Además de los métodos tradicionales de búsqueda de firmas de virus, existe también una gama de tecnologías de detección capaces de reconocer los últimos programas maliciosos. La calidad de estas nuevas tecnologías contribuye a elevar el nivel general de seguridad proporcionada por cada producto individual. Tales métodos de protección proactiva incluyen tecnologías heurísticas para detectar códigos maliciosos y hacer un bloqueo de comportamiento.

De vez en cuando, los fabricantes de programas antivirus tratan de inventar alguna pieza innovadora de tecnología que solucione todos los problemas discutidos hasta ahora. Constantemente, ellos están tratando de desarrollar una especie de panacea que pueda proteger a todos los equipos de cada tipo de ataque, de una vez por todas. Una solución de protección ‘proactiva’ definitiva para el usuario.

Por desgracia, esta misión bien intencionada sigue sin cumplirse. Soluciones universales sólo pueden aplicarse a problemas genéricos, y los virus informáticos simplemente no juegan según estas reglas. Ellos no son el producto de un proceso bien documentado. Usualmente, nacen en la mente de un hacker sofisticado. Los virus se encuentran en constante cambio, y estos cambios dependen de los objetivos y los deseos de aquellos que habitan en el lado oscuro del mundo digital.

Veamos cómo un bloqueador de comportamiento difiere de la metodología de detección de una solución más tradicional antivirus basada en firmas. Ambas tecnologías utilizan dos enfoques muy diferentes en la detección de virus, a pesar de que persiguen el mismo fin. La detección por firmas compara el código de un programa
con el código de los virus conocidos, en busca de un resultado positivo. Un bloqueador de comportamiento supervisa la puesta en marcha y operación de los programas, con el objetivo de garantizar que se adecuan a las conductas normales o esperables. Aquellos que no lo hacen, son bloqueados. Ambos métodos tienen sus propias ventajas y desventajas.

En el lado positivo, un escáner de firmas garantiza la detección de cualquier amenaza que reconoce. El problema es que seguramente pasará por alto los virus que desconoce. Además, existen innumerables bases de datos de virus y esto puede requerir el uso de una gran cantidad de recursos del sistema. Los bloqueadores de comportamiento, por su parte, son capaces de detectar programas maliciosos que no están presentes en su base de datos. Sin embargo, pueden fácilmente pasar por alto variantes conocidas de malware, dado que el comportamiento de los virus y troyanos modernos es tan impredecible que ningún conjunto de reglas puede abarcarlo todo. Otra desventaja de los bloqueadores de comportamiento es que de vez en cuando pueden arrojar falsos positivos, ya que incluso los programas legítimos pueden comportarse de forma inesperada. Por lo tanto, ocasionalmente, un bloqueador de comportamiento podría pasar por alto un programa malicioso y bloquear el funcionamiento de uno legítimo.

Los bloqueadores de comportamiento tienen un inconveniente más y este es su incapacidad para enfrentarse con algunos de los virus más recientes. Tomemos como ejemplo la empresa X, que ha desarrollado un programa de bloqueo de comportamiento llamado AVX, que es capaz de atrapar el 100% de los virus actuales. ¿Cómo reaccionarán los hackers ante esta circunstancia? Seguramente, ellos inventarían una manera totalmente diferente de infectar el sistema, que sea invisible para AVX. El antivirus AVX tendrá que actualizar sus reglas de análisis de comportamiento. Así, la compañía X lanzará nuevas actualizaciones. Y luego, más y más actualizaciones, dado que los cibercriminales y creadores de virus constantemente encontrarán las maneras de sortear estos obstáculos de seguridad. Finalmente, lo que ocurrirá es que el bloqueador de comportamiento se transformará en un escáner de firmas, pero que en lugar de comparar “fragmentos de código”, comparará “comportamientos”.

El escenario anterior también abarca al analizador heurístico, otro método de protección proactiva que monitorea la ejecución de los programas y su comportamiento operativo. Tan pronto como esas tecnologías antivirus comienzan a frustrar las intenciones delictivas de los hackers, un nuevo conjunto de tecnologías de virus emerge para evitar las técnicas de protección heurísticas.

Así, las tecnologías proactivas tienden a tener una vida útil muy limitada. Mientras que los hackers aficionados pueden tardar semanas o meses en eludir las nuevas tecnologías, los más experimentados pueden encontrar la forma de evitarlas en horas o incluso en minutos. Por esta razón, un bloqueador de comportamientos o un analizador heurístico requiere de mejoras y actualizaciones constantes. Hay que recordar que, para añadir una nueva firma a una base de datos antivirus sólo se necesitan unos minutos, pero para renovar las tecnologías de protección proactiva se requiere de mucho más tiempo.

Todo esto no significa, por supuesto, que los métodos de protección proactiva son inútiles. Ellos hacen su trabajo y son capaces de bloquear una gran cantidad de malware sofisticado que fue desarrollado por hackers relativamente poco calificados. Por lo tanto, estas tecnologías pueden ser consideradas como un valioso valor agregado a los escáneres de firma tradicionales, pero no deben ser tomados como un mecanismo de defensa aislado.