¿En qué consiste el análisis heurístico?

El análisis heurístico es un método de detección de virus mediante el análisis del código de propiedades sospechosas.

Los métodos tradicionales de detección de virus identifican el malware mediante la comparación del código de un programa con el código de tipos de virus conocidos que ya han sido localizados, analizados y registrados en una base de datos, lo que se conoce como detección de firmas.

Aunque es útil y sigue en uso, el método de detección de firmas se ha quedado limitado debido al desarrollo de las nuevas amenazas que surgieron durante el cambio de siglo y siguen surgiendo continuamente.

Con el objetivo de solucionar este problema, se diseñó específicamente el modelo heurístico para identificar características sospechosas presentes en virus nuevos y desconocidos y en versiones modificadas de amenazas existentes, además de en muestras de malware conocido.

Los ciberdelincuentes desarrollan nuevas amenazas continuamente y el análisis heurístico es uno de los pocos métodos que se utilizan para tratar el enorme volumen de estas nuevas amenazas que se ven a diario.

Además, el análisis heurístico es uno de los pocos métodos capaces de combatir los virus polimórficos , término para el código malicioso que está en constante cambio y adaptación. El análisis heurístico va incorporado en soluciones de seguridad avanzada que ofrecen empresas como Kasperskys para detectar nuevas amenazas antes de que puedan causar daños, sin necesidad de una firma específica.

¿Cómo funciona el análisis heurístico?

El análisis heurístico puede utilizar técnicas diferentes. Un método heurístico, conocido como análisis heurístico estático, implica la descomposición de un programa sospechoso y el análisis de su código fuente. A continuación, este código se compara con otros virus que ya se conocen en la base de datos heurística. Si un porcentaje determinado del código fuente coincide con algo de la base de datos heurística, el código se señala como posible amenaza.

Otro método es el conocido como heurísticas dinámicas. Cuando los científicos quieren analizar algo sospechoso sin poner en peligro a la sociedad, guardan la sustancia en un entorno controlado, como un laboratorio seguro, y ahí realizan las pruebas. El análisis heurístico sigue un proceso parecido, pero en un mundo virtual.

Aísla el programa o la parte del código sospechoso en una máquina virtual especializada, o sandbox, y deja que el programa antivirus pruebe el código y simule lo que pasaría si el archivo sospechoso llegara a ejecutarse. Examina cada comando conforme se va activando y busca comportamientos sospechosos, como la autorreplicación, sobrescribir archivos y otras prácticas habituales de los virus.



Posibles problemas

El análisis heurístico es idóneo para identificar nuevas amenazas pero, para que sea efectivo, las heurísticas deben ajustarse con cuidado para conseguir la mejor detección posible de nuevas amenazas sin generar falsos positivos en códigos totalmente inofensivos.

Por eso, las herramientas heurísticas suelen ser solo una de las armas de un sofisticado antivirus arsenal. Normalmente se utilizan junto con otros métodos de detección de virus, como el análisis de firmas y otras tecnologías proactivas.

Artículos relacionados:

• ¿Qué es el adware?
• ¿Qué es un troyano?
• Hechos y preguntas frecuentes sobre los virus informáticos y el malware
• Spam y phishing

Productos relacionados:

• Kaspersky Total Security
• Kaspersky Internet Security
• Kaspersky Antivirus
• Kaspersky Internet Security for Mac
• Kaspersky Internet Security for Android