El mundo de antivirus

martes 27 de febrero de 2024

En algunas ediciones de “El Mundo de Antivirus”, a menudo informamos sobre la diversidad del mundo del malware y otras amenazas informáticas. En nuestra opinión, el mundo digital aún está en la etapa de la "sociedad primitiva", cuando cualquiera puede poner a prueba la solidez de sus ventanas y puertas virtuales para robar o destruir sus bienes o intentar engañarle para conseguir sus claves y secretos. Por eso siempre recomendamos usar un enfoque holístico en el área de seguridad: seguir las normas de higiene digital y usar la protección antivirus de confianza para todos los dispositivos que la necesiten.

Los ordenadores con Windows sobre todo necesitan esta protección, por muchas razones que ya hemos comentado en las páginas de nuestro proyecto. Entre las mismas, cabe mencionar la popularidad de este sistema operativo, un gran número de programas maliciosos escritos para el mismo, el carácter bastante abierto del sistema (especialmente en caso de trabajar con la cuenta de administrador), y algunas otras.

La protección antivirus del sistema debe ser completa, suficiente, multinivel y flexible para adaptarse a las condiciones de trabajo específicas. Los componentes obligatorios, tales como el escáner, el monitor de archivos y los mecanismos de protección preventiva de un producto completo se combinan con módulos adicionales para que los usuarios, en primer lugar, confíen en la seguridad informática y, en segundo lugar, configuren las funciones necesarias según sus necesidades. Ya hemos hablado de un componente de este tipo, el Control Parental, anteriormente.

En el artículo de hoy de El Mundo de antivirus, informaremos de otra función de Dr.Web Security Space para Windows - Protección contra la pérdida de datos. Este componente proporciona una protección extra de los datos del usuario contra la modificación por programas maliciosos e intrusos. Vamos a ver cómo funciona.

La Protección contra la pérdida de datos le permite evitar la modificación del contenido de cualquier carpeta de usuario a nivel del controlador del núcleo antivirus. Uno puede añadir una carpeta aleatoria a la lista de carpetas protegidas, y todos los archivos que la misma contenga seguirán disponibles solo para lectura o copia, mientras que la modificación y eliminación por parte de programas que no son de confianza estarán prohibidas. Por defecto, Dr.Web permite el acceso a los archivos a una serie de programas de confianza, cuya lista puede consultarse aquí. Al mismo tiempo, a los procesos del sistema no se les permite acceder a los archivos protegidos, porque estos procesos pueden ser usados por malware para atacar al sistema. Un ejemplo es explorer.exe, encargado de ejecutar el Navegador de Windows.

Así mismo, es importante tener en cuenta que los directorios de sistema y raíz no deben añadirse a la lista de archivos protegidos, porque de esta forma el propio sistema operativo no funcionará correctamente. Dr.Web detecta automáticamente las carpetas del sistema y no permite seleccionarlas, y de esta forma no se puede dañar el sistema por casualidad.

Como nuestros lectores ya habrán adivinado, la función de Protección contra Pérdida de Datos ofrece protección extra de los archivos contra cifradores y otros programas maliciosos, incluso si los mismos han sido iniciados con permisos de administrador o usan procesos legales o de confianza a nivel del sistema operativo. El malware simplemente no podrá acceder a los archivos, y así no podrá cifrarlos ni eliminarlos. A continuación, veremos algunos ejemplos más ilustrativos de uso del componente, pero por ahora configuremos juntos esta función e intentemos proteger dos carpetas: una con acceso completamente prohibido y la otra con acceso parcial para programas de confianza.

Escenario nº 1 - prohibición completa de acceso a ficheros

Este escenario no es predeterminado, pero empezaremos con el mismo para entender mejor cómo funciona el componente. Tengamos en cuenta desde el principio que la Protección contra la Pérdida de Datos sólo funciona con los archivos y directorios que físicamente están en el disco duro del ordenador.

Cree una carpeta de prueba en cualquier sitio adecuado (por ejemplo, en el escritorio) y copie a la misma varios archivos aleatorios. Abra el Centro de seguridad Dr.Web, vaya a la sección Dispositivos y datos personales y seleccione el componente Protección contra la pérdida de datos.

Se abrirá una ventana para configurar el componente. Tenga en cuenta que para realizar cambios, el Centro de Seguridad Dr.Web debe iniciarse en modo de administrador. Para ello, haga clic en el icono del candado y permita que el antivirus realice cambios en el sistema.

Haga clic en el botón Agregar nuevo elemento para abrir el cuadro de diálogo Configuración de la carpeta protegida. En la ventana que aparece, haga clic en Examinar y seleccione la carpeta creada anteriormente; a continuación, desmarque Permitir que las aplicaciones de confianza de Dr.Web modifiquen el contenido de la carpeta. Haga clic en Aceptar para añadir la carpeta especificada a la lista de carpetas protegidas.

