos saber con que frecuencia esa
empresa saca
actualizaciones de las tablas de virus ya que estos son creados diariamente para
infectar los sistemas. El antivirus debe constar de un programa detector de
virus que siempre este activo en la memoria y un programa que verifique la
integridad de los sectores críticos del disco duro y sus archivos ejecutables.
Hay antivirus que cubren esos dos procesos, pero si no se puede obtener uno con
esas características hay que buscar dos programas por separado que hagan esa
función teniendo
muy en cuenta que no se produzca ningún tipo de
conflictos
entre ellos.
Un antivirus además de protegernos el sistema contra virus, debe permitirle
al usuario hacer alguna copia del archivo infectado por si acaso se corrompe en
el proceso de limpieza, también la copia es beneficiosa para intentar una
segunda limpieza con otro antivirus si la primera falla en lograr su
objetivo.
En la actualidad no es difícil suponer que cada vez hay más gente que está
consciente de la necesidad de hacer uso de algún antivirus como medida de
protección básica. No obstante, en principio lo deseable sería
poder
tener un panorama de los distintos productos que existen y poder tener una guía
inicial para proceder a evaluarlos.
Algunos antivirus:
Antivirus Expert (AVX)
AVG Anti-Virus System
Command Antivirus:
Los riesgos que infunden los virus hoy en día
obligaron a que
empresas
enteras se dediquen a buscar la forma de crear programas con fines comerciales
que logren combatir con cierta
eficacia los
virus que ataquen los sistemas informáticos. Este software es conocido con el
nombre de programas antivirus y posee algunas características interesantes para
poder cumplir su
trabajo.
Como ya dijimos una de las características fundamentales de un virus es
propagarse infectando determinados objetos según fue programado. En el caso de
los que parasitan archivos, el virus debe poseer algún
método para
no infectar los archivos con su propio
código
para evitar autodestruirse, en otras palabras, así es que dejan una
marca o firma
que los identifica de los demás programas o virus.
Para la mayoría de los virus esta marca representa una cadena de caracteres
que "inyectan" en el archivo infectado. Los virus más complejos como los
polimorfos poseen una firma algorítmica que modificará el cuerpo del mismo con
cada infección. Cada vez que estos virus infecten un archivo, mutará su forma y
dificultará bastante más las cosas para el Software de detección de virus.
El software antivirus es un programa más de computadora y como tal debe ser
adecuado para nuestro sistema y debe estar correctamente configurado según los
dispositivos de hardware que tengamos. Si trabajamos en un lugar que posee
conexión a
redes es necesario
tener un programa antivirus que tenga la capacidad de detectar virus de redes.
Los antivirus reducen sensiblemente los riesgos de infección pero cabe reconocer
que no serán eficaces el cien por ciento de las veces y su utilización debería
estar acompañada con otras formas de prevención.
La función primordial de un programa de estos es detectar la presencia de un
posible virus para luego poder tomar las medidas necesarias. El hecho de poder
erradicarlo podría considerarse como una tarea secundaria ya que con el primer
paso habremos logrado frenar el avance del virus, cometido suficiente para
evitar mayores daños.
Antes de meternos un poco más adentro de lo que es el software antivirus es
importante que sepamos la diferencia entre detectar un virus e identificar un
virus. El detectar un virus es reconocer la presencia de un accionar viral en
el sistema de acuerdo a las características de los tipos de virus. Identificar
un virus es poder reconocer qué virus es de entre un montón de otros virus
cargados en nuestra base de datos. Al identificarlo sabremos exactamente qué
es lo que hace, haciendo inminente su eliminación.
De estos dos
métodos es
importante que un antivirus sea más fuerte en el tema de la detección, ya que
con este método podremos encontrar virus todavía no conocidos (de reciente
aparición) y que seguramente no estarán registrados en nuestra base de datos
debido a que su tiempo de dispersión no es suficiente como para que hayan sido
analizados por un
grupo
de expertos de la empresa del antivirus.
Hoy en día la
producción
de virus se ve masificada en Internet colabora enormemente en la dispersión de
virus de muchos tipos, incluyendo los "virus caseros". Muchos de estos virus son
creados por usuarios inexpertos con pocos conocimientos de programación y, en
muchos casos, por simples usuarios que bajan de Internet programas que crean
virus genéricos. Ante tantos "desarrolladores" al servicio de la producción de
virus la técnica de scanning se ve altamente superada. Las empresas antivirus
están constantemente trabajando en la búsqueda y
documentación
de cada nuevo virus que aparece. Muchas de estas empresas actualizan sus
bases de
datos todos los meses, otras lo hacen quincenalmente, y algunas pocas llegan
a hacerlo todas las semanas (cosa más que importante para empresas que necesitan
una alta protección en este campo o para usuarios fanáticos de obtener lo último
en seguridad y protección).
La debilidad de la técnica de scanning es inherente al
modelo.
