El único sistema verdaderamente seguro es aquél que está apagado, encerrado en un bloque de hormigón, y sellado en una habitación con guardias armados. E incluso así, tengo mis dudas.

~ Gene Spafford

Creo que los virus informáticos deberían considerarse seres vivos. Quizás diga algo acerca de nuestra naturaleza el hecho de que la única forma de vida que hayamos creado hasta ahora sea puramente destructiva.

~ Stephen Hawking

Los mejores antivirus

G DATA AntiVirus

• Falsos positivos: pocos
• Velocidad de escaneo: media
• Malware detectado: 99,6%

AVIRA AntiVir Premium

• Falsos positivos: pocos
• Velocidad de escaneo: rápida
• Malware detectado: 99,3%

TrustPort AV

• Falsos positivos: pocos
• Velocidad de escaneo: lenta
• Malware detectado: 99,1%

SpywareDoctor+AV

• Falsos positivos: pocos
• Velocidad de escaneo: media
• Malware detectado: 98,7%

Norton AntiVirus

• Falsos positivos: pocos
• Velocidad de escaneo: rápida
• Malware detectado: 98,6%

NOD32 Antivirus

• Falsos positivos: muy pocos
• Velocidad de escaneo: media
• Malware detectado: 97,7%

F-Secure AntiVirus

• Falsos positivos: muy pocos
• Velocidad de escaneo: lenta
• Malware detectado: 97,7%

BitDefender AV

• Falsos positivos: muy pocos
• Velocidad de escaneo: lenta
• Malware detectado: 97,5%

eScan AntiVirus

• Falsos positivos: muy pocos
• Velocidad de escaneo: lenta
• Malware detectado: 97,5%

avast! Free Antivirus

• Falsos positivos: pocos
• Velocidad de escaneo: rápida
• Malware detectado: 97,3%

Kaspersky AV

• Falsos positivos: pocos
• Velocidad de escaneo: media
• Malware detectado: 97,1%

Buenos antivirus

Panda Antivirus Pro

• Falsos positivos: muchos
• Velocidad de escaneo: rápida
• Malware detectado: 99,2%

McAfee AntiVirus+

• Falsos positivos: muchos
• Velocidad de escaneo: lenta
• Malware detectado: 98,9%

Microsoft Security Essentials

• Falsos positivos: muy pocos
• Velocidad de escaneo: lenta
• Malware detectado: 96,3%

AVG AntiVirus

• Falsos positivos: pocos
• Velocidad de escaneo: media
• Malware detectado: 94,2%

Sophos AntiVirus

• Falsos positivos: pocos
• Velocidad de escaneo: rápida
• Malware detectado: 93,7%

Antivirus en la media

K7 TotalSecurity

• Falsos positivos: muchísimos
• Velocidad de escaneo: media
• Malware detectado: 96,4%

Antivirus por debajo de la media

Norman AV+AS

• Falsos positivos: muchos
• Velocidad de escaneo: lenta
• Malware detectado: 92,7%

Trend Micro AV+AS

• Falsos positivos: muchos
• Velocidad de escaneo: media
• Malware detectado: 90,7%

Kingsoft AntiVirus

• Falsos positivos: muchos
• Velocidad de escaneo: media
• Malware detectado: 81,8%

El término virus se utiliza en informática para referirse a un software dañino que es capaz de auto ejecutarse y replicarse. Por otro lado tenemos a los gusanos, que muchos engloban en la categoría de virus, y que se diferencian de estos en que no necesitan de la intervención del usuario para propagarse, sino que utilizan medios como el P2P, la mensajería instantánea o el correo electrónico, por ejemplo, enviando correos a todos los contactos de la libreta de direcciones de la víctima. Actualmente, gracias a Internet, los gusanos son el tipos de malware más común, y el más virulento.

Core War

Core War no fue un virus en sí mismo, sino un juego que se puede considerar como uno de los primeros precursores de lo que hoy en día conocemos como virus informáticos.

Creado en los años 60 por los desarrolladores de Bell Computer, a modo de pasatiempo, el juego consistía en programar una aplicación en un lenguaje de bajo nivel, llamado Red Code, que competía con otras aplicaciones por el control de la memoria de la máquina.

Core War estuvo inspirado en el artículo “Teoría y organización de autómatas complejos”, de 1949, en el que John von Neumann expresaba por primera vez la idea de crear programas capaces de auto replicarse.

