La pregunta no es baladí. La gran mayoría de la sociedad sería incapaz de definir el ámbito de actuación de estas tres herramientas (y presumiblemente desconocerá la existencia de la segunda y sobre todo, de la tercera).
Y esto se debe principalmente al poco trabajo de comunicación que existe en el sector de la seguridad, y que habitualmente se mueve más por el misticismo que por los canales adecuados.
Así pues, en este nuevo capítulo de la serie #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital, hablaremos de las diferencias entre estas tres defensas informáticas, haciendo hincapié en su ámbito de actuación, que como veremos, es muy reducido.
Índice de contenido
¿Qué es un antivirus?
Bajo el término antivirus se han ido colocando cada vez más y más servicios dirigidos a proteger los sistemas informáticos, pero en la práctica, un antivirus no es más que una herramienta encargada en detectar cuando un archivo, un correo, un proceso o en definitiva cualquier elemento informático del propio sistema intenta ejecutar código malicioso.
Esto es importante, puesto que un antivirus puro solo localiza, y no tendría por qué tener la capacidad de contrarrestarlo, teniendo que meter ese elemento en particular marcado como potencial amenaza en cuarentena (aislarlo del resto de archivos supuestamente legítimos en espera de encontrar algún tipo de medicina) o eliminarlo (lo que podría traer problemas añadidos al ser este archivo parte de un sistema más amplio).
Para detectarlos, los antivirus cuentan con diferentes bibliotecas de malware (la terminología virus no engloba todo lo que un antivirus suele tachar como sospechoso), que están una y otra vez consultando para comparar con los elementos activos del sistema.
Puesto que el pulso de la industria del crimen va por definición siempre por delante (primero se crea el virus, luego se localiza, y se genera una vacuna para él), cada marca de antivirus desarrolla diferentes técnicas de heurística que le permiten en esencia localizar archivos infectados por potenciales malwares (malwares que aún no han sido catalogados) mediante la búsqueda de elementos comunes o habituales en otras tipologías de malware. Algunas de estas técnicas son:
- Firmas Genéricas: Es bastante habitual que un mismo malware de como resultado varios nuevos, que el desarrollador (o la máquina que lo genera automáticamente) crea partiendo de elementos comunes del malware inicial, y dando así con la definición de una familia de virus.
- Desamblado: Un ejecutable solo puede ser analizado en tiempo de ejecución, a no ser que este se desamble a código fuente, y una vez con este código, analizar si tiene elementos habituales que un desarrollador de malware utiliza.
- Desempaquetamiento: Sabedores que el nuevo malware va a ser desamblado por los antivirus, los desarrolladores de malware empaquetan de diferentes maneras el producto, complicando el trabajo de los antivirus. Y estos, sabedores que los desarrolladores van a empaquetar el malware, habilitan funciones de desempaquetado para intentar llegar al código fuente, que es el que pueden analizar.
Por tanto, un antivirus protege de elementos potencialmente peligrosos que estén dentro del sistema, siempre y cuando sean capaces de marcar la amenaza (bien sea mediante biblioteca, o mediante heurística).
¿Te preocupa tu Seguridad y Privacidad Online?
He diseñado este curso online en 8 módulos en el que cubriremos todos los fundamentos de la ciberseguridad, ayudándote paso por paso a configurar la seguridad y privacidad de tus cuentas digitales y de tus dispositivos.
¿Qué es un firewall?
El firewall o cortafuegos es una herramienta de seguridad cuya misión es analizar y bloquear cualquier intento de conexión peligrosa con el sistema, habitualmente, desde internet.
El cortafuegos se puede aplicar a nivel de hardware, de software, o mixto, y cumple un papel trascendente en un entorno cada vez más dependiente del mundo online.
Los cortafuegos, a diferencia de los antivirus, funcionan en base a un acotado número de reglas que definen su ámbito de actuación. Y al igual que estos, pueden ser configurados para que por defecto, sean permisivos, o por defecto, sean restrictivos, como vimos en su momento en el artículo sobre listas negras y listas blancas.
¿Qué es un IDS?
El IDS, o sistema de detección de intrusos es una herramienta encargada de detectar intentos de acceso no autorizado a una red o sistema.