Esto es debido a que un virus debería alcanzar una dispersión adecuada para que
algún usuario lo capture y lo envíe a un grupo de especialistas en virus que
luego se encargarán de determinar que parte del código será representativa para
ese virus y finalmente lo incluirán en la base de datos del antivirus. Todo este
proceso puede llevar varias semanas, tiempo suficiente para que un virus eficaz
haga de las suyas. En la actualidad, Internet proporciona el canal de bajada de
las definiciones antivirus que nos permitirán identificar decenas de miles de
virus que andan acechando. Estas decenas de miles de virus, como dijimos,
también influirán en el tamaño de la base de datos. Como ejemplo concreto
podemos mencionar que la base de datos de Norton Antivirus de Symantec Corp.
pesa alrededor de 2Mb y es actualizada cada quince o veinte días.
La técnica de scanning no resulta ser la solución definitiva, ni tampoco la
más eficiente, pero continúa siendo la más utilizada debido a que permite
identificar con cierta rapidez los virus más conocidos, que en definitiva son
los que lograron adquirir mayor dispersión.
Teniendo en cuenta los puntos débiles de la técnica de scanning surgió la
necesidad de incorporar otros métodos que complementaran al primero. Como ya se
mencionó la detección consiste en reconocer el accionar de un virus por los
conocimientos sobre el
comportamiento
que se tiene sobre ellos, sin importar demasiado su identificación exacta. Este
otro método buscará código que intente modificar la información de áreas
sensibles del sistema sobre las cuales el usuario convencional no tiene
control
–y a veces ni siquiera tiene
conocimiento-,
como el master boot record, el boot sector, la FAT, entre las más conocidas.
Otra forma de detección que podemos mencionar adopta, más bien, una posición
de vigilancia constante y pasiva. Esta, monitorea cada una de las actividades
que se realizan intentando determinar cuándo una de éstas intenta modificar
sectores críticos de las unidades de
almacenamiento,
entre otros. A esta técnica se la conoce como chequear la integridad.
La técnica de detección más común es la de análisis heurístico. Consiste en
buscar en el código de cada uno de los archivos cualquier instrucción que sea
potencialmente dañina,
acción
típica de los virus informáticos. Es una solución interesante tanto para virus
conocidos como para los que no los son. El inconveniente es que muchas veces se
nos presentarán falsas alarmas, cosas que el
scanner
heurístico considera peligrosas y que en realidad no lo son tanto. Por ejemplo:
tal vez el programa revise el código del comando DEL (usado para borrar
archivos) de
MS-DOS
y determine que puede ser un virus, cosa que en la realidad resulta bastante
improbable. Este tipo de cosas hace que el usuario deba tener algunos
conocimientos precisos sobre su sistema, con el fin de poder distinguir entre
una falsa alarma y una detección real.
La eliminación de un virus implica extraer el código del archivo infectado y
reparar de la mejor manera el
daño
causado en este. A pesar de que los programas antivirus pueden detectar miles de
virus, no siempre pueden erradicar la misma cantidad, por lo general pueden
quitar los virus conocidos y más difundidos de los cuales pudo realizarse un
análisis profundo de su código y de su comportamiento. Resulta lógico entonces
que muchos antivirus tengan
problemas
en la detección y erradicación de virus de comportamiento complejo, como el caso
de los polimorfos, que utilizan métodos de encriptación para mantenerse
indetectables. En muchos casos el
procedimiento
de eliminación puede resultar peligroso para la integridad de los archivos
infectados, ya que si el virus no está debidamente identificado las
técnicas de
erradicación no serán las adecuadas para el tipo de virus.
Hoy día los antivirus más populares están muy avanzados pero cabe la
posibilidad de que este tipo de errores se de en programas más viejos. Para
muchos el procedimiento correcto sería eliminar completamente el archivo y
restaurarlo de la copia de respaldo. Si en vez de archivos la infección se
realizó en algún sector crítico de la unidad de disco rígido la solución es
simple, aunque no menos riesgosa. Hay muchas personas que recomiendan
reparticionar la unidad y reformatearla para asegurarse de la desaparición total
del virus, cosa que resultaría poco operativa y fatal para la información del
sistema. Como alternativa a esto existe para el
sistema
operativo MS-DOS / Windows una opción no documentada del comando FDISK que
resuelve todo en cuestión de segundos. El parámetro /MBR se encarga de restaurar
el registro maestro de booteo (lugar donde suelen situarse los virus) impidiendo
así que este vuelva a cargarse en el inicio del sistema. Vale aclarar que
cualquier dato que haya en ese sector será sobrescrito y puede afectar mucho a
sistemas que tengan la opción de bootear con diferentes sistemas operativos.
Muchos de estos programas que permiten hacer la elección del sistema operativo
se sitúan en esta área y por consiguiente su código será eliminado cuando se usa
el parámetro mencionado.
Para el caso de la eliminación de un virus es muy importante que el antivirus
cuente con soporte técnico local, que sus definiciones sean actualizadas
periódicamente y que el servicio técnico sea apto para poder responder a
cualquier contingencia que nos surja en el camino.
Como ya habíamos anticipado los comprobadores de integridad verifican que
algunos sectores sensibles del sistema no sean alterados sin el consentimiento
del usuario. Estas comprobaciones pueden aplicarse tanto a archivos como al
sector de arranque de las
unidades de
almacenamiento.
