Suponga que un responsable de Recursos Humanos debe contratar un graduado de cierta carrera y se conecta con la universidad en búsqueda de perfiles. Si la universidad brinda datos de 20 alumnos, sería posible entrevistar a todos ellos y elegir el que mejor haya pasado la entrevista. Sin embargo, suponga que la universidad otorga los datos de 300 alumnos y que debe seleccionarse uno para el puesto. La capacidad de esta persona para realizar entrevistas se ha visto superada y es imposible entrevistar a todos los alumnos, por lo que debe tomar alguna decisión que le permita encontrar al candidato indicado. Esta persona, finalmente, decide entrevistar a los 20 alumnos con mejor promedio de todo el listado recibido, y luego elegir a su candidato.
Como verán en el relato, claramente el responsable de Recursos Humanos ha tomado una decisión inteligente, que le permitió resolver un problema imposible de abarcar con sus métodos clásicos de selección. Aunque muchos de ustedes no lo hayan imaginado mientras lo leían, esta persona ha tomado una decisión heurística.
Teniendo en cuenta que la evolución de las amenazas y el escenario del malware ha crecido, los métodos reactivos utilizados originalmente por los software de detección de malware ya no son suficientes para resolver el problema de una detección efectiva de códigos maliciosos. De la misma forma, los antivirus han comenzado a utilizar algoritmos heurísticos como base de la mayor parte de métodos de detección de malware proactivos.
El análisis heurístico en tecnologías antivirus, posee un comportamiento basado en reglas para diagnosticar si un archivo es potencialmente ofensivo. El motor analítico trabaja a través de su base de reglas, comparando el contenido del archivo con criterios que indican un posible malware, y se asigna cierto puntaje cuando se localiza una semejanza. Si el puntaje iguala o supera un umbral determinado, el archivo es señalado como amenaza y
procesado de acuerdo con ello.
Si quieren conocer más sobre heurística, y cómo esta es aplicada en los software antivirus, no dejen de leer el nuevo artículo que hemos publicado, titulado Heurística Antivirus: detección proactiva de malware. Como se indica en la introducción del mismo, "el objetivo de este informe es reducir las confusiones en torno al funcionamiento de la tecnología antimalware y clarificar qué es lo que realmente debe esperarse de una protección de este tipo, particularmente aquellas que cuentan con análisis heurístico".
Como siempre, ponemos a disposición del público nuestros papers para que puedan aprender más sobre seguridad de la información, y en esta oportunidad sobre las tecnologías antivirus y su funcionamiento. ¡Que lo disfruten!
Sebastián Bortnik
Analista de Seguridad