El antivirus por firmas compara ficheros contra una base de datos de hashes y patrones de malware conocido. Es rápido y barato, pero sólo identifica variantes vistas antes, de ahí que necesite actualizaciones constantes y no resuelva por sí solo el problema del malware nuevo.
Qué es antivirus
Un antivirus (AV) es software que detecta y elimina malware, virus, troyanos y programas potencialmente no deseados en los endpoints. Combina dos grandes motores: análisis por firmas (cotejo contra bases de datos de malware conocido) y detección heurística o de comportamiento, que observa patrones sospechosos aunque la muestra no esté catalogada. El antivirus clásico tiene limitaciones importantes: es fundamentalmente reactivo, convive con falsos positivos y no identifica con fiabilidad ataques fileless, malware polimórfico ni técnicas evasivas avanzadas. Por eso en arquitecturas actuales se complementa con EDR (Endpoint Detection and Response) para ganar visibilidad continua y capacidad real de respuesta a incidentes.
Por qué importa
Aunque el antivirus por sí solo ya no basta, sigue siendo una capa base obligatoria: bloquea de forma automática y a muy bajo coste la mayor parte del malware masivo y oportunista que llega por correo, navegación o medios extraíbles. Combinado con un EDR maduro forma una defensa por capas donde el AV detiene lo conocido antes de ejecutarse y el EDR observa, correlaciona y responde cuando algo se sale del patrón. Los atacantes sofisticados y las APT evaden el AV mediante polimorfismo (cambios constantes en la estructura del binario), ofuscación y cifrado del código, técnicas fileless que sólo viven en memoria y explotación de vulnerabilidades de día cero. Para cerrar ese hueco el EDR correlaciona eventos de procesos, conexiones de red y cambios en el registro, de forma que la detección ya no depende de tener la firma exacta. Marcos regulatorios como ISO 27001, NIS2 o DORA asumen esta protección en el endpoint como control mínimo, y los informes del sector (por ejemplo el DBIR de Verizon y los paneles de ENISA) muestran de forma recurrente que la ausencia o el mal mantenimiento del control antimalware sigue estando entre los factores más comunes en las brechas analizadas.
Puntos clave
La detección heurística y de comportamiento analiza acciones sospechosas —acceso a ficheros sensibles, cambios masivos en el registro, conexiones de red anómalas— sin depender de una firma concreta. Reduce los falsos negativos a costa de generar más falsos positivos que hay que afinar.
EDR (Endpoint Detection and Response) aporta lo que el AV clásico no tiene: monitorización continua del comportamiento del endpoint, historial investigable de eventos, capacidad de respuesta remota (aislamiento, terminación de procesos, recogida forense) y correlación con el SIEM.
La estrategia moderna combina AV y EDR como capas complementarias: el AV previene la mayoría del malware conocido antes de que se ejecute, mientras que el EDR aporta visibilidad y respuesta frente a ataques sin fichero y actividad post-explotación que el AV nunca llegará a ver.
Mantener el motor y las definiciones al día es tan importante como la herramienta elegida. Un antivirus con firmas atrasadas o con exclusiones heredadas mal revisadas puede dar una falsa sensación de seguridad mientras deja pasar amenazas catalogadas desde hace semanas.
La cobertura debe alcanzar a servidores, estaciones, portátiles, dispositivos móviles corporativos y equipos de teletrabajo. Las brechas más visibles de los últimos años suelen originarse en un endpoint sin protección o con el agente desactivado por 'rendimiento', no en una sala de servidores bien defendida.
Ejemplo: las limitaciones del antivirus sin EDR
Una organización media-alta mantiene sólo antivirus tradicional en sus endpoints y confía en que las actualizaciones diarias sean suficientes. Un atacante introduce malware polimórfico que regenera su firma cada pocos minutos; aunque el AV está al día, la muestra concreta nunca aparece en la base de datos, el binario entra por una campaña de phishing dirigida y consigue persistencia en una estación sin generar alertas. A las pocas horas el atacante ya se mueve lateralmente y recoge credenciales, mientras el panel del AV sigue mostrando un estado 'sano'.
Tras el incidente la empresa incorpora EDR en todos los endpoints críticos y, cuando el despliegue se hace con criterio y playbooks de respuesta, la detección pasa a dispararse en cuestión de minutos: el EDR identifica un proceso legítimo comportándose de forma inusual, con conexiones a infraestructura externa desconocida y cambios sospechosos en el registro, genera la alerta y permite aislar el equipo, terminar el proceso, abrir un IoC corporativo y barrer el resto del parque buscando la misma actividad. Lo que antes pasaba desapercibido durante días se contiene antes de que haya impacto de negocio.
Errores habituales
- Asumir que el antivirus por sí solo es suficiente. El malware moderno evade firmas de forma sistemática y una estrategia basada únicamente en AV deja a la organización ciega ante ataques fileless y actividad post-explotación.
- Desactivar el antivirus en servidores 'porque consume recursos'. Incluso cuando el EDR es el control principal, el AV sigue siendo una capa adicional de muy bajo coste que frena el malware masivo antes de que el EDR tenga que intervenir.
- No actualizar definiciones ni el motor. Un AV con firmas de hace semanas deja pasar amenazas ya catalogadas y convierte la herramienta en un control de cumplimiento vacío.
- Mantener listas de exclusión heredadas sin revisar. Las rutas y procesos que alguien excluyó hace años para resolver un problema puntual suelen ser aprovechados por el atacante como zona ciega para ejecutar sus binarios.
- No cubrir todos los endpoints relevantes. Dejar fuera servidores concretos, equipos de teletrabajo o dispositivos móviles corporativos rompe la estrategia entera, porque al atacante le basta con un único punto sin protección para entrar.
Términos relacionados
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿Qué diferencia hay entre antivirus y EDR?
Un antivirus detecta malware comparando ficheros contra firmas conocidas y aplicando reglas heurísticas, y responde bloqueando o eliminando el binario. Un EDR monitoriza en tiempo real el comportamiento del endpoint, guarda un historial investigable, permite respuesta remota (aislamiento, terminación de procesos, recogida forense) y correlaciona eventos entre muchos equipos. El AV es prevención; el EDR es detección y respuesta. En una estrategia moderna los dos son necesarios.
¿Por qué los ataques fileless evaden al antivirus?
Los ataques fileless ejecutan el código directamente en memoria sin llegar a escribir un binario en disco, así que el antivirus, que analiza ficheros, no tiene sobre qué trabajar. Las técnicas típicas incluyen PowerShell malicioso, inyección en procesos legítimos y explotación en memoria. El EDR sí los detecta porque observa comportamiento: un proceso legítimo con patrones anómalos, conexiones inesperadas o elevación de privilegios sin justificación se convierten en señal aunque no exista fichero que firmar.
¿Qué antivirus conviene desplegar en endpoints corporativos?
La elección depende del parque (sistema operativo, tipología de usuarios, carga de trabajo) y del nivel de madurez del programa de seguridad. En entornos corporativos lo habitual es apoyarse en soluciones de antivirus de nueva generación que ya integran motor AV y capacidades EDR en un único agente gestionado. Más importante que la marca concreta es asegurarse de que la cobertura es completa (servidores, estaciones, portátiles, móviles), las definiciones se actualizan de forma automática y la telemetría llega a un SOC capaz de investigar y responder a las alertas.