Blog Laboratorio Hispasec

Bernardo, ilústranos. Te hablo desde la experiencia en TI pero la inexperiencia en gestión de malware. Tómame como un ignorante en estos temas.

Cuando hablas de costoso, ¿hablas de dificultoso? ¿costoso en términos económicos? ¿ambos?

Por último preguntarte sobre calificación. Parece lógico que el buen antivirus combine ligereza en el escaneo, tasas de detección elevadas (a tiempo, obviamente) con pequeños falsos positivos, todo ello sin penalizar la seguridad del sistema. ¿Qué otros factores consideras importantes para calificar un producto AV? ¿Cuál te parece el factor determinante?

Gracias y un saludo.

Ricardo, cuando hablo de costoso, me refiero en todos los sentidos. Por ejemplo, requiere cierta especialización y experiencia con antivirus y malware, colecciones de muestras abundantes y contrastadas, diseñar una buena metodología, muchas horas, etc. Por supuesto, eso se traduce también en dinero, una cantidad que una revista técnica no suele pagar por un artículo.

Algo tan simple como es por ejemplo comparar tasas de detección tiene mucha dependencia de la colección de muestras de malware. No basta con tener 1000 muestras de virus, o 5000, que cualquiera se puede bajar de una web o por P2P. Si se hicieras así, no sabrías cuanto de representativas son esas muestras (si son muestras que están afectando realmente a las personas, o son muestras de laboratorio, o son muestras antiguas que hoy día no tienen repercusión), incluso no sabrías cuantas de esas muestras son realmente virus y cuales no. Por ejemplo, el hecho de que un antivirus diga que un archivo es un virus (o cualquier otro tipo de malware) a veces no es indicativo de lo que sea, hay mucho falso positivo y firma basura.

Si por el contrario haces la comparativa con pocas muestras pero contrastadas, lo más seguro es que no puedas encontrar diferencias significativas entre motores, y si las hay tampoco puedes juzgar a un producto con tan pocas muestras.

Después hay temas, como la repercusión en el rendimiento del sistema, que suelen pasarse por alto de una comparativa. De nada te sirve un antivirus que tenga un alto índice de detección si consume tantos recursos que apenas te deja trabajar.

Otro tema importante, que tampoco se suele tratar en una comparativa, es la capacidad de respuesta ante una nueva amenaza. Si el antivirus es capaz de protegerte de forma proactiva desde el momento en que aparece el malware, sin necesidad de que tengas que actualizar las firmas, y en caso contrario cuanto tarda en ofrecer esa actualización.

Más temas olvidados suelen ser la capacidad y calidad de desinfección, nos sorprenderíamos de algunos productos que tienen una tasa de detección aceptable pero que apenas son capaces de desinfectar, o desde las opciones y funcionalidades de gestión centralizada si estamos hablando de una red corporativa, hasta el servicio de atención al cliente (un antivirus no es sólo un producto software, tiene asociado un servicio), etc, etc.

Realmente es complicado hacer una valoración de todos los puntos clave de una solución antivirus, y aun más poner un peso justo a cada indicador, ya que puede variar mucho en función de los requisitos del cliente. El mejor antivirus para mi sistema no tiene porque ser el mejor para el tuyo.

Para mí una buena comparativa debe comenzar con una buena descripción de la metodología (cómo se han obtenido los resultados), seguir con una explicación de lo que significa cada indicador (no todo el mundo sabe interpretar correctamente los datos), y no sólo quedarse en un ranking (realmente es lo que menos me importa, aunque desgraciadamente es en lo que se fija todo el mundo), sino que debe tratar la mayoría de factores que deben y pueden tenerse en cuenta, para que el lector pueda hacer una elección y valoración en base a sus requisitos específicos.

Seria interesante incluir tambien algun antivirus gratuito o libre, como AVG, AVAST, o algun otro...personalmente solia usar un Norton 2004 crackeado que se comia mi maquina, y decidi cambiarlo por el AVG completamente gratuito, y con actualizaciones casi diarias y muy bajo consumo de recursos...esta muy bien posicionado en detecciones. Si no es mucho trabajo, incluyan un par de opciones gratuitas....

