Para el usuario común, los virus informáticos representan un misterio ya que pocas personas saben lo que realmente son y rara vez saben con exactitud qué hacen estos "entes indeseables" dentro de un computador.

En general se tiene la idea intuitiva de que los virus son peligrosos para los computadores y, por lo tanto, para la información almacenada en ellas. Como consecuencia, el usuario experimenta la inevitable necesidad de contar con algo que haga frente a semejante amenaza. Aquí es donde hace su entrada a escena el "todopoderoso antivirus" que brindará la protección anhelada...

Pero más allá del misterio y, peor aún, de la desinformación proveniente de algunos de los medios de comunicación más populares, las respuestas son simples. Conocer un poco sobre los virus informáticos ayuda a entender cómo su computador puede infectarse, orienta en la selección del software antivirus más adecuado y, lo más importante, ilustra la importancia de observar buenos hábitos al utilizar su computador.

LOS VIRUS INFORMÁTICOS SON Y SIEMPRE HAN SIDO UN PROBLEMA.

En términos muy concretos, un virus informático es un programa creado con la facultad de reproducirse a sí mismo y anexarse automáticamente a cierto "huésped". Dichos huéspedes suelen ser otros programas, sector(es) de arranque del disco duro o, incluso, cualquier documento o archivo residente en el computador. Estos programas son diseñados para ejecutarse sin que el usuario pueda percibirlo y replicarse en la mayor cantidad de sistemas posible. Una vez que consigue su lugar en la memoria del equipo, el virus puede anexarse automáticamente al siguiente huésped cuando el usuario acceda al mismo, y esto se repetirá sucesivamente.

Un virus puede diseñarse con el simple objetivo de molestar, o puede tener otras importantes consecuencias no deseadas como, por ejemplo, sobrescribir la información existente en la memoria del computador. Esto normalmente se traduce en diferentes tipos de inconvenientes cuya trascendencia o costo sólo puede ser evaluado por el usuario.

Los primeros virus informáticos aparecieron en el mundo de la computación a mediados de 1980 y se presentaron principalmente como una curiosidad. La carga viral era normalmente inofensiva: mostrar una pelota rebotando a través de la pantalla o forzar el reinicio del computador. Pero a medida que más y más virus fueron apareciendo (en esa época sólo se podían esparcir a través de discos flexibles), las compañías comenzaron a notar una disminución en los niveles de productividad. A principios de 1996, ya habían sido descubiertos (o creados en laboratorios de computación) cerca de 5000 diferentes virus informáticos. Apenas un año después, a principios de 1997, este número se elevaba a un valor cercano a 9000, casi el doble [1]. A mediados de 2001 ya existían alrededor de 55000 virus informáticos conocidos, aunque la gran mayoría de ellos se mantenían restringidos a laboratorios de investigación [2]. Desde Abril de 1996, Joe Wells y Sarah Gordon comenzaron a recopilar la "WildList" [3], un listado –considerado actualmente como referencia en la industria de la informática– que contiene los "virus silvestres" o "en circulación", es decir, que se encuentran libres en el medio informático (y no "encerrados" en un laboratorio), en pleno proceso de diseminación y causando problemas concretos a los usuarios de diferentes partes del mundo.

Los primeros virus conocidos infectaban los sectores de arranque de un disco duro o un disco flexible. Por ello, hasta finales de 1995, el mecanismo más probable de infección era el empleo de discos flexibles que habían sido utilizados previamente en un sistema infectado. La aparición de los virus tipo "macro" cambiaron este panorama dramáticamente. Este tipo de virus contempla un conjunto de instrucciones que se programan utilizando las poderosas "rutinas macro" disponibles en las aplicaciones de oficina típicas (procesadores de palabras y hojas de cálculo). Estos lenguajes "macro" habilitan un gran número de funciones que se insertan en un documento y que serán ejecutadas al abrir el archivo para su visualización y/o manipulación.

