Dentro del mundo de la seguridad informática y de los antivirus, nos encontramos con que este tipo de productos nos ofrecen una infinidad de características para tratar de convencernos y de ser el software que elijamos para la protección de nuestro equipo, por lo que no es raro ver como nos ofrecen módulos anti malware o módulos de análisis heurístico, y hoy vamos a descubrir qué significa este último.

Para ayudarnos a comprender un poco más este tipo de seguridad, vamos a ver a continuación una imagen, la cual representa el análisis heurístico en primer lugar y posteriormente el análisis a través de firmas, o lo que podríamos llamar análisis clásico.

Vamos a empezar por el final, por el análisis clásico.

Antivirus clásico

Un antivirus clásico o basado en firmas, realiza la detección de las amenazas en base de datos a una firma de virus, de esta forma, analiza archivos o procesos y los coteja con esa base de datos, si al cotejarlos descubre que ese fichero o proceso está incluido en la base de datos, entiende que se trata de una infección y procede a eliminarla.

Ahora bien, este método requiere de una actualización total de nuestro antivirus, ya que si no cuenta con la última versión de la base de datos, habrá infecciones que no puedan ser detectadas. Además, por mucho que estemos actualizados al máximo nivel, si la compañía que nos ofrece el antivirus no ha contemplado cierta infección en sus bases, esta pasará desapercibida para nuestro software antivirus.

El principal problema de esta técnica es que estamos más expuestos a infecciones recién salidas del horno, ya que todavía no constarán la base de datos y por lo tanto no las podremos detectar.

Análisis heurístico

A diferencia del antivirus clásico, esta opción no hace su análisis guiandose por bases de datos de infecciones, lo hace guiándose por el comportamiento que pueda tener cierto archivo, proceso, servicio, etc.

Se podría decir que este método es totalmente proactivo, ya que en vez de dedicarse únicamente a ver si nuestra compañía ha catalogado ya alguna infección, se centra en analizar el comportamiento de la posible infección para determinar si realmente se trata de algo peligroso o no.

Por poner un ejemplo, supongamos que nos ha llegado un ejecutable que en realidad de trata de un virus de última hornada, recién lanzado, en función de como actúe nuestro antivirus nos podemos encontrar en el siguiente escenario:

1. Antivirus clásico: Nuestro antivirus coteja el ejecutable contra su base de datos, pero al ser tan reciente o al no estar la base de datos totalmente actualizada, desconoce los riesgos de este malware y le deja actuar.
2. Antivirus heurístico: No le importa que se encuentre en una base de datos o no, ya que analizará qué es lo que pretende realizar ese ejecutable y al detectar que se trata de una acción maliciosa lo bloqueará al instante.

En contra de este método, podemos decir que puede emitir más falsos positivos e incidir en el rendimiento del equipo más que el antivirus clásico.

En conclusión

A todas luces, estaremos mucho más protegidos si activamos o si contamos con una opción de análisis heurístico en nuestro sistema que si no contamos con él, ahora bien, debemos tener en cuenta que posiblemente recibiremos más falsos positivos que si trabajamos contra una base de datos contrastada, pero al fin y al cabo si lo que nos preocupa es nuestra seguridad, siempre es recomendable optar por activar o disponer de una solución del tipo heurístico.