Para poder realizar las comprobaciones el antivirus, primero, debe tener una
imagen del contenido de la unidad de almacenamiento desinfectada con la cual
poder hacer después las comparaciones. Se crea entonces un registro con las
características de los archivos, como puede ser su nombre, tamaño, fecha de
creación o modificación y, lo más importante para el caso, el checksum, que es
aplicar un
algoritmo
al código del archivo para obtener un valor que será único según su contenido
(algo muy similar a lo que hace la función hash en los mensajes). Si un virus
inyectara parte de su código en el archivo la nueva comprobación del checksum
sería distinta a la que se guardó en el registro y el antivirus alertaría de la
modificación. En el caso del sector de booteo el registro puede ser algo
diferente. Como existe un MBR por unidad
física y un BR por cada
unidad
lógica,
algunos antivirus pueden guardarse directamente una copia de cada uno de ellos
en un archivo y luego compararlos contra los que se encuentran en las posiciones
originales.
Una vez que el antivirus conforma un registro de cada uno de los archivos en
la unidad podrá realizar las comprobaciones de integridad. Cuando el comprobador
es puesto en funcionamiento cada uno de los archivos serán escaneados.
Nuevamente se aplica la función checksum y se obtiene un valor que es comparado
contra el que se guardó en el registro. Si ambos valores son iguales, el archivo
no sufrió modificaciones durante el período comprendido entre el registro de
cheksum antiguo y la comprobación reciente. Por el otro lado, si
los
valores checksum no concuerdan significa que el archivo fue alterado y en
ciertos casos el antivirus pregunta al usuario si quiere restaurar las
modificaciones. Lo más indicado en estos casos sería que un usuario con
conocimientos sobre su sistema avale que se trata realmente de una modificación
no autorizada –y por lo tanto atribuible a un virus-, elimine el archivo y lo
restaure desde la copia de respaldo.
La comprobación de integridad en los sectores de booteo no es muy diferente.
El comprobador verificará que la copia que está en uso sea igual a la que fue
guardada con anterioridad. Si se detectara una modificación en cualquiera de
estos sectores, le preguntará al usuario por la posibilidad de reconstruirlos
utilizando las copias guardadas. Teniendo en cuenta que este sector en especial
es un punto muy vulnerable a la entrada de los virus multipartitos, los
antivirus verifican constantemente que no se hagan modificaciones. Cuando se
detecta una operación de
escritura
en uno de los sectores de arranque, el programa toma
cartas en el
asunto mostrando en pantalla un mensaje para el usuario indicándole sobre qué es
lo que está por suceder. Por lo general el programa antivirus ofrece algunas
opciones sobre como proceder, evitar la modificación, dejarla continuar,
congelar el sistema o no tomar ninguna medida (cancelar).
Para que esta técnica sea efectiva cada uno de los archivos deberá poseer su
entrada correspondiente en el registro de comprobaciones. Si nuevos programas se
están instalando o estamos bajando algunos archivos desde Internet, o algún otro
archivo ingresado por cualquier otro dispositivo de entrada, después sería
razonable que registremos el checksum con el comprobador del antivirus. Incluso,
algunos de estos programas atienden con mucha atención a lo que el comprobador
de integridad determine y no dejarán que ningún archivo que no esté registrado
corra en el sistema.
Muchos virus tienen la capacidad de "parasitar" archivos ejecutables. Con
esto se afirma que el virus localizará los puntos de entrada de cualquier
archivo que sea ejecutable (los archivos de datos no se ejecutan por lo tanto
son inutilizables para los virus) y los desviará a su propio código de
ejecución. Así, el flujo de ejecución correrá primero el código del virus y
luego el del programa y, como todos los virus poseen un tamaño muy reducido para
no llamar la atención, el usuario seguramente no notará la diferencia. Este
vistazo general de cómo logra ejecutarse un virus le permitirá situarse en
memoria y empezar a ejecutar sus instrucciones dañinas. A esta forma de
comportamiento de los virus se lo conoce como técnica subrepticia, en la cual
prima el
arte de
permanecer indetectado.
Una vez que el virus se encuentra en memoria puede replicarse a sí mismo en
cualquier otro archivo ejecutable. El archivo ejecutable por excelencia que
atacan los virus es el COMMAND.COM, uno de los archivos fundamentales para el
arranque en el sistema operativo MS-DOS. Este archivo es el intérprete de
comandos del
sistema, por lo tanto, se cargará cada vez que se necesite la shell. La primera
vez será en el inicio del sistema y, durante el funcionamiento, se llamará al
COMMAND.COM cada vez que se salga de un programa y vuelva a necesitarse la
intervención de la shell. Con un usuario desatento, el virus logrará replicarse
varias veces antes de que empiecen a notarse síntomas extraños en la
computadora.
El otro "ente" ejecutable capaz de ser infectado es el sector de arranque de
los discos magnéticos. Aunque este sector no es un archivo en sí, contiene
rutinas que el sistema operativo ejecuta cada vez que arranca el sistema desde
esa unidad, resultando este un excelente medio para que el virus se propague de
una computadora a la otra. Como dijimos antes una de las claves de un virus es
lograr permanecer oculto dejando que la entidad ejecutable que fue solicitada
por el usuario corra libremente después de que él mismo se halla ejecutado.