Cada nuevo avance en la tecnología de redes y comunicaciones introduce nuevas alternativas de propagación para los virus informáticos. De esta manera, el explosivo desarrollo de Internet ha elevado las posibilidades de contagio a niveles de "epidemia". Internet introduce dos amenazas de contagio: la primera proviene de la descarga de archivos con código maligno a través de un navegador web estándar o por medio de rutinas invocadas gracias al Protocolo de Transferencia de Archivos (File Transfer Protocol, FTP). Más aún, las tecnologías JAVA y Active-X –con las que se crean aplicaciones introducidas en el contexto de un navegador web para añadir animación e interactividad al contenido– han sido utilizadas para transportar virus informáticos. A este tipo de virus pertenecen el "Adware", que ejecuta, muestra o descarga publicidad; y el "Spyware" (o programa espía), que recopila y envía información acerca del usuario sin su consentimiento. En una de sus variantes, el Adware genera la desenfrenada aparición de ventanas no solicitadas, pudiendo pasar de ser una molestia durante la operación rutinaria del usuario a convertirse en un verdadero infierno que dificulta y entorpece seriamente el trabajo. La segunda amenaza principal de infección vía Internet proviene del correo electrónico. La mayoría de los sistemas de correo electrónico actuales ofrecen la capacidad de anexar documentos al correo que será entregado a través de la red y, si dicho sistema acepta archivos anexos sin ningún tipo de protección, en cuanto el receptor abra el documento infectado, el virus se introducirá en su computador y estará instantáneamente preparado para infectar otros archivos. De esta manera, archivos y documentos infectados pueden inundar una red corporativa a través de sus servidores de correo y puertas de enlace (o gateways).

En el ámbito de la industria del software antivirus, normalmente se manejan algunos términos que vale la pena revisar. Un "troyano" o "Caballo de Troya" consiste en una serie de instrucciones de computación añadidas en forma encubierta dentro de un programa informático para que pueda realizar una acción no autorizada al mismo tiempo que su función normal y cuya ejecución podría resultar en efectos colaterales indeseados. Por otro lado, un "gusano" es un programa que tiene la capacidad de distribuir múltiples copias de sí mismo dentro de un computador o en un sistema distribuido. Los denominados "hoaxes" son mensajes de correo electrónico con falsas alarmas o contenido engañoso que son enviados inicialmente por personas maliciosas y, luego, re-distribuidos por usuarios inocentes quienes creen ayudar a todos sus amigos difundiendo la "alerta". Similarmente, el término "spam" o "correo basura" se utiliza para referirse a mensajes no solicitados, de contenido generalmente publicitario, y que es enviado en cantidades masivas.

Cada virus (o familia de virus) posee cierta característica única, un patrón peculiar de bytes que es conocido comúnmente como su firma o huella. Cuando un virus detecta la presencia de su huella en algún archivo o programa, reconoce que este huésped ya está infectado y, por lo tanto, no lo ataca para evitar infectarse a sí mismo. La mayoría del software antivirus también utiliza estas marcas para identificar las infecciones. Pero, a medida que los virus se expanden, intentan evitar ser detectados para poder acceder y corromper otros computadores. Los virus sencillos, con huellas fácilmente reconocibles, están dando paso a tipos más sofisticados de virus: el virus polimórfico cambia su huella cada vez que se activa, de esta manera dificulta su reconocimiento; el virus sigiloso esconde su presencia al interceptar los servicios del software antivirus y los alimenta con información falsa para confundir al software y evitar su detección; el virus cifrado (o encriptado) se transmite a través de un archivo codificado, de manera tal que resulta muy difícil de detectar para el software antivirus; los virus residentes en memoria (Terminate and Stay Resident, TSR) son capaces de infectar aquellos programas que trabajan en una zona (generalmente) oculta al usuario denominada memoria residente del computador y que es utilizada por el sistema operativo para mantener activas aquellas tareas que el usuario (o el propio sistema operativo) utiliza con frecuencia. Los virus residentes se mantienen en la memoria hasta que se apague el PC o se reinicie el sistema operativo [4]. También se pueden presentar combinaciones de los tipos mencionados anteriormente, en cuyo caso reciben la denominación de virus híbridos.

LUCHANDO CONTRA LOS VIRUS.

Las primeras técnicas de detección de virus involucraban una revisión de integridad (integrity checking), tomando lecturas periódicas de cada archivo presente en el disco duro. Si el estatus de cierto archivo cambiaba respecto a la muestra anterior, el revisor de integridad reportaba la posibilidad de infección. Sin embargo, este método es completamente reactivo, no permite identificar el virus cuando se presenta en el sistema ni prevenir su establecimiento en el computador.

