Hay mucho debate sobre si Linux necesita antivirus. Los defensores de Linux afirman que su herencia como un sistema operativo en red multiusuario significa que fue construido desde cero con una defensa superior contra malware. Otros adoptan la postura de que, si bien algunos sistemas operativos pueden ser más resistentes al malware, simplemente no existe un sistema operativo resistente a los virus. El segundo grupo es correcto: Linux no es impermeable a los virus, pero ¿eso significa que necesita ejecutar una aplicación antivirus? Para responder eso, tenemos que profundizar un poco en cómo funcionan los programas antivirus.
Contents
¿Cómo funcionan los programas antivirus??
Puede parecer una pregunta tonta, pero es importante comprender qué hacen realmente las aplicaciones de malware y antivirus. Hay cientos, si no miles, de aplicaciones de prevención de malware en el mercado. Si la caza y detección de malware se entiende bien, ¿por qué hay tantas aplicaciones que hacen lo mismo de diferentes maneras??
La verdad es que hay una gran población de malhechores bien financiados que pasan todo su tiempo pensando en formas de introducir malware en su sistema.
Lo han estado haciendo durante décadas y ahora hay un grupo muy grande de vectores de ataque conocidos, además de un flujo interminable de nuevos vectores de ataque que surgen todos los días. Por lo tanto, no es posible detectar todas las variaciones de ataque, por lo que las aplicaciones antivirus deben intentar burlar a los malos. Diferentes proveedores tienen diferentes escuelas de pensamiento sobre la mejor manera de hacer esto, de ahí las muchas variaciones de antivirus que intentan hacer el mismo trabajo, proteger su computadora, pero de muchas maneras diferentes.
Antivirus basado en firmas
El tipo más común de antivirus está basado en firmas. Esto significa que el programa antivirus sabe cómo son los ataques vistos anteriormente y examina su sistema en busca de signos reveladores: firmas llamadas – De esos ataques conocidos. Este es un método reactivo de protección antivirus porque requiere que el proveedor de antivirus sepa cómo es un ataque, lo que infiere que el ataque ya está en uso en “lo salvaje”. Si su máquina ya tiene este virus, la aplicación puede eliminarlo por usted, pero es posible que no pueda hacer mucho por el daño que el malware ya ha causado.
El reciente ataque de malware “Wannacry” apareció por primera vez en hospitales en el Reino Unido. Luego se extendió a 150 países en los próximos días..
A pesar de esta deficiencia, el antivirus basado en firmas sigue siendo una parte muy importante de la detección de malware. Los virus no aparecen instantáneamente en todos los rincones de Internet a la vez. Se implementan desde algún lugar de ataque central y se abren camino a través de Internet con el tiempo. Las compañías de antivirus monitorean ubicaciones conocidas de despliegue de ataques y detectan nuevo malware desde el principio. Por esa razón, las máquinas protegidas por antivirus basado en firmas aún disfrutan de un buen grado de protección siempre que las firmas se actualicen antes de que el virus se propague a su cuello de bosque..
Antivirus basado en heurística
Para combatir las deficiencias de la protección basada en firmas, muchos proveedores también incorporan un componente de detección basado en heurística en sus productos. La heurística es un campo de estudio interesante que busca detectar programas que actúan como virus, aunque no coincidan con una firma de virus conocida. A diferencia de la protección basada en firmas, la heurística puede proteger una máquina de un virus que nadie sabe que existe todavía. Puede detectar virus nuevos, desconocidos, basados en un comportamiento que parece ser malicioso, en lugar de requerir una certeza del 100% de que este programa es un virus conocido que se ha visto antes en la naturaleza.
El juego de los números
Los malos escriben malware con un propósito. Ese propósito generalmente es extraer (robar) datos importantes de su computadora, como información bancaria y personal, para robar dinero o robar identidades. Otra razón muy popular para implementar malware es reclutar su computadora en una botnet que se pueda alquilar en una fecha posterior para obtener ganancias.
Las botnets son redes ROBOT que pueden recibir órdenes de hacer algo. Algunos programas maliciosos infectarán su máquina silenciosamente y permanecerán inactivos hasta que el autor del malware los convoque para trabajar. En el pasado, esta era la forma principal en que se llevaban a cabo grandes ataques DDoS. Ahora, los dispositivos de “Internet de las cosas” generalmente están presionados para este tipo de ataque..
Relacionado: ¿Qué es una botnet??
Los malos están sujetos a la economía al igual que el resto de nosotros y, por lo tanto, quieren obtener el mayor rendimiento por su dinero. Al igual que cualquier otro proveedor de software, los malos quieren escribir su código una vez y desplegarlo tantas veces como sea posible para obtener la mayor recompensa posible. Con eso en mente, tiene sentido escribir código dirigido a la mayor base de usuarios posible. Eso generalmente significa escribir para el sistema operativo de escritorio de Windows porque, en casi todas las mediciones, Windows es el sistema operativo más popular en uso hoy en día.
Otra plataforma muy atractiva es la plataforma móvil, que esencialmente significa los sistemas operativos móviles iOS de Apple y Android de Alphabet. De esos dos, se sabe que Android se implementa con malware directamente en su sistema operativo por proveedores maliciosos como Blu, ZTE y Huawei. Además, Google Play Store, que es el único lugar oficial para obtener aplicaciones para el Rutinariamente, se descubre que la plataforma Android tiene aplicaciones de malware que se hacen pasar por programas legítimos. A la App Store de Apple le va un poco mejor debido al mantenimiento más riguroso de las puertas, pero tampoco es impermeable al malware.