Cuando un virus intenta replicarse a un disquete, primero deberá copiar el
sector de arranque a otra porción del disco y recién entonces copiar su código
en el lugar donde debería estar el sector de arranque.
Durante el arranque de la computadora con el disquete insertado en la
disquetera, el sistema operativo MS-DOS intentará ejecutar el código contenido
en el sector de booteo del disquete. El problema es que en esa posición se
encontrará el código del virus, que se ejecuta primero y luego apuntará el hacia
la ejecución a la nueva posición en donde se encuentran los archivos para el
arranque. El virus no levanta sospechas de su existencia más allá de que existan
o no archivos de arranque en el sector de booteo.
Nuestro virus se encuentra ahora en memoria y no tendrá problemas en
replicarse a la unidad de disco rígido cuando se intente bootear desde esta.
Hasta que su módulo de ataque se ejecute según fue programado, el virus
intentará permanecer indetectado y continuará replicándose en archivos y
sectores de booteo de otros disquetes que se vayan utilizando, aumentando
potencialmente la dispersión del virus cuando los disquetes sean llevados a
otras
máquinas.
Estos programas residentes en memoria son módulos del antivirus que se
encargan de impedir la entrada del cualquier virus y verifican constantemente
operaciones que
intenten realizar modificaciones por métodos poco frecuentes. Estos, se activan
al arrancar el ordenador y por lo general es importante que se carguen al
comienzo y antes que cualquier otro programa para darle poco tiempo de ejecución
a los virus y detectarlos antes que alteren algún dato. Según como esté
configurado el antivirus, el demonio (como se los conoce en el
ambiente
Unix)
o TSR (en la jerga MS-DOS / Windows), estará pendiente de cada operación de
copiado, pegado o cuando se abran archivos, verificará cada archivo nuevo que es
creado y todas las descargas de Internet, también hará lo mismo con las
operaciones que intenten realizar un formateo de bajo nivel en la unidad de
disco rígido y, por supuesto, protegerá los sectores de arranque de
modificaciones.
Las nuevas computadoras que aparecieron con formato ATX poseen un tipo de
memoria llamada
Flash-ROM con
una
tecnología capaz de
permitir la actualización del BIOS de la computadora por medio de software sin
la necesidad de conocimientos técnicos por parte del usuario y sin tener que
tocar en ningún momento cualquiera de los dispositivos de hardware. Esta nueva
tecnología añade otro punto a favor de los virus ya que ahora estos podrán
copiarse a esta zona de memoria dejando completamente indefensos a muchos
antivirus antiguos. Un virus programado con técnicas avanzadas y que haga uso de
esta nueva ventaja es muy probable que sea inmune al reparticionado o reformateo
de las unidades de discos magnéticos.
Para ver el gráfico seleccione la opción "Descargar" del menú superior
Es muy posible que un programa antivirus muchas veces quede descolocado
frente al ataque de virus nuevos. Para esto incluye esta opción que no consiste
en ningún método de avanzada sino simplemente en aislar el archivo infectado.
Antes que esto el antivirus reconoce el accionar de un posible virus y presenta
un cuadro de
diálogo
informándonos. Además de las opciones clásicas de eliminar el virus, aparece
ahora la opción de ponerlo en cuarentena. Este procedimiento encripta el archivo
y lo almacena en un directorio hijo del directorio donde se encuentra el
antivirus.
De esta manera se está impidiendo que ese archivo pueda volver a ser
utilizado y que continúe la dispersión del virus. Como
acciones
adicionales el antivirus nos permitirá restaurar este archivo a su posición
original como si nada hubiese pasado o nos permitirá enviarlo a un centro de
investigación
donde especialistas en el tema podrán analizarlo y determinar si se trata de un
virus nuevo, en cuyo caso su código distintivo será incluido en las definiciones
de virus. En la figura vemos el programa de cuarentena de Norton AntiVirus 2004
incluido en NortonSystemWorks Professional 2004 y que nos permite enviar los
archivos infectados a Symantec Security Response para su posterior análisis.
Los archivos de definiciones antivirus son fundamentales para que el método
de identificación sea efectivo. Los virus que alcanzaron una considerable
dispersión pueden llegar a ser analizados por los ingenieros especialistas en
virus de algunas de las compañías antivirus, que mantendrán actualizadas las
definiciones permitiendo así que las medidas de protección avancen casi al mismo
paso en que lo hacen los virus.
Un antivirus que no esté actualizado puede resultar poco útil en sistemas que
corren el riesgo de recibir ataques de virus nuevos (como organismos
gubernamentales o empresas de tecnología de punta), y están reduciendo en un
porcentaje bastante alto la posibilidad de protección. La actualización también
puede venir por dos lados: actualizar el programa completo o actualizar las
definiciones antivirus. Si contamos con un antivirus que posea técnicas de
detección avanzadas, posibilidad de análisis heurístico, protección residente en
memoria de cualquiera de las partes sensibles de una unidad de almacenamiento,
verificador de integridad, etc., estaremos bien protegidos para empezar. Una
actualización del programa sería realmente justificable en caso de que incorpore
algún nuevo método que realmente influye en la erradicación contra los virus.
