En esto del mundo de los virus, se lleva uno de vez en cuando sorpresas increíbles. Y no solo en el plano técnico con novedades en la programación, o en la ingeniería social, sino en los mensajes que se emiten para promocionar la venta de un producto.
Hace poco un amigo me dijo que él tenía “un antivirus que detecta el 100% de los virus”. ¡Vaya afirmación más arriesgada! ¿Es posible detectar el 100% de los virus?
No. Lo siento, porque trabajo en una empresa que desarrolla y vende antivirus, pero es imposible. (Nota para Recursos Humanos: no os lancéis todavía a hacerme la liquidación). Preguntando a nuestros compañeros de laboratorio acerca del número de virus existentes en la actualidad, se les queda la cara con una expresión similar a las de las muñecas hinchables cutres de sex shop. Overflow, se dice técnicamente.
Solo se atreven a decir que todos los días reciben unas 200.000 muestras de códigos maliciosos únicos. Es decir, reciben muchas más muestras, pero las hay repetidas. Distintas entre sí, 200.000; aunque algunas son muy, muy parecidas, pero distintas en el fondo. Y si en un día hay 86.400 segundos, quiere decir que reciben más de dos por segundo. Dicen que un adulto parpadea 10 veces por minuto, así que entre parpadeo y parpadeo se generan casi 14 muestras. ¿Existen antivirus capaces de detectarlas todas? No, insisto, no.
Aquí podríamos ponernos a hablar de sistemas de detección algorítmicos, heurísticos, genéticos… pero no es el momento. En ESET, aunque no detectemos todos los virus, sí que tenemos herramientas para detectar peligros, empleando técnicas de detección muy avanzadas, lo que nos hace capaces de detectar un porcentaje elevadísimo (nunca el 100%) de los códigos maliciosos.
Entonces, ¿por qué se atreve alguien a decir que detectan el 100% de los virus? Bueno, lo primero es que mi amigo debe ser bastante fantasioso, pero en realidad lo que quería decir es que VirusBulletin ha otorgado la certificación VB100 a su antivirus. Eso está muy, muy bien, dice mucho de la calidad de ese producto, enhorabuena. En ESET llevamos diez años consecutivos sin dejar de recibir esas certificaciones de calidad, sabemos de qué hablamos.
El detalle es que esa certificación se otorga no por detectar el 100% de los virus, sino por detectar el 100%… de los virus “in the wild”. ¿Y qué es eso? Generalmente me gusta utilizar expresiones en castellano, pero lo más parecido a “in the wild” sería “virus activos en un determinado momento”, muy largo, así que lo dejamos “in the wild”. Esos virus “in the wild” son, como decía, los virus (malware) que están activos en un determinado momento. Supongo que exigirle a un antivirus que detecte el Barrotes, el Sasser o el Nimda en el año 2014 puede ser un tanto inútil, ya que esos códigos no están en este momento ocasionando problemas.
La lista de virus “in the wild” se genera por las mismas marcas que desarrollan antivirus, que informan de las apariciones de códigos maliciosos en el mundo real, no solo las recibidas en el laboratorio. Cuando, al menos, dos informantes avisan de que hay un código activo, se incorpora a la lista, y en la última son 2.084 códigos. Como curiosidad estadística, en la última lista, de 19 de noviembre de 2014, se han incorporado 463 nuevos códigos, han desparecido 500 y vuelven a entrar en la lista después de haber desaparecido, 11.
Así, pues, un antivirus que detecte esos 2.084 códigos es merecedor del sello “VB100”. Eso sí, sin dar ningún falso positivo, es decir, sin cometer ni un solo error en la detección. ¿Es eso detectar todos los virus? No, no lo es. Es detectar el malware que en un momento dado puede, en el mundo real, afectar a los usuarios, lo que supone un grado de protección muy elevado, sin duda, pero no son todos los virus.
No quiero terminar sin felicitar a las empresas que obtienen esos certificados de calidad, sin duda dice mucho de ellas y del maravilloso nivel de protección que ofrecen a los clientes. Sí, somos competencia, pero lo cortés no quita lo valiente. Pero no somos prefectos, ni en ESET ni ninguna otra. Aunque en ESET nos acercamos mucho… ¿o no?