El mejor antivirus: guía para elegirlo

Introducción

Hola a todos. Uno de los hilos recurrentes en este subforo suele ser el siguiente: ¿Cuál es el mejor antivirus? ¿Merece la pena el antivirus de Windows?

Generalmente la gente opina en base a experiencias personales y filias diversas. Por desgracia, la experiencia personal es limitada en el mejor de los casos y se ve condicionada por muchos factores (versión del sistema, grado de actualización, intervención del usuario, antigüedad de sus experiencias, conocimientos técnicos…).

Es por estos motivos que necesitamos recurrir a organizaciones independientes que evalúen regularmente la efectividad de los antivirus (anti malware) para ayudarnos a tomar una buena decisión.

Fuentes de información :mag:

  • AV comparatives es una de estas organizaciones. Está ubicada en Austria y trabaja en conjunto con varias instituciones académicas, especialmente la Universidad de Innsbruck.
    Describen la metodología de las pruebas, la cantidad de la información es mayor que en el resto de organizaciones y los informes son regulares. Es mi fuente principal de información.
  • MRG Effitas es una organización fundada en 2009 por Chris Pickard. Aunque tiene sede británica, la mayoría de sus investigadores son de origen húngaro. MRG (Malware Research Group), nació como web de reunión para expertos en seguridad, donde compartir noticias, investigaciones y valoraciones de software de seguridad. Se centra principalmente en pruebas de seguridad de navegadores y banca online, y publica de manera regular tests de antivirus. Usan menos muestras (centrándose en ramsonware y malware bancario) y sólo hacen un Real-World protection test, pero sus tests de botnets son muy interesantes. Ayuda bastante a reforzar los resultados de AV-Comparatives.
  • SE Labs es una empresa reciente. Fue fundada a finales de 2015 por Simon Edwards, periodista británico que ha trabajado años realizando pruebas de antivirus para revistas.
    Realiza pruebas de detección y bloqueo a algunos de los antivirus del mercado. El número de muestras utilizadas es inferior al que AV comparatives usa y también el número de antivirus puestos a prueba. No realiza pruebas de ejecución forzada como el Malware protection test de AV comparatives. No realiza pruebas de impacto en el rendimiento del PC. No pone a prueba los antivirus sin conexión a Internet. Pero a pesar de todo, no deja de ser una fuente de información más.
  • AV-TEST es una empresa alemana (AV-TEST GmbH), con instalaciones en Magdeburgo y Leipzig.
    Sus datos de carga del sistema son interesantes (personalmente he podido replicar algunos de ellos), pero la manera de clasificar los antivirus en función de los falsos positivos o la “usabilidad” y no en función de su capacidad de eliminación de malware en equipos infectados, hace que yo no cuente con AV-TEST a la hora de aconsejar a los shurs.
    El propio Eugene Kaspersky criticó esto de AV-TEST, considerando que los nuevos certificados emitidos por AV-TEST se habían convertido en algo “bastante inútil”, aún cuando Kaspersky casi se podría decir que consigue mejores resultados en estos tests que en AV comparatives.

Resultados :bar_chart:

Real-world protection test
En este test, todas las medidas de protección del AV se prueban (no sólo el escaneo heurístico o de firmas). El AV podrá intervenir en cualquier etapa del proceso para proteger al PC, ya sea bloqueando el acceso a una URL, la descarga de un archivo, la escritura de un archivo en el disco duro, el acceso a un archivo o la ejecución. Las muestras se sacan directamente de la red, para que las funciones de bloqueo de URLs entren en juego.

Los falsos positivos (URLs o archivos que el antivirus detecta por error como maliciosos) puntúan negativo y reciben penalización por falta de fiabilidad (más detalles en la metodología debajo de la gráfica). En este primer acumulado de 2018, se mantiene Microsoft como el antivirus con más falsos positivos, con un total de 74. En segundo lugar se encuentra Panda free antivirus con 25.

En este cuatrimestre, se sometieron a 703 pruebas los antivirus. Sólo 2 antimalwares ofrecieron una protección completa: Avira y Symantec . A Bitdefender o VIPRE (usa motor de Bitdefender) sólo se les colaron 2 muestras de las 703.
En su línea habitual, Trend Micro y Microsoft son degradados por el alto número de falsos positivos. Trend Micro con 19 dominios bloqueados incorrectamente y Microsoft con 8 dominios y 50 archivos (que se dice pronto) bloqueados por error.

Estos falsos positivos afectarán a la experiencia de uso (como por ejemplo, con bloqueos de acceso a páginas web legítimas o de uso de archivos no maliciosos).