Posteriormente, utilizando su propia forma de trabajo, se desarrolló el método del reconocimiento de huellas. Con esta tecnología el software antivirus busca posibles patrones de infección en los archivos que examina y los compara con cada uno de los items presentes en la lista de huellas conocidas. Ahora bien, si por alguna razón esta lista de huellas (que por lo general constituye una base de datos) no contiene la información de los virus actualmente libres en el medio informático, el software antivirus sencillamente será incapaz de reconocer y prevenir cualquier infección de estas nuevas variantes virales.

La detección heurística, una tecnología más reciente, se desarrolló principalmente para combatir los virus polimórficos que pueden reproducir hasta 2.3 millones de millones de versiones distintas de ellos mismos [5]. Como cada variante es distinta, los métodos estándar no resultan muy efectivos. La técnica heurística se basa en observar el comportamiento de los programas para determinar, por tanteo, si el mismo corresponde al "estilo" habitual de algún virus. El lado negativo de esta solución es que, como su nombre indica, la utilización de tales reglas empíricas lo convierte en un método poco riguroso y, por lo tanto, de efectividad relativa.

El proceso que comprende el reconocimiento, localización e identificación de los diferentes huéspedes infectados es tan sólo la primera etapa que un software antivirus debe ejecutar. Este proceso se denomina exploración o, en inglés, scanning. La exploración de virus en un computador puede regularizarse a través de un "programador de tareas" para que se ejecute cada cierto período de tiempo o en un horario específico. También puede efectuarse a petición del usuario, quien solicita su ejecución manualmente.

Ahora bien, es posible que una exploración programada se ejecute después que el virus ya ha entrado al computador, otorgándole tiempo para esparcirse cómodamente. Podría prevenirse la infección si el virus es detectado apenas intente ingresar al sistema. Para ello es necesario realizar la exploración en "tiempo real", es decir, explorar cada nuevo documento, archivo y programa a medida que ingresa al computador. Esto significa que el software antivirus (o alguno de sus módulos) debe permanecer ejecutándose de manera oculta, desde la memoria residente. Gran parte del software antivirus que tiene la opción de exploración en tiempo real también presenta la posibilidad de explorar la memoria para enfrentar los virus residentes (aunque existen aplicaciones diseñadas específicamente con este fin.)

Como se mencionó anteriormente, la exploración en busca de infecciones es sólo la primera etapa en la lucha por mantener un sistema libre de virus. Sin embargo, si el virus logra eludir los mecanismos de prevención y consigue instaurarse en el sistema, la exploración como tal no elimina al virus ni restaura los items infectados. Por esta razón, es deseable que el software antivirus también sea capaz de "curar la enfermedad", removiendo el virus del sistema. El proceso de remoción puede ser diferente para cada virus, pero generalmente contempla la eliminación del código viral, la reparación de los archivos dañados y, en ocasiones, puede incluir la aplicación de remiendos o parches para tratar de reparar aquellas aplicaciones que pudieran resultar afectadas durante el proceso de remoción. Cuando la exploración de virus indentifica una infección que el software antivirus es incapaz de remover, es conveniente tomar el objeto infectado y "ponerlo en cuarentena". Este procedimiento codifica el archivo infectado y lo traslada a un directorio especial para, así, evitar su acceso directo y detener la diseminación del virus.

Es importante tomar en cuenta que un computador no posee recursos ilimitados y que cada programa que ejecuta utiliza parte de su capacidad de procesamiento y de memoria. El software antivirus no escapa a esta realidad y, mientras más tareas solicitamos ejecutar al computador para la protección contra los virus informáticos, mayor será la carga del sistema que, a su vez, suele resultar en el deterioro del desempeño del computador. Las organizaciones con redes internas tienen la posibilidad de colocar herramientas de protección contra las amenazas provenientes de Internet en la puerta de enlace. Eximiendo esta tarea de cada uno de los computadores de la organizacion, se reduce el impacto sobre su desempeño individual. Lamentablemente, este no es el caso habitual para el usuario doméstico.

