Como bien informan en el blog de ESET en inglés, unos investigadores han realizado un experimento en un evento de Seguridad Informática realizado en Europa. El mismo consistía en deshabilitar diversos software antivirus, logueado en un sistema con permisos administrativos. ESET NOD32 Antivirus ha sido parte de la evaluación cuyos resultados pueden observarse aquí, habiendo obtenido buenas respuestas respecto a otras soluciones que se han podido desactivar manipulando ciertos archivos.
Lo interesante de este experimento es que, aunque de utilidad como experimento y prueba, los resultados son dificiles de aplicar en la vida real, y hay ciertos aspectos para destacar y aprender sobre el funcionamiento de los antivirus, y recordar algunas buenas practicas en seguridad.
En primer lugar, el "detalle" de que la prueba fue realizada con un usuario con permisos administrativos no es menor, sino que ratifica la importancia de no utilizar este tipo de usuarios en el uso diario de la computadora. Una vez que un atacante posee permisos ilimitados sobre el sistema, el espectro de acciones maliciosas es mucho más extenso (y extremadamente más sencillo) que con otro usuario con permisos restringidos.
Además, como recuerda Pierre-Marc Bureau, investigador de ESET, la metodología utilizada no puede ser aplicable al malware:
El malware debe poder ejecutar código para deshabilitar el antivirus. Si un código maliciosos es detectado, nunca podrá ejecutarse y por lo tanto el proceso del antivirus es seguro. Nuestra detección proactiva es la mejor defensa contra cualquier malware que desee deshabilitar el programa de ESET.
Por lo tanto, recuerden que siempre es importante, no solo contar con un antivirus con capacidades proactivas de detección, sino también acompañar a la tecnología con medidas como restringir los permisos de los usuarios.
Sebastián
