Cómo detecta el antivirus los virus desconocidos: Análisis Heurístico

El funcionamiento básico de los antivirus utiliza una base de datos en la que incluyen los virus que han sido previamente identificados por el laboratorio de la compañía de antivirus. En dicha base se almacenan lo que se denominan "firmas" de los virus, que son códigos que identifican a cada virus, de modo que ante un archivo que esté incluido en la base de firmas del antivirus éste lo detecta y lo bloquea o elimina.
El problema es que cada día aparecen miles de nuevos ejemplares de virus y de malwares, tanto de nuevo diseño como modificaciones de otros ya existentes, y hasta que son identificados por los laboratorios de las compañías e incluidos en las bases de firmas no son detectados por los antivirus.
Para evitar que el usuario quede desprotegido ante estas nuevas amenazas los antivirus complementan su sistema de detección por firmas con un sistema de Análisis Heurístico, que intenta detectar los virus que no están en la base de firmas.
En términos generales la heurística es un conjunto de técnicas para resolver un problema mediante la evaluación de los progresos logrados en la búsqueda del resultado final, utilizando la experiencia y la observación de la resolución de problemas similares.
Aplicado a los antivirus, la detección heurística o "proactiva" se refiere a las técnicas de detección de virus desconocidos mediante la búsqueda de patrones comunes con virus conocidos o de comportamientos sospechosos que indiquen la potencial peligrosidad de un código o archivo.
La ventaja de las técnicas heurísticas es que permiten a los antivirus detectar nuevos malwares que no están aún incluidos en sus bases de firmas, pero tienen el inconveniente de que lo que detectan son códigos "sospechosos", lo que da lugar a falsos positivos.
Los antivirus suelen permitir al usuario seleccionar la "sensibilidad heurística" que quiere que tenga el programa, más baja o más alta, lo que determina lo exigente que será el sistema a la hora de "juzgar" un archivo como posible virus. Una sensibilidad heurística baja puede ser un coladero que deje pasar programas maliciosos, mientras que una sensibilidad heurística alta puede hacer que el antivirus salte ante cualquier archivo inofensivo (falsos positivos), de modo que las compañías antivirus suelen recomendar para la mayoría de usuarios una sensibilidad media.
Ver también: Antivirus y falsos positivos