ESCOGIENDO EL SOFTWARE ANTIVIRUS.

Dada la gran variedad y complejidad que los virus informáticos han adquirido con el tiempo, cada vez más se hace necesario disponer de muchas alternativas para abordarlos. Hay paquetes de software antivirus que ofrecen un amplio conjunto de métodos para atacarlos. Sin embargo, contar con una única herramienta normalmente no es suficiente para proteger al computador [6].

El primer paso en la defensa contra los virus es su reconocimiento. La "tasa de detección" es un valor que representa el porcentaje de aciertos que un software antivirus logra al realizar la exploración de una muestra de virus a la que se somete a prueba. Mucha de la publicidad de los productos actualmente disponibles se basa en este parámetro, el cual es sugerido como "efectividad". Sin embargo, hay que leer este valor con cuidado ya que, en ocasiones, la muestra utilizada incluye virus de laboratorio, es decir, virus que en realidad no están en el medio informático. Lo verdaderamente importante es que el software antivirus sea capaz de reconocer los virus que se encuentren "en circulación" o, como se encuentra en la literatura, in the wild (ITW).

La habilidad de cualquier software antivirus para prevenir activamente una infección depende de la vigencia de su lista de huellas de virus. En este sentido, es conveniente que el antivirus incluya una página web asociada (u otra fuente de información de fácil acceso) a través de la cual se puedan efectuar actualizaciones regulares de la base de datos. Existen productos que, incluso, realizan este proceso de actualización automáticamente siguiendo una rutina que solicita nueva información para la base de datos a través de una conexión a Internet.

Una buena opción para el usuario es contar con un software antivirus que ofrezca múltiples posibilidades de configuración para ajustar los métodos disponibles a las necesidades particulares de su sistema. Si, por ejemplo, el trabajo con cierto computador involucra el ingreso o descarga de gran cantidad de documentos e información en general proveniente de fuentes desconocidas, quizá sea recomendable activar la exploración en tiempo real con las opciones de seguridad al máximo. Obviamente, este elevado nivel de protección tendrá un impacto negativo en el rendimiento del equipo que usualmente se refleja en una respuesta más lenta del computador ante los requerimientos del usuario. Por otro lado, si la rápida respuesta del equipo es un aspecto esencial para el usuario, quizá se pueda prescindir por completo de la exploración en tiempo real y programar una exploración periódica en el horario más adecuado según sus hábitos de trabajo. Con frecuencia, una combinación de estos modos de funcionamiento representa la mejor alternativa.

Un aspecto que no debe perderse de vista es que el software antivirus debería ser capaz de efectuar exploraciones de archivos almacenados en formato comprimido (archivos tipo ZIP, RAR, GZ, TAR, etc.) y de documentos para aplicaciones de oficina para la detección de los temibles virus tipo macro.

Es bueno considerar que no siempre será posible recuperar la información de un archivo o programa que fue infectado, bien sea por que el propio virus se encarga de destruir parte de su información o porque el software antivirus es incapaz de restaurarlo a su estado original. En estos casos, la información de un documento o archivo sólo podrá ser restablecida si el usuario tomó la precaución de realizar una copia de respaldo previamente. En el caso de los programas y aplicaciones, lo más recomendable es su re-instalación.

Para aquellos virus que son reconocidos pero que el software antivirus no puede remover, es conveniente contar con la posibilidad de colocar dichas infecciones "en cuarentena". De esta manera, además de aislar el virus y prevenir su diseminación, siempre existirá la posibilidad de remover el virus posteriormente, una vez que base de datos del programa se haya actualizado con la información acerca del "nuevo tratamiento" que debe aplicar.

Aunque muchos productos actualmente disponibles ofrecen cierta protección frente al Spyware y el Adware, el control de la descarga y ejecución de códigos y rutinas que utilizan tecnologías Active-X y JAVA generalmente no es bien manejado por el software antivirus convencional. Para proteger efectivamente al sistema de estos virus generalmente es aconsejable instalar una aplicación adicional que detecte el Spyware y evite la modificación –sin consentimiento del usuario– del "registro del sistema", una base de datos que almacena las configuraciones y opciones del sistema operativo MS Windows. Para evitar la aparición de ventanas emergentes se debe utilizar un programa tipo "pop-up blocking" o consultar la red con exploradores de Internet que incluyan herramientas para rechazarlas. Las aplicaciones tipo firewall o "cortafuegos" ayudan a prevenir operaciones de red ilícitas, pero muchas veces puede resultar complicado configurar este tipo de programas. Algunos sistemas operativos actuales incluyen esta solución como parte de las herramientas del sistema.

