El mundo de antivirus

miércoles, 10 de abril de 2024

En El Mundo de Antivirus a menudo informamos sobre la importancia de la protección integral de los dispositivos frente a las amenazas de virus. Esto se aplica no sólo a los equipos con Windows - cada sistema operativo requiere un enfoque especial de seguridad debido a sus características específicas, arquitectura y propósito. Y los usuarios de hogar, que con mayor frecuencia eligen Windows o macOS, están potencialmente expuestos a un gran número de amenazas digitales. Y no se trata solo de posibles infecciones de malware, especialmente en caso de Windows, que sigue siendo uno de los líderes en cuanto a estos indicadores. También hay otros peligros, como el fraude en línea, que lamentablemente siempre tiene que ver con Internet. Tomando en cuenta que cada vez hacemos más cosas más en línea, la actividad fraudulenta es un verdadero problema del entorno digital actual.

Si tomamos en cuenta las amenazas de virus, también en este caso el principal canal de su propagación es la Red Global. Por ejemplo, los troyanos, backdoors, cifradores y otros programas peligrosos a menudo se camuflan por software útil que los usuarios buscan en varios sitios web. Cabe mencionar que en Internet existen muchos enlaces a sitios donde se propagan varios archivos ejecutables infectados o funcionan scripts maliciosos.

Por supuesto, un buen antivirus debería neutralizar las amenazas si las mismas aparecen en el disco duro o en la memoria RAM del dispositivo, sin importar cómo llegó el código malicioso al equipo. Para ello se usan varias tecnologías y métodos de detección. Pero hoy día, es muy importante contar con un método extra de protección para garantizar la seguridad del equipo y del usuario en caso de trabajar en línea. Por lo tanto, una tarea importante del software antivirus es controlar y filtrar el tráfico de red que pasa a través del equipo protegido. En el artículo de hoy informaremos sobre el módulo SpIDer Gate, que forma parte del producto Dr.Web Security Space para la protección de equipos. En los productos Dr.Web, este componente también se llama web antivirus.

¿Qué es un web antivirus?

SpIDer Gate existe en Dr.Web Security Space para Windows, macOS y Linux. A pesar del concepto general, en todos los casos algunas características de la implementación y funcionalidad del módulo son distintos debido a las diferencias fundamentales en los propios sistemas operativos. A continuación, vamos a analizar SpIDer Gate en el contexto del sistema más popular - Windows.

El antivirus web SpIDer Gate es un monitor de Internet que escanea y filtra el tráfico web. El tráfico en sentido general es la cantidad de datos transmitidos a través de la red. No entraremos en detalles técnicos, pero vamos a aclarar que en este artículo hablaremos del tráfico transmitido a través del protocolo HTTP y su versión segura HTTPS. HTTP (Hypertext Transfer Protocol) es un protocolo de red de nivel superior que se ejecuta sobre la pila de protocolos TCP/IP. Varios programas utilizan diferentes protocolos para intercambiar información. Por ejemplo, cuando un equipo está conectado a Internet, su sistema operativo suele tener abiertas muchas conexiones de red. Casi siempre funcionan de forma invisible para el usuario. Por ejemplo, el sistema operativo se conecta de vez en cuando a los servidores adecuados para comprobar y descargar actualizaciones. Las aplicaciones también pueden usar Internet para varios objetivos: autenticación de licencias, descarga de actualizaciones y archivos, envío de datos de diagnóstico y estadísticas, telemetría, etc. Algunas conexiones funcionan "en abierto", por ejemplo, cuando un usuario utiliza un navegador para visitar sitios en Internet. El protocolo HTTP permite al navegador comunicarse con el servidor web, recuperar y mostrar el contenido de las páginas y descargar archivos. Además de los navegadores, muchas aplicaciones también realizan comunicaciones de red usando HTTP. Cabe destacar que el tráfico web representa la mayor parte del intercambio que generan los usuarios al navegar por Internet.

El antivirus web SpIDer Gate analiza este tráfico en busca de objetos maliciosos en tiempo real. El escaneo de datos no depende del navegador ni de la aplicación usadas, ni del puerto por el que pasa el tráfico web. En función de la configuración, SpIDer Gate puede analizar tanto el tráfico entrante como el saliente, así como los datos transmitidos a través del protocolo seguro HTTPS. Los objetos maliciosos y las páginas infectadas se bloquean automáticamente antes de descargarse en el equipo, lo que mejora bastante la seguridad del dispositivo. Además, SpIDer Gate se encarga de filtrar los recursos de phishing y los sitios que propagan malware. Para ello, se usan los datos del servicio en la nube y las bases de datos de virus actuales de Dr.Web.

¿Cómo funciona SpIDer Gate?