Gracias por tus comentarios Bernardo.

De todos modos, aunque no conviene quedarse en el ránking, sino darle la información a la gente para que extraiga sus propias opiniones, no creo que sea descabellado puntuar los factores analizados y hacer una media.

Puede ser representativo, y puede ayudar mucho a quien sólo quiere saber cuál es el producto mejor valorado siguiendo criterios técnicos.

Un saludo

Carlos, si hacemos una comparativa, estarán comerciales y gratuitos, incluidos los que mencionas, clamav, etc.

Ricardo, no es descabellado montar el ránking, al contrario, de hecho es algo casi obligado en cualquier comparativa, nosotros lo hacemos. Lo que quería explicar es que en ocasiones es injusto, o no es apropiado, dejarse llevar completamente por una clasificación para tomar la decisión de que producto es el que más nos conviene.

Hay que tener manga ancha con las clasificaciones. Si una comparativa está bien diseñada parece claro que los que queden últimos no son la mejor elección. Pero entre los primeros tal vez la cosa esté más ajustada, y es ahí donde hay que hacer una lectura correcta de los indicadores y fijarse en cual se ajusta mejor a nuestras necesidades, no decidirse directamente por el primero.

En cuanto a los pesos de cada indicador, es un tema complicado y al final es una valoración subjetiva. Por ejemplo, para simplificarlo, pongamos el caso de que sólo existieran dos indicadores básicos, % de detección y consumo de recursos. ¿Qué peso del 100% de la valoración final le aplicarías a cada uno? ¿90% / 10%? ¿75% / 25%? ¿50% / 50%?... si alguien tiene la fórmula exacta que nos lo explique, por favor :)

El peso que decidas darle a cada indicador es crítico, simplemente con valorar un 5% más un indicador que otro puedes estar provocando que cambien bastantes posiciones del ránking.

Por eso es muy fácil hacer una comparativa dirigida a que gane una solución en concreto, sin necesidad de falsear los datos, sólo dependiendo de como la diseñes y los pesos que le des a cada indicador de la tabla comparativa. De ese tipo de comparativas se pueden ver muchas, tal vez el usuario no se da cuenta, pero para la gente que estamos un poco más metidas en este mundillo saltan a la vista.

Cuando diseño una comparativa la hago aislándome de los productos, sin fijarme en que funcionalidades tiene cada uno, sólo pensando en el trabajo del usuario y en las amenazas reales a las que se puede enfrentar, y en función de eso monto las pruebas que considero oportunas y aplico los pesos. No deja de ser también una valoración subjetiva (que estoy siempre abierto a que se discuta y a que me propongan modificaciones, ampliaciones, etc), pero lo que si puedo asegurar es que no está condicionada por intereses de alguna de las casas antivirus participantes.

"En cuanto a los pesos de cada indicador, es un tema complicado y al final es una valoración subjetiva. Por ejemplo, para simplificarlo, pongamos el caso de que sólo existieran dos indicadores básicos, % de detección y consumo de recursos. ¿Qué peso del 100% de la valoración final le aplicarías a cada uno? ¿90% / 10%? ¿75% / 25%? ¿50% / 50%?... si alguien tiene la fórmula exacta que nos lo explique, por favor :)"

Efectivamente, la clasificación final puede variar y nucho, en función de estos pesos ponderadores.Y por tanto, como dice Bernardo; tiene por fuerza una gran carga de subjetividad.
Una idea que se me ocurre es de dar una clasificación con pesos definidos (y dados a conocer (publicados)), con las notas finales.
Y por otra parte dar la fórmula para que cualquier nota pueda ser obtenida por cada usuario, en función de los pesos que él mismo decida elegir.
Con parámetros a,b,c,d...

Hace poco envie a la lista de seguridad0.com unos pequeños datos sobre el uso de antivirus (solo los que he probado), que va como sigue:

Producto: Avast
sitio Web: http://www.avast.com/
Tipo: Pago

Buen desempeño en tiempo real, heuristica óptima, actualizaciones
constantes, en comparación con otros productos consume menos recursos.

