#MundoHacker: Qué diferencia a un antivirus de un firewall y de un IDS

antivirus

La pregunta no es baladí. La gran mayoría de la sociedad sería incapaz de definir el ámbito de actuación de estas tres herramientas (y presumiblemente desconocerá la existencia de la segunda y sobre todo, de la tercera).

Y esto se debe principalmente al poco trabajo de comunicación que existe en el sector de la seguridad, y que habitualmente se mueve más por el misticismo que por los canales adecuados.

Así pues, en este nuevo capítulo de la serie #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital, hablaremos de las diferencias entre estas tres defensas informáticas, haciendo hincapié en su ámbito de actuación, que como veremos, es muy reducido.

¿Qué es un antivirus?

Bajo el término antivirus se han ido colocando cada vez más y más servicios dirigidos a proteger los sistemas informáticos, pero en la práctica, un antivirus no es más que una herramienta encargada en detectar cuando un archivo, un correo, un proceso o en definitiva cualquier elemento informático del propio sistema intenta ejecutar código malicioso.

Esto es importante, puesto que un antivirus puro solo localiza, y no tendría por qué tener la capacidad de contrarrestarlo, teniendo que meter ese elemento en particular marcado como potencial amenaza en cuarentena (aislarlo del resto de archivos supuestamente legítimos en espera de encontrar algún tipo de medicina) o eliminarlo (lo que podría traer problemas añadidos al ser este archivo parte de un sistema más amplio).

Para detectarlos, los antivirus cuentan con diferentes bibliotecas de malware (la terminología virus no engloba todo lo que un antivirus suele tachar como sospechoso), que están una y otra vez consultando para comparar con los elementos activos del sistema.

Puesto que el pulso de la industria del crimen va por definición siempre por delante (primero se crea el virus, luego se localiza, y se genera una vacuna para él), cada marca de antivirus desarrolla diferentes técnicas de heurística que le permiten en esencia localizar archivos infectados por potenciales malwares (malwares que aún no han sido catalogados) mediante la búsqueda de elementos comunes o habituales en otras tipologías de malware. Algunas de estas técnicas son:

  • Firmas Genéricas: Es bastante habitual que un mismo malware de como resultado varios nuevos, que el desarrollador (o la máquina que lo genera automáticamente) crea partiendo de elementos comunes del malware inicial, y dando así con la definición de una familia de virus.
  • Desamblado: Un ejecutable solo puede ser analizado en tiempo de ejecución, a no ser que este se desamble a código fuente, y una vez con este código, analizar si tiene elementos habituales que un desarrollador de malware utiliza.
  • Desempaquetamiento: Sabedores que el nuevo malware va a ser desamblado por los antivirus, los desarrolladores de malware empaquetan de diferentes maneras el producto, complicando el trabajo de los antivirus. Y estos, sabedores que los desarrolladores van a empaquetar el malware, habilitan funciones de desempaquetado para intentar llegar al código fuente, que es el que pueden analizar.

Por tanto, un antivirus protege de elementos potencialmente peligrosos que estén dentro del sistema, siempre y cuando sean capaces de marcar la amenaza (bien sea mediante biblioteca, o mediante heurística).

¿Qué es un firewall?

El firewall o cortafuegos es una herramienta de seguridad cuya misión es analizar y bloquear cualquier intento de conexión peligrosa con el sistema, habitualmente, desde internet.

El cortafuegos se puede aplicar a nivel de hardware, de software, o mixto, y cumple un papel trascendente en un entorno cada vez más dependiente del mundo online.

Los cortafuegos, a diferencia de los antivirus, funcionan en base a un acotado número de reglas que definen su ámbito de actuación. Y al igual que estos, pueden ser configurados para que por defecto, sean permisivos, o por defecto, sean restrictivos, como vimos en su momento en el artículo sobre listas negras y listas blancas.

¿Qué es un IDS?

El IDS, o sistema de detección de intrusos es una herramienta encargada de detectar intentos de acceso no autorizado a una red o sistema.

Su funcionamiento se basa en analizar continuamente los paquetes de comunicación que entran y salen del sistema, con el fin de localizar patrones comúnmente asociados a ataques de diversa índole y bloquearlos.

Es decir, que mientras el cortafuegos se dedica a analizar el tráfico de entrada y salida de la red, el IDS hace lo propio con lo que está ocurriendo dentro de ella. De ahí que sea habitual que los dos trabajen juntos: el cortafuegos se encarga de bloquear intentos externos de ataque y la inteligencia del IDS protege de posibles fugas de información desde dentro.

¿Qué deberíamos tener instalado y qué ámbitos no cubren?

Como habrá visto, las tres son herramientas complementarias, y lo correcto sería que nuestro sistema contara con cada uno de ellas.

En ámbitos empresariales cobra cada vez mayor importancia el IDS, mientras que ocurre justo lo contrario para un uso personal.

Sin embargo, hay que dejar claro que tener habilitadas estas tres herramientas solo evita algunas tipologías de ataque muy específicas, y según el sistema en el que estemos, puede que el antivirus o el cortafuegos no aporten mucha más seguridad que los nativos del propio sistema.

Como ya hemos dicho en más de una ocasión, mantener nuestros sistemas protegidos es importante, pero lo es aún más tener el conocimiento para saber enfrentarse (o evitar enfrentarse) a riesgos innecesarios. Por aquí van algunos ejemplos de ataques a los cuales estaríamos indefensos si delegáramos única y exclusivamente la seguridad de nuestros sistemas a estas tres herramientas:

  • Ataques cuyo tráfico no pase por la red: el cortafuegos y el IDS serían incapaces de localizarlos, dependiendo únicamente de la buena fortuna del antivirus.
  • Usuarios negligentes: De nada sirve disponer de las herramientas oportunas si el usuario utiliza el sistema para todo con permisos de administrador, y acepta instalar cualquier programa de origen desconocido.
  • Ninguno de los tres protege de ataques basados en fallos en los protocolos de comunicación y transferencia, así como en vulnerabilidades de programas considerados legítimos.
  • Y por supuesto, ninguno de los tres es capaz de protegernos de ataques basados en ingeniería social, como el phishing, que son cada vez más recurrentes (y efectivos).

En todo caso, hablamos de unas herramientas que añaden una capa de seguridad más. Nosotros mismos somos nuestro mejor antivirus, nuestro mejor firewall y nuestro mejor IDS, pero una ayuda extra nunca viene mal :).

 

________

Realizar este tipo de artículos me lleva varias horas, y en algunos casos, gastos extra que habitualmente suplo de mi bolsillo, o gracias a esa comunidad de patronos que me apoyan realizando donaciones puntuales o periódicas.

Si le gustaría ver más de estos tutoriales y análisis por aquí. Si el contenido que realizo le sirve en su día a día, piense si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.

hazme patrono pabloyglesias