El componente SpIDer Gate funciona a base del servicio Dr.Web Net filtering Service, que también proporciona el funcionamiento de los componentes Control Parental y Dr.Web SpIDer Mail. Este servicio es un filtro y, como un servidor proxy, analiza todas las conexiones de red para escanear el tráfico. El funcionamiento continuo en segundo plano del servicio y del antivirus web SpIDer Gate, en particular, casi no afecta a la velocidad de su equipo ni a la calidad de su conexión a Internet. Cabe mencionar que el propio servicio Dr.Web Net filtering Service no consume tráfico de red. Los analizadores y sistemas de gestión de terceros pueden “confirmar” que este servicio consume mucho tráfico, pero en realidad la transferencia de datos la inician otras aplicaciones - el filtro sólo actúa como intermediario para la comprobación.

Pero volvamos directamente a SpIDer Gate y el tráfico web. Por defecto, el antivirus web sólo escanea el tráfico HTTP entrante. En caso necesario, se puede añadir el análisis del tráfico saliente, así como activar el análisis de los datos cifrados transmitidos a través del protocolo seguro HTTPS. Nuestros lectores recuerdan que no se puede consultar el contenido cifrado de forma habitual. ¿Cómo puede entonces el antivirus escanear y analizar este tráfico? En este caso, para esquivar las limitaciones fundamentales, Dr.Web actúa como intermediario entre el servidor web remoto y el equipo, usando su propio certificado de seguridad raíz (informamos sobre certificados digitales y HTTPS en este artículo). De esta forma, el tráfico HTTPS permanece protegido de usuarios no autorizados y al mismo tiempo se escanea por el componente SpIDer Gate. Además, en este modo, los sitios que admiten la transmisión HTTPS visualizarán un certificado Dr.Web en vez del uno emitido a propósito para el sitio. Por lo tanto, si uno suele comprobar los certificados de los sitios en su navegador de vez en cuando y activa el escaneo de tráfico seguro, verá un certificado Dr.Web – y es correcto. Por cierto, otros proveedores de antivirus tienen comprobación similar.

Además del análisis antivirus de los datos transmitidos, SpIDer Gate filtra los sitios por URL. El acceso a sitios conocidos como fuentes de propagación de malware se bloquea automáticamente. Sin embargo, las bases de datos de Dr.Web también contienen sitios no recomendados que pueden perjudicar al usuario de algún modo. Por defecto, el acceso a estos sitios también se limita, pero el usuario puede añadir el sitio deseado a excepciones o desactivar el bloqueo de estos recursos asumiendo el riesgo. Tenga en cuenta que el escaneo antivirus de estos sitios funcionará en cualquier caso.

¿Cómo configurar SpIDer Gate?

Con la configuración predeterminada, el antivirus web funciona en modo óptimo. Al mismo tiempo, el usuario puede personalizar el componente en función de sus necesidades. Por ejemplo, en caso de activar el escaneo del tráfico HTTPS mejorará la seguridad general, pero en algunos casos puede ser necesario importar un certificado digital Doctor Web en una aplicación o, en caso de algún conflicto, añadir la aplicación a excepciones. Antes de hacerlo, asegúrese de que la aplicación por excluir es segura.

La opción de escanear el tráfico web saliente puede ser redundante en circunstancias normales, por lo cual la misma está desactivada por defecto. El tráfico malicioso saliente se genera si el dispositivo ya está infectado con malware o forma parte de una botnet. Sin embargo, en este caso, la tarea de eliminar la amenaza la asumen otros módulos antivirus, que deben funcionar de forma correspondiente y preventiva. La opción de escanear el tráfico web saliente puede ser necesaria para usuarios avanzados, si el equipo funciona en un entorno peligroso desde el punto de vista de las amenazas de virus.

Una configuración bastante importante son las excepciones: una lista blanca de aplicaciones cuyo tráfico web se excluirá del análisis. Sin embargo, no recomendamos añadir aplicaciones a excepciones sin bastante necesidad, especialmente aquellas que no tienen una firma digital válida (sin embargo, incluso la existencia de una firma no es ninguna garantía de seguridad de un programa).

Como ya hemos mencionado anteriormente, es posible crear una lista blanca de sitios a los que se podrá acceder sin importar la configuración del componente. Si la opción Bloquear sitios no recomendados está activada en SpIDer Gate, el usuario puede permitir acceso a algunos sitios al añadirlos a la lista de excepciones. Al mismo tiempo, cabe mencionar que la política aplicada a los sitios no recomendados es similar a la detección de software no deseado, de lo cual informamos en este artículo. El control de acceso a estos recursos por parte del antivirus es un modo de protección extra de usuarios.