Sería importante también analizar el impacto económico que conllevará para
nuestra empresa, ya que sería totalmente inútil tener el mejor antivirus y
preocuparse por actualizar sus definiciones diarias por medio de Internet si
nuestra red ni siquiera tiene acceso a la Web, tampoco acceso remoto de usuarios
y el único intercambio de información es entre empleados que trabajan con un
paquete de aplicaciones de
oficina sin
ningún contenido de macros o programación que de lugar a posibles
infecciones.
En la problemática que nos ocupa, poseer un antivirus y saber cómo utilizarlo
es la primera medida que debería tomarse. Pero no será totalmente efectiva si no
va acompañada por conductas que el usuario debe respetar.
La
educación y la información son el mejor método para protegerse.
El usuario debe saber que un
virus
informático es un programa de computadora que posee ciertas características
que lo diferencian de un programa común, y se infiltra en las computadoras de
forma furtiva y sin ninguna autorización. Como cualquier otro programa
necesitará un medio físico para transmitirse, de ninguna manera puede volar por
el
aire como un
virus biológico, por lo tanto lo que nosotros hagamos para el
transporte
de nuestra información debemos saber que resulta un excelente medio aprovechable
por los virus. Cualquier puerta que nosotros utilicemos para comunicarnos es una
posible vía de ingreso de virus, ya sea una disquetera, una lectora de
CD-ROM,
un módem con conexión a Internet, la placa que nos conecta a la red de la
empresa, los nuevos puertos ultrarrápidos (
USB y
FireWire) que nos permiten conectar dispositivos de almacenamiento externos como
unidades Zip, Jazz, HDDs, etc.
Viendo que un virus puede atacar nuestro sistema desde cualquier ángulo, no
podríamos dejar de utilizar estos dispositivos solo porque sean una vía de
entrada viral (ya que deberíamos dejar de utilizarlos a todos), cualquiera de
las
soluciones
que planteemos no será cien por ciento efectiva pero contribuirá enormemente en
la protección y estando bien informados evitaremos crear
pánico
en una situación de infección.
Una forma bastante buena de comprobar la infección en un archivo ejecutable
es mediante la verificación de integridad. Con esta técnica estaremos
seguros que
cualquier intento de modificación del código de un archivo será evitado o, en
última instancia, sabremos que fue modificado y podremos tomar alguna medida al
respecto (como eliminar el archivo y restaurarlo desde la copia de respaldo). Es
importante la frecuencia con la que se revise la integridad de los archivos.
Para un sistema grande con acceso a redes externas sería conveniente una
verificación semanal o tal vez menor por parte de cada uno de los usuarios en
sus computadoras. Un ruteador no tiene manera de determinar si un virus está
ingresando a la red de la empresa porque los paquetes individuales no son
suficiente cómo para detectar a un virus. En el caso de un archivo que se baja
de Internet, éste debería almacenarse en algún directorio de un servidor y
verificarse con la técnica de scanning, recién entonces habría que determinar si
es un archivo apto para enviar a una estación de trabajo.
La mayoría de los firewall que se venden en el
mercado
incorporan sistemas antivirus. También incluyen sistemas de monitorización de
integridad que le permiten visualizar los cambios de los archivos y sistema todo
en tiempo real. La información en tiempo real le puede ayudar a detener un virus
que está intentando infectar el sistema.
En cuanto a los virus multipartitos estaremos cubiertos si tomamos especial
cuidado del uso de los disquetes. Estos no deben dejarse jamás en la disquetera
cuando no se los está usando y menos aún durante el arranque de la máquina. Una
medida acertada es modificar la secuencia de booteo modificando el BIOS desde el
programa Setup para que se intente arrancar primero desde la unidad de disco
rígido y en su defecto desde la disquetera. Los discos de arranque del sistema
deben crearse en máquinas en las que sabemos que están libres de virus y deben
estar protegidos por la muesca de sólo
lectura.
El sistema antivirus debe ser adecuado para el sistema. Debe poder escanear
unidades de red si es que contamos con una, proveer análisis heurístico y debe
tener la capacidad de chequear la integridad de sus propios archivos como método
de defensa contra los retro-virus. Es muy importante cómo el antivirus guarda el
archivo de definiciones de virus. Debe estar protegido contra sobreescrituras,
encriptado para que no se conozca su contenido y oculto en el directorio (o en
su defecto estar fragmentado y cambiar periódicamente su nombre). Esto es para
que los virus no reconozcan con certeza cuál es el archivo de definiciones y
dejen imposibilitado al programa antivirus de identificar con quien está
tratando.
Regularmente deberemos iniciar la máquina con nuestro disquete limpio de
arranque del sistema operativo y escanear las unidades de disco rígido con unos
disquetes que contengan el programa antivirus. Si este programa es demasiado
extenso podemos correrlo desde la lectora de
CD-ROM,
siempre y cuando la hayamos configurado previamente. Este último método puede
complicar a más de una de las antiguas computadoras. Las nuevas máquinas de
factor ATX incluso nos permiten bootear desde una lectora de CD-ROM, que no
tendrán problemas en reconocer ya que la mayoría trae sus drivers en firmware.