Creeper

Creeper (enredadera) es el nombre que se le dio al primer virus del que se tiene constancia, escrito en 1971 por Bob Thomas, mucho antes de que Fred Cohen acuñara el término para designar a esta clase de programas en 1983.

Escrito para el sistema operativo Tenex, Creeper se propagaba a través de los nodos de la ARPANET mostrando el mensaje “I’m the creeper, catch me if you can!” (Soy la enredadera, ¡atrápame si puedes!) en las máquinas infectadas.

Poco después, algún buen samaritano anónimo creó Reaper (segadora), otro virus que se propagaba a través de la red eliminando Creeper de las máquinas infectadas. Podemos considerar a Reaper, por tanto, como el primer “antivirus” de la historia.

Brain

Con el virus para MS-DOS “Brain”, de 1986, los virus se volvieron algo más sofisticados. Este virus, que está considerado como el primer virus para IBM PC compatible de la historia, y que infectaba el sector de arranque de los discos, intentaba ocultar su presencia interceptando todas las llamadas de sistema que se utilizaban para detectar los virus, haciendo que devolvieran valores que sugerían que el sistema no había sido infectado.

Después de esta pequeña retrospectiva, demos ahora un salto de 13 años para comenzar con la historia moderna de los virus.

Melissa

En Mazo de 1999 el virus “Melissa” logró establecer un nuevo récord infectando más de 100.000 máquinas en sólo 3 días, y causando una cantidad inimaginable de tráfico en la red mientras se propagaba.

Melissa era un virus de tipo macro, es decir, un virus cuyo código fuente se encuentra en la macro de un documento, como pueden ser los doc de Microsoft Word o los xls de Microsoft Excel. En concreto, en el caso de Melissa, la macro se encontraba dentro de un documento de Word que prometía contener contraseñas para decenas de sitios eróticos de pago, documento que comenzó a distribuirse a través del grupo de noticias alt.sex y que se propagaba reenviándose a los 50 primeros contactos de la agenda de direcciones del infectado. Además, también infectaba la plantilla de documento por defecto de Word, normal.dot, de forma que cualquier archivo creado utilizando esta plantilla contenía también la macro con el código del virus.

I love you

¿Qué harías si recibieras un correo de una persona conocida con un título tan llamativo como “Te amo”? Probablemente te faltaría tiempo para abrirlo. De este conocimiento se aprovechó en su día ILOVEYOU, un sencillo gusano escrito en VBScript que causó estragos en Mayo de 2000.

La forma de funcionar de este gusano era bastante simple y nada sofisticada, aunque hacía un uso muy ingenioso de la ingeniería social. El usuario recibía un correo que parecía proceder de un conocido y que llevaba por título ILOVEYOU (Te quiero), junto con un archivo adjunto en forma de script vbs (LOVE-LETTER-FOR-YOU.TXT.vbs) y un mensaje que pedía al usuario que leyera su carta de amor adjunta. Al ejecutar el script, el gusano se propagaba reenviándose a todos los contactos de la libreta de direcciones del usuario, haciéndose pasar por este.

Además el gusano instalaba un troyano y destruía todos los archivos de extensión doc, vbs, vbe, js, jse, css, wsh, sct, hta, jpg y jpeg en los ordenadores infectados, sustituyendolos por una copia del script. También ocultaba los archivos mp3 y mp2 (qué considerado por no borrar la música…)

En poco más de una semana este gusano, que llegó a afectar al Pentágono, la CIA y el parlamento británico, consiguió infectar 50 millones de máquinas, provocando unas pérdidas estimadas en 5.500 millones de dólares.

El autor, un filipino de nick “spyder” quedó impune, al no disponer Filipinas de leyes que legislaran los delitos informáticos en ese momento.

Nimda

En Septiembre de 2001 el gusano “Nimda” (admin leído al revés) llevó al gran público a cotas de paranoia nunca alcanzadas anteriormente por un virus informático. A esto contribuyó, a parte de su caracter especialmente virulento, el absurdo rumor de que podía tratarse de un ataque de Al Qaeda.