Un tercer vector de ataque lucrativo es el software que se ejecuta en todos los sistemas operativos porque permite a los autores de malware infectar potencialmente cada computadora. Estos tipos de virus multiplataforma generalmente están dirigidos a navegadores y tecnologías independientes del sistema operativo como Java. Adobe Flash es un excelente ejemplo de una aplicación multiplataforma que es atacada sin descanso y simplemente no puede defenderse adecuadamente. Dada su incapacidad para defenderse de ataques de ejecución remota muy graves, permitir que Flash se ejecute en su navegador es básicamente una postura de seguridad negligente.
Según esta información, si fuera un autor de malware, escribiría mi malware para apuntar a estas plataformas en esta prioridad:
- Microsoft Windows
- Androide
- Destello
¿Por qué necesita antivirus en sus máquinas Linux?
Si un autor de malware va a seguir las prioridades que enumeré en la sección anterior, ¿por qué un usuario de Linux tiene que preocuparse por el antivirus? Linux ni siquiera está en la lista de prioridades y tiene una cuota de mercado de escritorio absolutamente abismal. ¿Quién se molestaría en escribir un virus dirigido a Linux?
El hecho de que los sistemas Linux tengan un menor riesgo de infección de malware no significa que no exista ningún riesgo. Los malos tratarán de infectar todas las computadoras y solo tendrán que ganar a veces. Los defensores tienen que ganar cada vez.
A primera vista, el argumento tiene mérito, pero de hecho, los tres sistemas operativos de máxima prioridad están vinculados a Linux. En la industria, uno de los Los principales usos de Linux es actuar como servidor de archivos o servidor de correo para una gran población de usuarios de escritorio de Windows. Por lo tanto, implementar un virus de Windows en un archivo de Linux o servidor de correo es un buen vector de ataque para llegar a los escritorios de Windows conectados. Android es Linux, acaba de modificarse para que se ejecute en dispositivos móviles en lugar de computadoras de escritorio, pero la funcionalidad básica de Linux sobrevive y el mantenimiento relativamente laxo de la tienda Google Play lo convierte en un objetivo atractivo. Flash se ejecuta en navegadores y, por lo tanto, es multiplataforma. Un exploit o malware en Flash tiene la misma posibilidad de afectar a todos los sistemas operativos, Linux incluido.
Incluso si elige no prestar atención a las relaciones periféricas aquí, es difícil ignorar que de hecho existe una buena cantidad de malware dirigido específicamente a Linux.
Por último, algunos programas antivirus muy respetados para Linux son gratuitos, tanto en “sin costo” como en “código abierto”. Simplemente no hay razón para no instalar antivirus en su escritorio Linux que no sea hubris.
¿Dónde se obtiene el antivirus Linux??
En The ultimate guide to desktop Linux security, escribo sobre este mismo tema. La mejor opción para cualquier aplicación de Linux es la que está disponible en el repositorio de aplicaciones de esa distribución. Si bien el repositorio de su distribución puede no tener la versión más actual de una aplicación, la aplicación al menos ha sido examinada y posiblemente modificada para ejecutarse correctamente en su sistema. A veces esa estabilidad vale la pérdida de una o dos versiones. En el caso de malware, Mantener las firmas de virus actualizadas suele ser una preocupación mayor que la versión de la aplicación antivirus en sí..
ClamAV es una solución antivirus madura y bien soportada para servidores y escritorios Linux. Tanto Ubuntu como Fedora, las dos distribuciones principales basadas en Debian y RPM, respectivamente, tienen un agradable front-end gráfico para ClamAV que lo hace fácil de usar..
Un vistazo rápido a los repositorios de Ubuntu muestra que también hay muchos programas antivirus y complementos ClamAV que ayudan a proteger los servidores de correo, servidores web y archivos comprimidos. Adicionalmente, ClamAV puede detectar virus en tipos de archivos multiplataforma como PDF, Flash y archivos de archivos como ZIP y RAR, así como archivos ejecutables ELF basados en Unix.
He escrito instrucciones bastante detalladas sobre cómo instalar y configurar ClamAV para Ubuntu aquí.
Otros programas antivirus están disponibles para Linux. F-Prot, Comodo y Avast también ofrecen programas antivirus de escritorio para Linux. No conozco ninguna razón para elegir un antivirus comercial en lugar de uno de código abierto fácilmente disponible, pero la situación de cada persona es ligeramente diferente, por lo que es posible que desee considerar el conjunto de características de cada uno y tomar su propia decisión.
Imagen: TuxDroid de Sunny Ripert con licencia CC BY-SA 2.0
También le puede gustar Antivirus ¿Qué es un firewall y por qué necesita uno en su red doméstica? Antivirus Software antivirus: un análisis de por qué lo necesita y qué buscar Antivirus antivirus Los mejores antivirus gratuitos para Windows y Mac Antivirus Las mejores aplicaciones antivirus gratuitas y de pago para Android y Android basados en dispositivos
Hay mucho debate sobre si Linux necesita antivirus. Como defensor de Linux, creo que su herencia como sistema operativo en red multiusuario significa que fue construido desde cero con una defensa superior contra malware. Sin embargo, también es cierto que Linux no es impermeable a los virus. En cuanto a si necesita ejecutar una aplicación antivirus, depende de cómo funcionan los programas antivirus. Hay diferentes tipos de antivirus, como el basado en firmas y el basado en heurística, que intentan proteger su computadora de diferentes maneras. Aunque el antivirus basado en firmas es reactivo y solo puede detectar ataques conocidos, sigue siendo una parte importante de la detección de malware. Por otro lado, el antivirus basado en heurística puede detectar virus nuevos y desconocidos, lo que lo convierte en una opción más proactiva. En resumen, aunque Linux tiene una defensa superior contra malware, es importante tener una aplicación antivirus para proteger su sistema contra posibles amenazas.