En este modo, los archivos de la carpeta estarán protegidos contra cualquier cambio, incluidos el borrado, el cambio de nombre y los cambios de permisos con los medios de Windows. Sin embargo, este método impone restricciones a la hora de trabajar con los archivos. Tanto las aplicaciones como los procesos del sistema y del usuario no tendrán permisos para editar datos. Por ejemplo, si uno trabaja con documentos de texto, no podrá editarlos ni guardarlos en el mismo archivo mientras estén protegidos. Las restricciones se aplicarán incluso si uno trabaja en modo de administrador. Sin embargo, podrá ver y copiar archivos y guardar los cambios en nuevos archivos, así como copiar libremente los nuevos archivos a una carpeta protegida, y así los mismos quedarán protegidos de forma inmediata.

Cabe mencionar otra característica de implementación del componente. Se puede crear nuevos elementos en la carpeta protegida, así como modificarlos (y eliminarlos) usando los procesos que los crearon, hasta que estos procesos finalicen. Por ejemplo, uno ha creado un fichero de texto en la carpeta protegida. Después, puede cambiar el nombre del mismo o borrarlo usando Windows, porque el proceso del sistema que creó este archivo, encargado de borrarlo, sigue funcionando. Pero no se puede borrarlo o cambiar su nombre con otra aplicación.

Escenario #2 - Conceder los permisos a las aplicaciones de confianza

Este escenario se usa por defecto. En caso de añadir una carpeta a la lista protegida, todos los programas excepto los de la lista de confianza tienen prohibido modificar o borrar su contenido. Este modo le permite al usuario trabajar con archivos en aplicaciones de confianza. Como se mencionó anteriormente, los procesos del sistema no son de confianza - esta precaución evita que los troyanos de cifrado y otros programas maliciosos accedan a los archivos incluso en caso de usar procesos legales del sistema.

Cree otra carpeta de prueba en cualquier sitio adecuado y copie a la misma algunos archivos aleatorios. Siga los pasos descritos en la sección anterior, pero al añadir una carpeta protegida, no desactive la casilla Permitir que las aplicaciones de confianza de Dr.Web modifiquen el contenido de la carpeta.

Ahora intente trabajar con los ficheros en sus programas de siempre. Si los mismos están en la lista de confianza, podrá editar el contenido de los archivos protegidos con ellos. Sin embargo, estará prohibido borrar y cambiar los nombres archivos con las herramientas estándar de Windows.

Otra opción útil de la Protección contra la pérdida de datos es la posibilidad de configurar excepciones para los programas. De este modo, uno puede añadir un programa que tendrá acceso a los archivos de la carpeta protegida. Tenga en cuenta que en caso de añadir excepciones reducirá el nivel de protección, por lo cual se recomienda hacerlo con prudencia y sólo en caso necesario para el trabajo.

Se puede asignar excepciones tanto en caso de añadir una nueva carpeta como para las carpetas ya protegidas en la ventana de edición. Para ello, haga clic en el botón Añadir aplicación de la sección Excepciones y especifique la ruta del archivo ejecutable del programa al que desea dar acceso a los archivos protegidos.

El número de aplicaciones que tienen acceso completo a la carpeta protegida se especifica en la ventana principal de Protección contra pérdida de datos, en la columna Excepciones de usuario.

Ejemplos de uso del componente

La protección contra la pérdida de datos puede ser útil para restringir el acceso a información almacenada, por ejemplo, a las copias de seguridad o archivos de documentos ya listos en el disco duro de su ordenador. De esta forma, la función puede ser muy útil si uno desea que alguna información esté disponible sólo para lectura y copia. En este caso, los datos estarán protegidos no sólo del malware, sino también de cualquier modificación realizada por casualidad. La configuración flexible también le permite personalizar el funcionamiento del componente según sus necesidades. Por ejemplo, se puede prohibir el acceso a los archivos de una carpeta a todos los programas excepto un programa determinado. Y en otra carpeta, uno puede permitir el acceso a todas las aplicaciones de confianza.

En general, si uno no necesita acceso frecuente a algunos datos para realizar cambios, se recomienda protegerlos con esta función. Sobre todo, si el ordenador funciona en un entorno con amenazas de virus.

En caso de usar el dispositivo como un repositorio de copias de seguridad completo, también se puede proteger los directorios de copia de seguridad. Sin embargo, en este caso habrá que añadir la utilidad de copia de seguridad a las excepciones para que la misma pueda realizar copias de seguridad incrementales y sustituir los archivos protegidos, o elegir un modo de copia para no modificar los archivos protegidos. Una combinación de funciones antivirus y de utilidad de copia de seguridad bien configurada permitirá mantener la seguridad de sus datos.

Aunque el componente de protección contra la pérdida de datos está destinado sobre todo para proteger sus datos contra las acciones destructivas del malware, también puede ayudarle si un intruso obtiene acceso remoto a su sistema. Puede proteger la configuración de Dr.Web con la contraseña, sin la cual será imposible desactivar el componente. De esta forma, un intruso no podrá borrar o modificar los datos protegidos, aunque tenga permisos de administrador.

También hay que prestar atención a la protección de los datos que se guardan en el almacenamiento en la nube y se sincronizan con el ordenador local. Se puede proteger las copias locales de los archivos en la nube, es decir, los que ya están en su dispositivo. Sin embargo, los archivos que están directamente en la nube no estarán protegidos. Si un programa cliente de almacenamiento en la nube forma parte de las aplicaciones de confianza de Dr.Web y al mismo tiempo está permitido el acceso a estas aplicaciones, también se permitirá modificar o eliminar archivos a través de este programa.