Si no se cuenta con alguna de estas
nuevas
tecnologías simplemente podemos utilizar un disco de inicio de
Windows
98 (sistema bastante popular hoy en día) que nos da la posibilidad de
habilitar la utilización de la lectora para luego poder utilizarla con una letra
de unidad convencional.
El módulo residente en memoria del antivirus es fundamental para la
protección de virus que están intentando entrar en nuestro sistema. Debe ser
apto para nuestro tipo de sistema operativo y también debe estar correctamente
configurado. Los antivirus actuales poseen muchas opciones configurables en las
que deberá fijarse el residente. Cabe recordar que mientras más de estas
seleccionemos la performance del sistema se verá mayormente afectada. Adoptar
una política de seguridad no implica velocidad en los trabajos que
realicemos.
El usuario hogareño debe acostumbrarse a realizar copias de respaldo de su
sistema. Existen aplicaciones que nos permitirán con mucha facilidad realizar
copias de seguridad de nuestros datos (también podemos optar por hacer sencillos
archivos zipeados de nuestros datos y copiarlos en un disquete). Otras, como las
utilidades para Windows 9x de Norton permiten crear disquetes de emergencia para
arranque de MS-DOS y restauración de todos los archivos del sistema (totalmente
seleccionables). Si contamos con una unidad de discos Zip podemos extender las
posibilidades y lograr que todo el sistema Windows se restaure después de algún
problema.
Estos discos Zip son igualmente útiles para las empresas, aunque quizás estas
prefieran optar por una regrabadora de CD-R’s, que ofrece mayor capacidad de
almacenamiento, velocidad de grabación, confiabilidad y los discos podrán ser
leídos en cualquier lectora de CD-ROM actual.
Una persona responsable de la seguridad informática de la empresa debería
documentar un
plan de
contingencia en el que se explique en pasos perfectamente entendibles para el
usuario cómo debería actuar ante un problema de estos. Las
normas que
allí figuren pueden apuntar a mantener la operatividad del sistema y, en caso de
que el problema pase a mayores, debería privilegiarse la recuperación de la
información por un experto en el tema.
No se deberían instalar programas que no sean originales o que no cuenten con
su correspondiente licencia de uso.
En el sistema de red de la empresa podría resultar adecuado quitar las
disqueteras
de las computadoras de los usuarios. Así se estaría removiendo una importante
fuente de ingreso de virus. Los archivos con los que trabajen los empleados
podrían entrar, por ejemplo, vía correo electrónico, indicándole a nuestro
proveedor de correo electrónico que verifique todos los archivos en busca de
virus mientras aún se encuentran en su servidor y los elimine si fuera
necesario.
Los programas freeware, shareware, trial, o de cualquier otro tipo de
distribución
que sean bajados de Internet deberán ser escaneados antes de su ejecución. La
descarga deberá ser sólo de sitios en los que se confía. La autorización de
instalación de programas deberá determinarse por el
administrador
siempre y cuando este quiera mantener un sistema libre de "entes extraños" sobre
los que no tiene control. Es una medida adecuada para sistemas grandes en donde
los administradores ni siquiera conocen la cara de los usuarios.
Cualquier programa de fuente desconocida que el usuario quiera instalar debe
ser correctamente revisado. Si un grupo de usuarios trabaja con una
utilidad que
no está instalada en la oficina, el administrador deberá determinar si instala
esa aplicación en el servidor y les da acceso a ese grupo de usuarios, siempre y
cuando el programa no signifique un riesgo para la seguridad del sistema. Nunca
debería priorizarse lo que el usuario quiere frente a lo que el sistema necesita
para mantenerse seguro.
Ningún usuario no autorizado debería acercarse a las estaciones de trabajo.
Esto puede significar que el intruso porte un disquete infectado que deje en
cualquiera de las disqueteras de un usuario descuidado. Todas las computadoras
deben tener el par ID de usuario y contraseña.
Nunca dejar disquetes en la disquetera durante el encendido de la
computadora. Tampoco utilizar disquetes de
fuentes
no confiables o los que no haya creado uno mismo. Cada disquete que se vaya a
utilizar debe pasar primero por un detector de virus.
Si el disquete no lo usaremos para grabar información, sino más que para
leer, deberíamos protegerlo contra escritura activando la muesca de protección.
La protección de escritura estará activada cuando al intentar ver el disco a
tras luz veamos dos pequeños orificios cuadrados en la parte inferior
.
Los usuarios pueden prepararse frente a una infección viral creando
regularmente copias de seguridad del software original legítimo y de los
ficheros de datos, para poder recuperar el sistema informático en caso
necesario. Puede copiarse en un disco flexible el software del sistema operativo
y proteger el disco contra escritura, para que ningún virus pueda sobrescribir
el disco. Las infecciones virales se pueden prevenir obteniendo los programas de
fuentes legítimas, empleando una computadora en cuarentena para probar los
nuevos programas y protegiendo contra escritura los discos flexibles siempre que
sea posible.