Producto: Norton Antivirus
sitio web: http://www.symantec.net/
Tipo: Pago

Desempeño aceptable en tiempo real, heurística óptima aunque tiende a
fallar en determinados casos especiales, actualizaciones constantes,
consume recursos de una forma digamos que aceptable quitando poco
rendimiento a sistema operativo. La última versión trae algunas
caracteriticas combinadas con procesos Microsoft Windows.

Producto: ClamWin
sitio web: http://www.clamwin.com/
Tipo: libre

Software antivirus para windows completamente FREE (gratis) sus
actualizaciones son contantes, adolce que no no trabaja en real time,
sino hay que ejecutarlo para que haga el rastreo de virus en los
archivos de la pc, buena alternativa para comparar la efectividad de
otros antivirus propietarios.

Producto: McAfee
sitio web: http://www.mcafee.com/es/
Tipo: Pago
Desempeño en tiempo real aceptable, la heuristica que usa es una de las
mejores aunque esto repercute en su rendimiento además del consumo
clásico de los recursos de la pc. Actualizaciones constantes, muestra
falsos positivos con bastante frecuencia.

Producto: Panda Antivirus
sitio web: http://www.pandasoftware.es/
Tipo: Pago
Consumo de recursos excesivos, para que funcione como es debido hay que
tener un maquinon de pc, sin palabas..... (No recomendado)

Producto: Nod32
sitio web: http://www.nod32-es.com
Tipo: Pago
Sin discusión es uno de los mejores en todos los aspectos.

Producto: Free-av
sitio web: http://www.free-av.com
Tipo: Pago
Es uno de los nuevos en el ambiente antivirus desempeño no tan óptimo
como otros pero si muy aceptable.


Producto: AVG
sitio web: http://www.grisoft.com
Tipo: Pago / Free

Este antivirus reconocido como un antivirus free (hay que buscar
muchisimo en la su web para encontrar la descarga del software free) es
bastante bueno en todos los casos heuristica, tiempo real además que
juega aceptablemente con los recursos del sistema.


Procuto: F-Secure
sitio web: http://www.f-secure.com/
Tipo: Pago

Desempeño en tiempo real muy aceptable, excelente heuristica.
Actualizaciones constantes, muestra falsos positivos con relativa
frecuencia.

Producto: Sophos
sitio web: http://www.sophos.com
Buen desempeño en tiempo real, heuristica buena, actualizaciones constantes.

Producto: Kaspersky
sitio web: http://www.kaspersky.com
Uno de los mejores del entorno antivirus, adolece de la demanda del CPU
constante y a intervalos regulares.


En el medio existen muchos antivirus unos buenos otros no tan buenos, no
quiere decir que con esta lista se favorece a estos y a otro no, sino
que al existir una gran variedad de productos es dificil decidir sino se
prueban antes. Todos los que nombre en una u otra ocasión los he usado
y me baso en la experiencia con el producto..

Xombra el Panda q usaste para hacer esa lista no seria el Panda 2006 xq este no consume casi recursos... Aunque parezca mentira yo he usado siempre el Nod32 pero el otro dia me instale la evaluacion del Panda 2006 xq la licencia del Nod se me terminaba y qeria cambiar....bueno el caso es q el Panda me detecto 2 virus y 23 spyware de los q el Nod32 no se enteraba

sopadejao, si se podría montar algo como lo que propones, dar valores en bruto y partiendo de ellos una serie de indicadores con pesos variables, a gusto del consumidor.

Supongo que cada casa antivirus ajustaría los pesos a su conveniencia, y todos contentos :D

Pero me gusta la idea de hacer una tabla de valoración más dinámica, dar algunos perfiles según nuestro punto de vista (por ejemplo que pesos habría que aplicar para una máquina con pocos recursos, que pesos para un ambiente corporativo, o que pesos para premiar al máximo la detección, etc.), y dejar abierto a que cualquiera pueda tocar los pesos de los indicadores según le parezca oportuno.

Gracias por la aportación.

