Suites contra el malware: mantén tu PC saludable

Si te preocupan los diversos peligros que pueden acechar a tu sistema, sigue leyendo porque en este artículo nos ocupamos de revisar ocho suites que resultarán ideales para que puedas mantener a raya estos problemas con tu PC

Suites contra el malware: mantén tu PC saludable

10 febrero 2009

Fieles a nuestra cita con la seguridad, hemos elaborado esta comparativa en la que enfrentamos ocho de las soluciones más importantes que existen actualmente. El uso masivo que se realiza hoy de Internet y de todos los servicios que dependen de ella (correo electrónico, programas de mensajería, compras a través de la Red, etc.) hace que el riesgo de contagio de nuestro equipo se incremente exponencialmente.

Asimismo, los virus y su motivación han cambiado. Hace unos cuantos años, los códigos maliciosos que se paseaban por nuestros equipos eran bastante conocidos y sus autores, en muchos casos, únicamente buscaban un reconocimiento ante el gran público.

Ahora todo esto ha variado notablemente y, según estadísticas de la propia McAfee, un nuevo malware es introducido cada 30 segundos. Igualmente, el principal motivo que mueve a la gente que se dedica a crearlos es, en el 80% de los casos, el económico. Técnicas como phishing, pharming o keylogging buscan apoderarse de los datos privados de un usuario, como su número de tarjeta o contraseña, en beneficio propio.

Es por ello que hoy en día las suites de seguridad son cada vez más completas e intentan cubrir la mayor parte de las vías de contagio existentes. Aun así, hay que ser conscientes de que el cibercrimen sigue reinventándose a sí mismo y las barreras que impone cualquier antivirus pueden ser vulneradas en cualquier momento.

Mayor eficiencia

Uno de los principales problemas inherentes a la instalación de un antivirus había sido siempre el gran impacto que éste causaba sobre el sistema debido al uso masivo que solía hacer de recursos tales como la CPU o la memoria. Es por ello que la mayor parte de los usuarios alegaban este problema como uno de los principales a la hora de pensarse en instalar o no una solución de este tipo.

Con la llegada de Vista, la necesidad por limitar este uso masivo se ha impuesto entre los desarrolladores y, de acuerdo con las pruebas que hemos realizado en nuestro Laboratorio, parece que se ha conseguido a nivel general. Es por esto que este año hemos puesto especial énfasis en comprobar este hecho y en otorgarle un peso considerable en los resultados.

Nuestro banco de pruebas

Pero pasemos a detallar qué es lo que hemos utilizado en nuestro Laboratorio para probar las suites de seguridad. Este año nos hemos impuesto como objetivo remozar completamente el banco de pruebas y realizar un exhaustivo seguimiento del comportamiento de cada solución.

Somos conscientes de que la única manera de probar un antivirus es enfrentándolo al mundo real. Es por esto que no hemos vuelto a utilizar la extensa colección de virus de otros años en la que coexisten muchas muestras que hace tiempo que dejaron de estar «en circulación».

Por el contrario, hemos preferido centrar nuestros esfuerzos en evaluar el comportamiento de cada solución en diferentes ámbitos. A pesar de ser conscientes de que actualmente, la mayor parte de los antivirus son capaces de detectar la gran mayoría del malware relativamente reciente, hemos dedicado un apartado para el estudio de su comportamiento en distintos escenarios.

Para empezar, estuvimos investigando a través de VirusTotal (www.virustotal.com) cuáles eran los threats más populares en el momento en el que comenzamos a elaborar la comparativa. De ellos, elegimos cinco: Generic.dx, Win32:Trojan-gen (Other), Downloader-ASH.gen, W32/Virut.gen y EICAR AV Test File. Este último en realidad no es un virus, sino un fichero de prueba diseñado para saber si un antivirus está correctamente activado.

Con esta lista, acudimos a Malware Domain List (www.malwaredomainlist.com), una página donde se reportan diariamente gran cantidad de sitios web maliciosos y en la que se especifica el tipo de ataque que podremos encontrar en ellos, y nos pusimos a buscar cinco especímenes de los virus enumerados arriba.

Con ello, conseguimos dos cosas: una, obtener la dirección de descarga exacta de cada fichero infectado, ideal para comprobar en tiempo real la capacidad de detección de un antivirus en el proceso de descarga; y dos, ficheros infectados en nuestro disco duro necesarios para probar la eficacia de las soluciones en un análisis bajo demanda. Desde esta misma página, obtuvimos cinco direcciones con exploits incorporados y determinamos la defensa de las suites con respecto a este tipo de ataques.

Para evaluar las medidas tomadas contra la ejecución de código malicioso, comprobamos, con el antivirus activado, cómo se comportaba al hacer doble clic sobre cada fichero infectados. Por último, procedimos a desactivarlo, infectar el equipo con dos de los threats presentes y realizar un análisis completo del sistema para ver su eficacia de limpieza y detección.

Otro de los problemas con los que un antivirus debe lidiar es el del phishing. IE7 y Firefox detectan este tipo de sitios de acuerdo a una serie de listas negras que consultan cada vez que escribimos una dirección en el navegador. Sin embargo, no está de más que la suite sea capaz de bloquear estos sitios. Para ello, recurrimos a cinco páginas fraudulentas obtenidas desde PhisTank (www.phistank.com) y observamos su comportamiento.