Nimda logró convertirse en el gusano más propagado de la red en minutos, e infectar casi medio millón de máquinas sólo durante las primeras 12 horas. Esto fue debido a los 5 métodos de infección que utilizaba:

• Enviaba un archivo readme.exe a los correos electrónicos de la libreta de direcciones del usuario, y a todas las direcciones de correo encontradas en la caché del navegador.
• Valiéndose de una vulnerabilidad de desbordamiento de búfer, infectaba servidores web que utilizaran Microsoft IIS
• Utilizaba los recursos compartidos de la red en la que se encontrara la máquina infectada
• También se aprovechaba de puertas traseras creadas por la infección de los gusanos Code Red II y Sadmind.
• Y, por último, y más importante, modificaba los archivos html, htm y asp de los servidores web que encontraba, añadiendo un código JavaScript que intentaba descargar y ejecutar el virus en la máquina del cliente

Blaster

El gusano Blaster, también conocido como Lovsan, hizo las delicias de los servicios técnicos de informática en 2003, cuando cientos de miles de personas se encontraron con que su PC se apagaba sólo a los pocos instantes de arrancarlo.

Blaster se aprovechaba de una vulnerabilidad en el servicio de DCOM RPC de Windows, y estaba pensado para lanzar un ataque DDoS contra la web de Windows Update en una fecha determinada, aunque no logró los efectos esperados debido a errores de programación.

Días después del lanzamiento de Blaster, se detectó otro gusano, de nombre Welchia, con intenciones aparentemente benévolas, y que utilizaba la misma vulnerabilidad para propagarse, eliminar Blaster, e instalar las actualizaciones necesarias para impedir de nuevo la infección.

Sober

Un par de meses después de que apareciera Blaster la red tuvo que hacer frente a una amenaza mucho más peligrosa y molesta: el gusano Sober y sus decenas de variantes, algunas de las cuáles llegaron hasta 2005. Las peores variantes de este gusano estaban pensadas para desactivar el firewall y antivirus del usuario, recolectar direcciones de correo electrónico para enviar spam, y utilizar las máquinas infectadas en redes de bots.

Sasser

Sasser (2004), como Blaster, se aprovechaba de una vulnerabilidad de Windows para propagarse, concretamente en el servicio LSASS (Subsistema de autoridad de seguridad local), del que toma su nombre. También como Blaster, y debido a que el gusano provocaba un desbordamiento de búfer en el ejecutable de LSASS, el sistema se apagaba al poco de tiempo de iniciarse.

Sasser infectó los sistemas de hospitales, universidades, bancos, compañías aéreas, agencias de noticias, … lo que hizo que se cancelaran vuelos, se cerraran empresas durante días, y se tuviera que trasladar enfermos de un hospital a otro.

Conficker

Conficker, detectado por primera vez hace justo un año (Noviembre de 2008), y cuyas últimas variantes aún se encuentran entre nosotros, es el último gran malware al que los usuarios tuvimos que soportar. Como Nimda, también se hizo con una enorme red de bots gracias a los distintos medios de propagación que utilizaba: se aprovechaba de una vulnerabilidad de desbordamiento de búfer del servicio Server de Windows, infectaba los dispositivos extraibles, como los pendrives, e infectaba equipos con recursos compartidos no protegidos, o con contraseñas poco seguras.

Además este gusano era especialmente difícil de erradicar, ya que desactivaba las actualizaciones automáticas de Windows y las actualizaciones de los antivirus instalados, impedía el acceso a las páginas web de los fabricantes de antivirus y eliminaba los puntos de restauración del sistema.

Este gusano, también conocido por los nombres Kido, Downup y Downadup, utiliza la red para replicarse, además del autoarranque de los dispositivos USB, y cuenta entre sus víctimas más destacadas con la red completa del parlamento británico.

Algunos síntomas de que Conficker se encuentra en el sistema son las acciones que el gusano lleva a cabo para protegerse, como bloquear algunos servicios antivirus, así como las actualizaciones automáticas de Windows y las páginas web de los fabricantes de antivirus.

Como medidas de protección os aconsejo instalar un antivirus, como Avira, actualizar el sistema, desactivar el autorun e impedir que se creen archivos de autorun en los dispositivos USB. Para comprobar si algún ordenador de vuestra red está infectado con Conficker podéis utilizar, por ejemplo, Simple Conficker Scanner.