Existe gran variedad de software antivirus en el mercado, cada uno con sus particularidades en cuanto a configuración y herramientas para "vacunar" y proteger computadores. En la variedad también está incluido el costo. Muchas compañías ofrecen productos gratis para usuarios domésticos, algunas ofrecen la descarga del software para su utilización durante cierto período de prueba. Otras ofrecen herramientas de exploración vía Internet. Hay desarrolladores que ofrecen gratuitamente la "versión básica" de su programa que, aunque ofrece un mínimo de protección, generalmente no es suficiente para defender al computador de los virus más sofisticados –para acceder a los niveles avanzados de protección o activar todas las herramientas disponibles hay que adquirir el producto. Cuando el ataque de un virus se convierte en epidemia, hay compañías que suelen ofrecer herramientas de limpieza gratuitas diseñadas sólo para remover dicho virus. Por otro lado, también es cierto que las compañías no siempre desarrollan productos compatibles con todos los sistemas operativos.

PALABRAS FINALES.

Si se ha tenido la desafortunada experiencia de ver su computador infectado por un virus habrá podido ponderar el alcance de sus acciones. Con el tiempo, el número y variantes de virus se ha incrementado incesablemente y esto se traduce en un aumento del nivel de riesgo de infección. La utilización de un software antivirus luce como herramienta inevitable para mitigar los dañinos efectos de estas amenazas informáticas. Una vez más, determinar cuál es la mejor alternativa para su computador resulta muy difícil. Existen varias fuentes de información donde se presentan comparaciones sobre los software antivirus disponibles en el mercado. Entre ellas, "Virus Bulletin" [7] –tanto en la versión impresa original como en su página web– ofrece gran cantidad de información concreta sobre virus informáticos y procedimientos de protección. Durante varios años, Virus Bulletin ha llevado a cabo pruebas comparativas independientes de muchos productos antivirus y, quizá, este sea un buen punto de partida en el proceso de selección.

La recomendación general en la lucha contra los virus informáticos es practicar "computación segura", es decir, acostumbrar al usuario a observar ciertos hábitos de seguridad cuando utiliza su equipo. A continuación se presenta una lista con algunas sugerencias cuyo fin es ayudar en la lucha contra los virus y otros tipos de código malicioso:

1. Instale, configure y mantenga actualizado el software antivirus de su preferencia: Un programa antivirus resultará muy útil en la defensa de su equipo contra el código malicioso siempre que se utilice correctamente. Y así como recordar el tomar la medicina, recordar utilizar el programa antivirus constituye el primer e insalvable paso. Suena simple pero hay muchos factores que contribuyen a "olvidar" el uso del software antivirus. Si no tiene mucha experiencia con computadoras y virus informáticos, quizá sea aconsejable utilizar un explorador en tiempo real. Si, por otro lado, maneja los conocimientos suficientes, quizá pueda vivir sin esta opción que acostumbra exigir tantos recursos al sistema.

2. Mantenga su sistema operativo actualizado: Muchos de los virus en circulación se aprovechan de las debilidades del sistema operativo. Las organizaciones responsables de estos sistemas operativos tratan permanentemente de robustecer estas vulnerabilidades publicando "parches" que, una vez instalados, "tapan estos agujeros" de seguridad.

3. Instale y utilice un firewall o cortafuegos: Generalmente, los cortafuegos están configurados para proteger su computador de conexiones interactivas no autorizadas provenientes de la red. Si el sistema operativo de su computador posee esta herramienta integrada, utilícela seleccionando las opciones más adecuadas para su entorno.

4. Considere utilizar un explorador de Internet alternativo: Los virus suelen atacar las populares aplicaciones de Microsoft, especialmente el "Internet Explorer" y el "Outlook Express". Utilizar programas diferentes para navegar por Internet y para administrar sus correos electrónicos puede resultar beneficioso. Es probable que el software antivirus que escogió no posee las herramientas para luchar contra el Adware y/o el Spyware. Si este es el caso, será necesario instalar algún programa adicional para cuidar este aspecto.