Su funcionamiento se basa en analizar continuamente los paquetes de comunicación que entran y salen del sistema, con el fin de localizar patrones comúnmente asociados a ataques de diversa índole y bloquearlos.
Es decir, que mientras el cortafuegos se dedica a analizar el tráfico de entrada y salida de la red, el IDS hace lo propio con lo que está ocurriendo dentro de ella. De ahí que sea habitual que los dos trabajen juntos: el cortafuegos se encarga de bloquear intentos externos de ataque y la inteligencia del IDS protege de posibles fugas de información desde dentro.
¿Qué deberíamos tener instalado y qué ámbitos no cubren?
Como habrá visto, las tres son herramientas complementarias, y lo correcto sería que nuestro sistema contara con cada uno de ellas.
En ámbitos empresariales cobra cada vez mayor importancia el IDS, mientras que ocurre justo lo contrario para un uso personal.
Sin embargo, hay que dejar claro que tener habilitadas estas tres herramientas solo evita algunas tipologías de ataque muy específicas, y según el sistema en el que estemos, puede que el antivirus o el cortafuegos no aporten mucha más seguridad que los nativos del propio sistema.
Como ya hemos dicho en más de una ocasión, mantener nuestros sistemas protegidos es importante, pero lo es aún más tener el conocimiento para saber enfrentarse (o evitar enfrentarse) a riesgos innecesarios. Por aquí van algunos ejemplos de ataques a los cuales estaríamos indefensos si delegáramos única y exclusivamente la seguridad de nuestros sistemas a estas tres herramientas:
- Ataques cuyo tráfico no pase por la red: el cortafuegos y el IDS serían incapaces de localizarlos, dependiendo únicamente de la buena fortuna del antivirus.
- Usuarios negligentes: De nada sirve disponer de las herramientas oportunas si el usuario utiliza el sistema para todo con permisos de administrador, y acepta instalar cualquier programa de origen desconocido.
- Ninguno de los tres protege de ataques basados en fallos en los protocolos de comunicación y transferencia, así como en vulnerabilidades de programas considerados legítimos.
- Y por supuesto, ninguno de los tres es capaz de protegernos de ataques basados en ingeniería social, como el phishing, que son cada vez más recurrentes (y efectivos).
En todo caso, hablamos de unas herramientas que añaden una capa de seguridad más. Nosotros mismos somos nuestro mejor antivirus, nuestro mejor firewall y nuestro mejor IDS, pero una ayuda extra nunca viene mal :).
________
Puedes ver más artículos de esta serie en #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital.
Y si el contenido que realizo te sirve para estar actualizado en tu día a día, piensa si te merece la pena entrar en el Club Negocios Seguros y aprovecharte de todo el contenido exclusivo que publico para los miembros.
Algún ejemplo de herramienta IDS?
Un saludo y gracias por dar luz a los muchos que creen que el antivirus quita todo, y cuando lo compran se enfadan porque les entran cosas….
A falta de alguno, te paso un enlace con 75 herramientas IDS (ES) (que no es que esté muy actualizado, pero para que te hagas una idea).
Buena pregunta Javi. Saludos!
Es que he pensado, lo mismo me suena alguna, pero veo que esto ya es para nota jajajaja
Ahora entiendo lo de que en ambientes más personales, los IDS ni se usan, personalmente no me sonaba ninguna de esas 6 herramientas, y bueno, mi cultura a nivel de seguridad no es que sea la caña, pero de baja a media, por lo menos, entiendo que para empresas y entornos corporativos, donde debe primar y mucho la seguridad, es algo que no debe de falta en la política de seguridad.
Veo que muchas de estas herramientas tienen su última versión hace algunos años, eso es normal, o es porque no se usan tanto, o porque no es necesario tanta actualización (como ahora cada x tiempo hay actualizaciones de casi todo).
Un saludo y gracias.
Ya te digo que fue una lista que me salió al buscar IDS. Es probable que estén muy desfasados. La mayoría ya vienen implementados en suites de seguridad, y como comentaba en el artículo, están enfocados a entornos corporativos, más que nada porque analizan el tráfico en la red, no fuera de ella (y en casa no solemos tener montado una red :)).