Para detectar la presencia de un virus se pueden emplear varios tipos de
programas antivíricos. Los programas de rastreo pueden reconocer las
características del código informático de un virus y buscar estas
características en los ficheros del ordenador. Como los nuevos virus tienen que
ser analizados cuando aparecen, los programas de rastreo deben ser actualizados
periódicamente para resultar eficaces. Algunos programas de rastreo buscan
características habituales de los programas virales; suelen ser menos
fiables.
Los únicos programas que detectan todos los virus son los de comprobación de
suma, que emplean cálculos
matemáticos
para comparar
el
estado de los programas ejecutables antes y después de ejecutarse. Si la
suma de comprobación no cambia, el sistema no está infectado. Los programas de
comprobación de suma, sin embargo, sólo pueden detectar una infección después de
que se produzca.
Los programas de vigilancia detectan actividades potencialmente nocivas, como
la sobre escritura de ficheros informáticos o el formateo del disco duro de la
computadora. Los programas caparazones de integridad establecen capas por las
que debe pasar cualquier orden de ejecución de un programa. Dentro del caparazón
de integridad se efectúa automáticamente una comprobación de suma, y si se
detectan programas infectados no se permite que se ejecuten.
Una vez detectada una infección viral, ésta puede contenerse aislando
inmediatamente los ordenadores de la red, deteniendo el intercambio de ficheros
y empleando sólo discos protegidos contra escritura. Para que un sistema
informático se recupere de una infección viral, primero hay que eliminar el
virus. Algunos programas antivirus intentan eliminar los virus detectados, pero
a veces los resultados no son satisfactorios. Se obtienen resultados más fiables
desconectando la computadora infectada, arrancándola de nuevo desde un disco
flexible protegido contra escritura, borrando los ficheros infectados y
sustituyéndolos por copias de seguridad de ficheros legítimos y borrando los
virus que pueda haber en el sector de arranque inicial.
Nadie que usa computadoras es inmune a los virus de
computación. Un
programa antivirus por muy bueno que sea se vuelve obsoleto muy rápidamente ante
los nuevos virus que aparecen día a día.
Algunas medidas antivirus son:
Desactivar arranque desde disquete en el CETUR para que no se ejecuten virus
de boot.
-
Analizar con el antivirus todo archivo recibido por e-mail antes de abrirlo.
Actualizar el antivirus.
Activar la protección contra macro virus del
Word y
el
Excel.
Ser cuidadoso al bajar archivos de Internet (Analice si vale el riesgo y si
el sitio es seguro)
No envíe su información
personal ni
financiera a menos que sepa quien se la solicita y que sea necesaria para la
transacción.
No comparta discos con otros usuarios.
No entregue a nadie sus claves, incluso si lo llaman del servicio de
Internet u otros.
Enseñe a sus
niños
las prácticas de seguridad, sobre todo la entrega de información.
Cuando realice una transacción asegúrese de utilizar una conexión bajo SSL
Proteja contra escritura el archivo Normal.dot
Distribuya archivos RTF en vez de documentos.
Realice backups
La forma más segura, eficiente y efectiva de evitar virus, consiste en
elaborar un protocolo de seguridad para sus computadoras. Un protocolo de
seguridad consiste en una serie de pasos que el usuario debe seguir con el fin
de crear un hábito al operar normalmente con programas y archivos en sus
computadoras. Un buen protocolo es aquel que le inculca buenos hábitos de
conducta
y le permite operar con seguridad su computadora aún cuando momentáneamente esté
desactivado o desactualizado su antivirus.
Un protocolo de seguridad antivirus debe cumplir ciertos requisitos para que
pueda ser cumplido por el operador en primer término, y efectivo en segundo
lugar. Demás está decir que el protocolo puede ser muy efectivo pero sí es
complicado, no será puesto en funcionamiento nunca por el operador. Este es un
protocolo sencillo, que ayuda a mantener nuestra computadora libre de virus. No
se incluyen medidas de protección en caso de un sistema de red, ya que se
deberían cumplir otros requisitos que no son contemplados aquí:
Instalar el antivirus y asegurar cada 15 días su actualización.
Chequear los CD’s ingresados en nuestra computadora sólo una vez, al
comprarlos o adquirirlos y diferenciarlos de los no analizados con un marcador
para certificar el chequeo. Esto sólo es válido en el caso de que nuestros CD’s
no sean procesados en otras computadora (préstamos a los amigos) y sean
regrabables. En caso de que sean regrabables y los prestemos, deberemos
revisarlos cada vez que regresen a nosotros.
Formatear todo disquete virgen que compremos, sin importar si son
formateados de fábrica, ya que pueden "colarse" virus aún desde el proceso del
fabricante. El formateo debe ser del tipo Formateo del DOS, no formateo rápido.
Chequear todo disquete que provenga del exterior, es decir que no haya
estado
bajo nuestro control, o que haya sido ingresado en la disquetera de otra
computadora. Si ingresamos nuestros disquetes en otras computadoras, asegurarnos
de que estén protegidos contra escritura.