5. Configure apropiadamente su sistema operativo: Seleccione la opción adecuada para que los nombres de los archivos muestren su extensión, incluso las de aquellos tipos de archivo desconocidos. Si su computador no se encuentra conectado a una red local, inhabilite cualquier opción de compartir archivos e impresoras.

6. Tenga cuidado al abrir los anexos de correos electrónicos, descargando archivos por Internet o transfiriendo archivos de otro computador: Es buena práctica no abrir los archivos adjuntos de aquellos correos electrónicos que provengan de remitentes desconocidos (o, incluso, reenviados por remitentes conocidos). También es buena costumbre realizar una exploración en busca de virus del archivo descargado antes de utilizarlo. Obtenga sus programas sólo a través de fuentes confiables, las páginas web de distribución ilegal de software y las aplicaciones para descarga peer-to-peer (P2P) suelen ser un medio importante para la rápida difusión de virus. No se deje engañar por las extensiones de los archivos, generalmente la última es la importante; por ejemplo, un archivo titulado "hello.mp3.exe" es un programa ejecutable y no un archivo de música. Asegúrese de explorar cualquier medio de almacenamiento (CD, DVD, disco duro, etc.) que haya estado en otro computador tan pronto sea conectado o introducido en su sistema.

7. Cuide su privacidad: Inhabilite la opción para almacenar claves y contraseñas de acceso en el software explorador de Internet. Nunca utilice la opción "des-suscribirse" (o, "unsubscribe") de los correos spam ni responda directamente al remitente ya que, de esta manera, estará confirmando la validez de su dirección de correo electrónico y los autores seguirán enviando estos correos-basura a su cuenta. También es aconsejable no utilizar computadores públicos, de cibercafés o de poca confianza para acceder a servicios financieros o transacciones comerciales.

8. Realice regularmente copias de respaldo de la información más importante: Ningún sistema es completamente seguro. Si posee archivos importantes almacenados en su computador, cópielos en otro medio (CD, DVD, disco duro removible, etc.) y guárdelo en un lugar seguro, preferiblemente, un sitio distinto a donde se encuentra el computador.

Si a pesar de todo esto su computador se ve infectado de alguna u otra forma, la primera regla es... no alarmarse. A menudo los usuarios terminan causando más daño que el propio virus en el intento de aplicar soluciones de recuperación desesperadas. Si su computador se contagia de alguna manera por un virus, existen varias páginas web, listas y grupos donde solicitar ayuda, información y consejos por parte de profesionales y otros usuarios con experiencia.

Lo cierto es que, a medida que la industria de la informática crece, el problema de los virus va desarrollándose junto con ella y, hoy en día, casi ningún sistema está completamente a salvo de un contagio. El empleo del software antivirus se ha convertido en un asunto prácticamente obligatorio para todos los usuarios y, por esta razón, es importante conocer un poco acerca de su funcionamiento para obtener la protección esperada.

Referencias

[1] Ryan, G. P., 1997. Deploying Enterprise-wide Virus Protection. Natick (Massachusetts), USA: The Applied Technologies Group.

[2] CA, 2001. Choosing Antivirus Software. New York, USA: CA, Inc.

[3] Wells, J. y Gordon, S., 2001. The wildlist organization international [en línea]. Disponible en: http://www.wildlist.org [Consulta: 25 de Julio de 2008].

[4] Kalyani, J.; Singh Kahlon, K.; Singh, H. y Kalyani, A., 2006. Analysis of virus algorithms. Journal of Computer Science, 2(10), pp. 785—788.

[5] Trend Micro, 1999. Taking Virus Protection into the 21st Century, your Internet VirusWall. Cupertino (California), USA: Trend micro, Inc.

[6] Sellers, G., 2004. Spyware, an evolution in process. Bethesda (Maryland), USA: SANS Institute.

[7] Virus Bulletin, 2008. Virus Bulletin, Fighting malware and spam [en línea]. Disponible en: http://www.virusbtn.com [Consulta: 27 de Julio de 2008].