La mayoría ya habréis sufrido estos virus USB en vuestras propias carnes: tu compañero de trabajo te pasa su pendrive para que copies los diagramas que necesitas para la presentación del jueves, y, de repente, al conectar el dispositivo al puerto USB, saltan las alertas de tu antivirus (si tienes suerte, y tenías un antivirus instalado).

Estos virus USB utilizan un archivo especial de Windows llamado autorun.inf que permite ejecutar un determinado programa al conectar un dispositivo USB o al introducir un CD o un DVD. Basta entonces conectar el dispositivo USB para que se lance el programa que copiará el virus en nuestro PC.

Para prevenir estos virus USB Panda ha desarrollado USB Vaccine, una herramienta antivirus USB gratuita que permite evitar que se ejecute el autorun de los dispositivos que se conecten e impedir que se creen archivos autorun.inf en nuestros dispositivos USB.

Pero esto no es más que una opinión personal. Para comprobar cuál es el mejor antivirus y qué antivirus debería instalar la próxima vez, he echado un vistazo al ranking de AV Comparatives: el mejor antivirus.

Primero veamos cómo se comportaron los antivirus frente a una batería de virus, troyanos, gusanos y malware en general según los números de AV Comparatives.

1. Avira 99,2%
2. GData 99,1%
3. Symantec 97,9%
4. McAfee Enterprise 97,8%
5. Avast 97,3%
6. TrustPort 97,2%
7. Kaspersky 95,1%
8. AVG 94,3%
9. ESET 93%
10. BitDefender 92,4%
11. F-Secure 91,1%
12. eScan 91%
13. Sophos 90,1%
14. Norman 88,5%
15. Microsoft 84,6%
16. McAfee Home 84,4%
17. VBA32 71,9%

Por supuesto, este es uno de los puntos más importantes para determinar cuál es el mejor antivirus, por lo que tras ver esta lista vemos que Avira, GData, Symantec o McAfee Enterprise son antivirus muy a tener en cuenta.

Veamos ahora la lista de falsos positivos, es decir, el número de veces que los distintos antivirus identificaron erróneamente un determinado software limpio como virus. Estos valores son para el nivel de seguridad más alto.

1. McAfee, Microsoft 1
2. ESET 7
3. F-Secure 11
4. Symantec 12
5. eScan 14
6. Avira 17
7. Norman 19
8. AVG 21
9. BitDefender 27
10. Kaspersky 28
11. TrustPort 30
12. VBA32 46
13. Avast 47
14. Gdata 62
15. Sophos 117

Vemos que el nivel de protección más restringido de Sophos es ridículamente paranoico. Sin embargo, a diferencia del resto de antivirus, para los que el número de falsos positivos no difiere significativamente al bajar al nivel predeterminado, en Sophos el número de falsos positivos cae por debajo de los 20. Avira, Symantec y McAfee Enterprise se llevan las mejores notas al tener en cuenta ambos rankings.

Por último veamos la clasificación por velocidad de escaneo, en MB por segundo.

1. Symantec 22,2
2. Sophos 17,1
3. AVG 16,5
4. ESET 15,2
5. McAfee 14,7
6. Avira 14,7
7. Kaspersky 13,9
8. Norman 11,4
9. Bitdefender 11,1
10. Gdata 10,8
11. Avast 9,8
12. Microsoft 8,8
13. F-Secure 7,6
14. TrusPort 4,7
15. eScan 4,4
16. VBA32 2,9

Los números de Symantec son impresionantes. También los de Avira, que, aunque queda por detrás de Symantec en las pruebas de velocidad y falsos positivos, se hace con el primer puesto en la prueba más importante de todas: el tanto por ciento de virus detectados.

La versión Premium de Avira, el mejor antivirus en estos momentos según los números de AV Comparatives, cuesta sólo 39,95 €, pero también ofrecen con una versión personal (que carece de los módulos AntiSpyware, AntiAdware, AntiPhising, MailGuard y WebGuard) totalmente gratis. ¿Y para vosotros? ¿cuál es el mejor antivirus?

El interés de este dato no deja de ser puramente histórico y no indica nada sobre la seguridad del próximo sistema teniendo en cuenta que no se trata más que de una beta cuyo propósito es precisamente encontrar fallos y corregirlos pero no deja de ser curioso.

¿Alguien en la sala ha probado ya Windows Vista? ¿Impresiones?