Si nos entregan un disquete y nos dicen que está revisado, no confiar nunca
en los
procedimientos
de otras personas que no seamos nosotros mismos. Nunca sabemos si esa persona
sabe operar correctamente su antivirus. Puede haber chequeado sólo un tipo de
virus y dejar otros sin controlar durante su escaneo, o puede tener un módulo
residente que es menos efectivo que nuestro antivirus, o puede tener un
antivirus viejo.
Para bajar páginas de Internet, archivos, ejecutables, etc., definir siempre
en nuestra computadora una carpeta o directorio para recibir el material. De
este modo sabemos que todo lo que bajemos de Internet siempre estará en una sola
carpeta.
Nunca ejecutar o abrir antes del escaneo ningún fichero o programa que esté
en esa carpeta.
Nunca abrir un atachado a un e-mail sin antes chequearlo con nuestro
antivirus. Si el atachado es de un desconocido que no nos avisó previamente del
envío del material, directamente borrarlo sin abrir.
Al actualizar el antivirus, chequear nuestra computadora completamente. En
caso de detectar un virus, proceder a chequear todos nuestros soportes
(disquetes, CD’s, ZIP’s, etc.)
Si por nuestras actividades generamos grandes
bibliotecas
de disquetes conteniendo información, al guardar los disquetes en la
biblioteca,
chequearlos por última vez, protegerlos contra escritura y fecharlos para saber
cuándo fue el último escaneo.
Haga el backup
periódico de
sus archivos. Una vez cada 15 días es lo mínimo recomendable para un usuario
doméstico. Si usa con fines profesionales su computadora, debe hacer backup
parcial de archivos cada 48 horas como mínimo.
Llamamos backup parcial de archivos a la copia en disquete de los documentos
que graba, un documento de Word, por ejemplo. Al terminarlo, grábelo en su
carpeta de archivos y cópielo a un disquete. Esa es una manera natural de hacer
backup constantes. Si no hace eso, tendrá que hacer backups totales del disco
rígido cada semana o cada 15 días, y eso sí realmente es un fastidio.
Este es el punto más conflictivo y que se debe mencionar a consecuencia de la
proliferación de virus de e-mails. A pesar de las dificultades que puede
significar aprender a usar nuevos programas, lo aconsejable es evitar el uso de
programas de correo electrónico que operen con lenguajes de macros o programados
con
Visual
Basic For Applications. Del mismo modo, considere el uso de
navegadores
alternativos, aunque esta apreciación no es tan contundente como con los
programas de correo electrónico.
Si bien puede parecer algo complicado al principio, un protocolo de este tipo
se hace natural cuando el usuario se acostumbra. El primer problema grave de los
virus es el desconocimiento de su acción y alcances. Si el protocolo le parece
complicado e impracticable, comprenda que al igual que una herramienta, la
computadora puede manejarse sin el manual de instrucciones y sin
protocolos,
pero la mejor manera de aprovechar una herramienta es leer el manual (protocolo)
y aprovechar todas las características que ella le ofrece. Si usted no sigue un
protocolo de seguridad siempre estará a merced de los virus.
Un virus es un programa pensado para poder reproducirse y replicarse por sí
mismo, introduciéndose en otros programas ejecutables o en zonas reservadas del
disco o la memoria. Sus efectos pueden no ser nocivos, pero en muchos casos
hacen un daño importante en el ordenador donde actúan. Pueden permanecer
inactivos sin causar daños tales como el formateo de los discos, la destrucción
de ficheros, etc. Como vimos a lo largo del trabajo los virus informáticos no
son un simple riesgo de seguridad. Existen miles de programadores en el mundo
que se dedican a esta actividad con motivaciones propias y diversas e infunden
millones de dólares al año en
gastos de
seguridad para las empresas. El verdadero peligro de los virus es su forma de
ataque indiscriminado contra cualquier sistema informático, cosa que resulta
realmente
crítica
en entornos dónde máquinas y humanos interactúan directamente.
Es muy difícil prever la propagación de los virus y que máquina intentarán
infectar, de ahí la importancia de saber cómo funcionan típicamente y tener en
cuenta los métodos de protección adecuados para evitarlos.
A medida que las tecnologías evolucionan van apareciendo nuevos estándares y
acuerdos entre compañías que pretenden compatibilizar los distintos productos en
el mercado. Como ejemplo podemos nombrar la incorporación de Visual Basic para
Aplicaciones en el paquete Office y en muchos otros nuevos programas de empresas
como
AutoCAD,
Corel, Adobe. Con el tiempo esto permitirá que con algunas modificaciones de
código un virus pueda servir para cualquiera de los demás programas,
incrementando aún más los potenciales focos de infección.
La mejor forma de controlar una infección es mediante la
educación previa de
los usuarios del sistema. Es importante saber qué hacer en el momento justo para
frenar un avance que podría extenderse a mayores. Como toda otra instancia de
educación será necesario mantenerse actualizado e informado de los últimos
avances en el tema, leyendo
noticias,
suscribiéndose a foros de discusión, leyendo páginas Web especializadas,
etc.
