AV basado en firmas: compara archivos contra base de datos de hashes/patrones de malware conocido. Rápido pero incompleto: solo detecta variantes de malware previamente visto.
Qué es antivirus
Antivirus (AV) es software que detecta y elimina malware, virus, troyanos y programas potencialmente no deseados de endpoints. Implementa análisis de firmas (comparación contra base de datos de malware conocido) y detección heurística/comportamental (analiza patrones sospechosos incluso si malware es desconocido). Sin embargo, antivirus tradicional tiene limitaciones críticas: es reactivó (detecta lo que ya es conocido), tiene tasas de falsos positivos, y no detecta ataques fileless o técnicas evasoras sofisticadas. CISOs modernos deben complementar AV con EDR (Endpoint Detection and Response) para visibilidad y respuesta a incidentes.
Por qué importa
Aunque antivirus solo no es suficiente, es capa base defensiva obligatoria: reduce riesgo de malware automático/masivo. Combinado con EDR robusto proporciona capas: AV detiene malware conocido antes de ejecutarse; EDR monitorea comportamiento y permite respuesta rápida. Sin embargo, APTs y atacantes avanzados evaden AV mediante: polimorfismo (malware cambia estructura), ofuscación (código cifrado), técnicas fileless (ataque solo en memoria), explotación de vulnerabilidades zero-day. Por eso EDR es esencial: correlaciona logs de procesos, conexiones de red, y cambios de registro para detectar actividad sospechosa independiente de firma de AV. Regulaciones exigen AV en endpoints: ISO 27001, NIS2, DORA requieren protección contra malware en dispositivos finales.
Puntos clave
Detección heurística: analiza comportamiento (acceso a arquivos sensibles, cambios de registro, conexiones de red) sin requerer firma. Reduce falsos negativos pero aumenta falsos positivos.
EDR (Endpoint Detection Response): monitoreo continuo de comportamiento en endpoint, análisis histórico, y respuesta remota. Esencial en estrategia moderna de defensa.
AV + EDR: capas complementarias. AV = prevención de malware conocido; EDR = visibilidad y respuesta a incidentes, incluso ataques sin malware.
Ejemplo: Limitaciones de AV sin EDR
Empresa tiene solo antivirus tradicional. Atacante lanza malware polimórfico que cambio firma cada 30 minutos para evadir AV. Aunque AV está actualizado, malware no está en base de datos. Acceso conseguido a endpoint sin alertas. Con EDR implementado, detección inmediata: EDR nota proceso inusual ejecutando conexiones a IP externa maliciosa, cambios sospechosos en registro, y descarga de payload. Alerta en tiempo real permite respuesta: aislamiento del endpoint, análisis forense, búsqueda en otros sistemas. Sin EDR, atacante habría permanecido desapercibido días o semanas.
Errores habituales
- Asumir que AV solo es suficiente; malware moderno evade firmas. Complementar con EDR es obligatorio.
- Deshabilitar AV en servidores 'porque consume recursos'; aunque EDR sea primario, AV es capa adicional de defensa de bajo coste.
- No actualizar definiciones de AV; si motor de firmas está desfasado meses, nuevos tipos de malware no son detectados.
Términos relacionados
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿Cuál es la diferencia entre antivirus y EDR?
AV detecta malware basado en firmas/heurística y lo elimina. EDR monitorea comportamiento en tiempo real, permite respuesta remota (aislamiento, kill process, análisis forense), y correlaciona eventos en múltiples endpoints. AV es prevención; EDR es detección y respuesta. Ambos son necesarios en estrategia moderna.
¿Por qué los ataques fileless evaden antivirus?
Fileless ejecuta código solo en memoria RAM sin escribir en disco, por lo que AV no ve archivo ejecutable de malware. Técnicas: PowerShell malicioso, inyección en procesos legítimos, explotación en memoria. EDR detecta cambios de comportamiento (proceso legítimo con comportamiento anómalo, conexiones no esperadas).
¿Qué AV debe instalar en endpoints empresariales?
Depende de infraestructura. Microsoft Defender (incluido en Windows) es base; está mejorado. Herramientas enterprise como CrowdStrike, SentinelOne, Carbon Black combinan AV + EDR. Evaluación mediante pentesting revela qué herramienta es más efectiva contra amenazas objetivo.