Para aquellos que desconocen qué es la heurística, se trata de una tecnología diseñada para detectar códigos maliciosos de forma proactiva, es decir, sin la necesidad de contar con una firma específica. En esta línea, la solución de seguridad analiza un archivo y compara su comportamiento con ciertos patrones que podrían indicar la presencia de una amenaza. A cada acción que realiza el fichero se le asigna un puntaje, por lo tanto, si ese número es superior a un determinado valor, se clasifica como probable nuevo malware.
La importancia de este método de detección proactiva radica en la cantidad de códigos maliciosos que aparecen todos los días. Esto imposibilita emplear firmas como una solución única y efectiva para esta problemática. A continuación se expone un esquema que muestra las etapas necesarias para detectar una amenaza a partir de su creación. Se compara tanto la heurística como las firmas (hacer clic para ampliar imagen):
Tal como puede observarse en el esquema anterior, la detección mediante heurística protege al usuario antes de que la amenaza aparezca, por lo tanto, reduce el tiempo necesario para proteger a las potenciales víctimas a cero.
Por otro lado, las firmas requieren de un lapso considerablemente mayor. Primero es necesario recibir la muestra, luego desarrollar una detección, subirla al servidor, y esperar hasta que la computadora del usuario se actualice con la nueva base de datos. Ese “período ventana” varía de acuerdo a factores como la complejidad del malware, el tiempo tardado en recibir la muestra, y el lapso transcurrido entre que se publica la actualización y es instalada en la computadora del usuario.
Considerando los aspectos mencionados anteriormente se podría deducir (erróneamente) que la heurística es suficiente por sí sola, sin embargo, el uso de firmas también se hace necesario por algunos motivos:
- Las firmas permiten detectar códigos maliciosos de modo mucho más específico, por esta razón, son más eficientes para remover amenazas complejas previamente conocidas.
- Debido a numerosas técnicas empleadas por los cibercriminales para ofuscar malware y evadir métodos heurísticos, en algunos casos es necesario contar con firmas específicas.
- Aunque una amenaza sea detectada por heurística, agregar una firma concreta permite ahorrar recursos del sistema al momento de analizar archivos.
En el post Heurística o firmas, ¿cuál usar? es posible encontrar más motivos que hacen necesaria la complementación entre heurística y firmas. Asimismo existen distintos tipos de heurística. Por ejemplo, las firmas genéricas están diseñadas para detectar modificaciones menores (variantes) de otros códigos maliciosos conocidos (familias).
En este punto es importante destacar que las soluciones de ESET emplean varios tipos de heurística y firmas para optimizar la detección de amenazas. Para los interesados en profundizar sobre este tema los invitamos a descargar el documento actualizado de Heurística Antivirus: detección proactiva de malware.
André Goujon
Especialista de Awareness & Research