Para probar los filtros antispam, contamos con una cuenta de correo que albergaba 30 mensajes, 25 de ellos de spam y de phishing muy recientes y otros 5 que usamos de señuelo para observar si eran tratados como falsos positivos. Los filtros no fueron entrenados anteriormente para poder discernir cuál de todos ellos era el más eficiente de fábrica.

Los tres apartados siguientes fueron elaborados para medir el impacto que tenía la instalación de cada suite de seguridad sobre el uso de los recursos, el sistema y la navegación a través de Internet. Dentro del primero de ellos, procedimos a ejecutar 3DMark Vantage (solo las pruebas concernientes a la CPU) concurrentemente con un análisis exhaustivo del sistema.

De esta forma, pretendíamos estimar, mediante una puntuación objetiva, el consumo de CPU de cada una de las soluciones. No obstante, también es justo decir que algunos productos realizan un análisis más profundo de los ficheros que otros y por tanto, en teoría, podrían utilizar menos recursos. Para ello, combinamos estos resultados con los obtenidos en el proceso de detección y adjuntamos otras medidas relacionadas tanto con la memoria como con el uso del procesador en reposo y en análisis.

Gracias a Process Explorer fuimos capaces de establecer el tiempo que el sistema tarda en estabilizarse, definiendo este tiempo como el necesario para que el sistema operativo lance todos sus procesos y el procesador cese de generar picos en un determinado intervalo de tiempo establecido.

Otras dos pruebas que llevamos a cabo para observar el impacto en el sistema fueron las de copia de una carpeta llena de ficheros desde un disco duro externo a disco local y un proceso de compresión en ZIP. Aquí, curiosamente, es donde observamos grandes diferencias entre unas soluciones y otras como podéis ver en las tablas que riegan este artículo.

Finalmente, recurrimos a HTTPWatch para cronometrar los tiempos de descarga de tres páginas web de referencia, así como de un fichero de 37,2 Mbytes.

Suites analizadas

* Total Security 2009 (Family P.)

* F-Secure Internet Security 2009

* G DATA Total Care 2009

* Kaspersky Internet Security 2009

* McAfee Total Protection 2009

* Panda Global Protection 2009

* Norton Internet Security 2009

* Trend Micro IS Pro 2009

La opinión de PC Actual: mayor protección y menor consumo

En cada una de las soluciones analizadas hemos encontrado implementadas multitud de políticas de protección diferentes. No podemos asegurar que una sea mejor que otra porque, al final, todas consiguen un buen nivel de seguridad.

Sin embargo, si tuviésemos que destacar el producto que, según las pruebas realizadas, mejor se ha comportado protegiendo la mayor parte de las vías de contagio, ese sería Trend Micro Internet Security Pro 2009. G Data Total Care 2009 sacrifica una mayor exhaustividad en los análisis bajo demanda en aras de aumentar la velocidad, protegiendo al usuario en la descarga de código malicioso de Internet o durante el intento de ejecución del mismo.

Asimismo, nos ha llamado la atención la metodología de Symantec Norton Internet Security 2009, que permite casi sin restricciones las descargas de la Red interfiriendo lo menos posible en nuestros hábitos de navegación, pero refuerza los análisis bajo demanda posteriores y los bloqueos de malware al intentar instalarse en nuestro equipo.

Por otro lado, es necesario destacar aquellos productos que, además de basarse en el tradicional sistema de firmas para interceptar malware, han innovado desarrollando otro tipo de tecnologías capaces de detectar de manera temprana las infecciones que nacen en la Red.

Estamos hablando por ejemplo de la Inteligencia Colectiva implementada por Panda Global Protection 2009 o de Active Protection en McAfee Total Protection 2009. Gracias a las mismas estaremos en condiciones de proteger nuestro sistema incluso si todavía no se ha añadido una determinada firma a la base de datos existente.

Siguiendo esta línea, nos han gustado otras soluciones que reconocen programas potencialmente peligrosos basándose en el estudio de su comportamiento, a pesar de que se desactive el filtro antivirus. Estamos hablando de Kaspersky Internet Security 2009, G Data y Trend Micro.

Por último, mientras que F-Secure Internet Security 2009 ha mejorado su interfaz notablemente, también ha ralentizado de manera considerable el sistema. De la misma forma, BitDefender Total Security 2009 también ha consumido bastante memoria en los análisis y nos ha parecido una solución un tanto confusa y menos intuitiva de manejar que el resto.

Lo mejor: uso comedido de recursos

En mayor o menor grado, prácticamente todas las suites de seguridad que hemos analizado han volcado la mayor parte de sus esfuerzos en conseguir un producto mucho más amable con los recursos del sistema. Como prueba de ello, una gran cantidad de soluciones disponen de «memoria histórica» que utilizarán para evitar analizar aquellos ficheros que ya hayan sido chequeados en un determinado período y, de esta manera, reducir tanto el tiempo de análisis bajo demanda como el uso de CPU o memoria.

Lo peor: desinfección con rastros

Es una verdadera lástima que no hayamos encontrado ninguna solución que elimine completamente el rastro o la totalidad del impacto perpetrado por uno de los threats que hemos utilizado para infectar nuestro equipo en el Laboratorio.

En el mejor de los casos, se han borrado completamente los ficheros y librerías inyectados por el código malicioso pero no así la inicialización de los mismos en el fichero de Inicio de Windows. En otros casos, algunos de los procesos maliciosos han seguido estando presentes una vez completada la desinfección.