Hablo como un administrador de sistemas que continuamente esta luchando contra ese virus (Panda) ya que al ser barato es lo que me dejan tener en la empresa. Eso y ser de lo mejorcito detectando virus (eso dicen porque yo he visto muchas deficiencias), son las unicas bondades que tiene. Lo mismo ralentiza como de repente provoca errores indescriptibles en las maquinas obligando a reinstalar protocolos de red o incluso el S.O. (no pasa continuamente, pero pasa, y jode). Todavia me acuerdo de como morian los windows 9x solo con instalarlo. Con Xp la cosa cambia, pero no como deberia. Es lento, y como se te ocurra usar sus armas antispam, malware etc... estaras continuamente recuperando correos buenos y ficheros necesarios que ha detectado como malos. Ademas el soporte tecnico es pesimo, nunca me han solucionado nada, de hecho, muchas veces ni contestan. En cuanto me dejen lo cambio, seguramente por norton o nod-32 del que tengo muy buenas criticas.Ah, en todo momento hablo de soluciones corporativas.

Agradeceré si me pueden informar acerca de la funcionalidad del
antivirus que Microsoft ha generado y lanzado al mercado, me parece que se llama Windows Live OneCare, ya que actualmente estoy evaluando que antivirus es la mejor opción del mercado.

El unico comentario que puedo hacer, es que yo he usado infinidad de antivirus...

Norton , Mcafee y Panda.... Devoran los Pc los he probado con un procesador DUAL a 2.8 y con 1Gb de memoria.. y aun asi me se siente un sistema lento....

los que puedo recomendar....
Antivir en su version gratuita es aceptable para PCs Comunes
aunque Antivir Premium es mucho mejor por su capacidad de detectar adware y spyware...

NOD32... para mi el indiscutible ganador... solo que hay que configurarlo para que aprovechemos todas sus caracteristicas

Kaspersky.... me gusta la version 6 pero su servidor de actualizaciones es lento en comparacion con otros. por eso lo he cambiado...
.....................................................................................

En mi opinion todos los antivirus son buenos, la deficiencia de los antivirus recae en las costumbres de navegacion de los usuarios (un mal que nunca se erradicara)....

el antivirus de microsoft ONE CARE.... es deficiente...
tiene una base de datos de virus precaria.... y sus sistemas de limpieza todavia dan mucho que desear....
la proteccion contra spyware no esta mal pero no queda entre los mejores...

del 1 al 10 yo le pongo un 4 o 5....

debo decir que antivirus gratuitos como Avast, Antivir y AVG superan a este antivirus de paga...

Microsoft: si no sabe hacer sistemas operativos, mucho menos sabra protejerlos contra el mundo de los virus informaticos..

Cuantas veces se nos ha pasado por la cabeza que se estropea el ordenador y que tenemos que hacer una copia de seguridad cuanto antes. Nadie ni núnca se esta a salvo de una eventual pérdida de datos de discos duros de ahí la importancia de un buen sistema de copias de seguridad. Esta es la mejor forma de recuperar su informacion en un momento de desastre que generalmente coincide con las prisas a la hora de utilizar el sistema. Y si a pesar de todo es necesario una recuperacion de datos ó recuperar el disco duro porque no teníamos las copias actualizadas, le recomendamos consulte con una empresa especializada como es el caso de www.lineared.com en dónde le podrán recuperar los datos ó llevar a cabo la recuperacion del disco duro . No lo dude, esta es la forma mas eficaz y segura de recuperar discos duros .

pienso que esta pagina es una ridicula tonteria de verdad, no tiene nada de interesante y solo te hace perder el tiempo y gastar la vista mientras navegas

Es un software spyware, pero que tiene la peculiaridad de poder usar clamwin como antivirus y hacer que este detecte virus en tiempo real (de eso se encarga spyware). Ya sabemos que clamwin no es el mejor porque su base de datos se actualiza con mas retraso que otros, pero tiene una ventaja, es el unico realmente freeware y que siempre seguira siendo freeware. Hay que configurarlo bien para que aproveche bien el clamwin, hay que fijarse bien en la configuracion pues... pero una vez hecho, yo creo que puede ser mas que suficiente.