Protección y falsos positivos (segunda mitad de 2019):

En el acumulado de 2019, que ya está apunto de acabar, sólo las siguientes soluciones de seguridad han mantenido la mayor calificación en los tests:

Avira
Bitdefender
VIPRE

Metodología y resultados aquí.

“Regularidad” (segunda mitad 2018, sin degradar por falsos positivos):

Metodología y resultados aquí.
Al menos dos veces al año se elabora un informe a modo de resumen.

Malware protection test
Como comentaba antes, muchos análisis basan la valía de un AV sólo en sus capacidades de detección. Este test no.
En este test ejecutan todo el malware que el antivirus haya dejado pasar, para comprobar su última línea de defensa (módulos de análisis de comportamiento, por ejemplo) y ver cómo se comporta a la hora de impedir que un programa malicioso haga cambios en el sistema.
Complementa el test anterior en el hecho de que, para esta prueba, las muestras provienen de la red local o unidades extraíbles (p.ej. pendrives).

Como en el test anterior, los falsos positivos puntúan negativamente. Los antivirus con mayor tasa de falsos positivos en esta prueba han sido VIPRE con 40 (indican que se debe a un bug), K7 con 30 y Tencent con 27.


Metodología y resultados aquí.

A destacar el comportamiento de los AV cuando son privados del acceso a Internet:

¿Por qué importa esta última tabla? Porque nos dice la dependencia que tiene un AV de la nube a la hora de detectar correctamente una amenaza. En algunos AV, la tasa de detección baja bastante cuando el PC es desconectado de Internet (Trend Micro, Panda, Microsoft).

En las dos “fotografías” tomadas en marzo y septiembre, sólo han repetido la máxima protección las siguientes firmas:

Avira
Bitdefender

Performance test
Se evalúa el impacto de cada AV en el rendimiento del sistema.


Metodología y resultados aquí.

Como desde hace años, ESET continúa siendo el antivirus que menos afecta al rendimiento del ordenador, lo que deberá ser tenido en cuenta por usuarios de ordenadores con bajas prestaciones.
Para los que no lean el dosier: las pruebas se realizan y repiten varias veces con un Intel Core i7-8550U, 8GB de RAM y un SSD. Recreando además un entorno en el que el antivirus se ha “asentado” y puede mejorar su rendimiento, también con acceso a la red para medir el impacto del uso de la nube en la protección. Las medidas se realizan con PC Mark 10 Professional.

Ataques Fileless
Un ojo a este tipo de ataques “sin archivo” que ya suponen un 35% de los ataques y no requieren de que el usuario descargue ningún archivo.
Panda lo explica muy bien en este artículo.


Datos de evaluación y certificación 360 de MRG Effitas para segundo trimestre de 2019.

Al día
Para mantenerte al día en los resultados de las pruebas puedes consultar:

Los mejores de 2018 :trophy:

AV-Comparatives ha emitido un informe evaluando el año 2018 en su conjunto y, en función de los datos de todos los test efectuados, tenemos una lista de ganadores. Lista que, por otro lado, tampoco sorprenderá a quienes hayáis seguido este hilo desde su creación:

Producto excepcional :
Bitdefender

Producto del año 2018:
Avast

Productos destacados :
AVG, AVIRA, Kaspersky Lab, Tencent

Los mejores de 2018 por categorías:

En protección bajo condiciones reales (uso de Internet), los mejores de 2018 han sido:

1º - Bitdefender
2º - AVIRA
3º - Kaspersky Lab

En defensa antimalware (infecciones por pendrives, ejecución de malware que no ha sido detectado, infecciones vía red local, etc):

1º - Avast, AVG
2º - Bitdefender
3º - AVIRA

Los antivirus más fiables (precisos), es decir, los que menos se equivocan al marcar como peligroso un archivo que no lo es (falso positivo):

1º - ESET
2º - AVIRA, Bitdefender, Kaspersky Lab
3º - Emsisoft

Los que menos afectan al rendimiento del ordenador (importante para ordenadores antiguos o poco potentes):

1º - K7
2º - ESET
3º - Avast, AVG

Los mejores limpiando un sistema ya infectado:

1º - Kaspersky Lab
2º - Avast, AVIRA, Bitdefender
3º - Tencent

No obstante, es importante probar antes de comprar un AV . Ellos mismos lo dicen:

Cita:

Please note that we do not recommend purchasing a product purely on the basis of one individual test or even one type of test. Rather, we would suggest that readers consult also our other recent test reports, and consider factors such as price, ease of use, compatibility and support. Installing a free trial version allows a program to be tested in everyday use before purchase.

Así que toca bajar las versiones de prueba para decidir por vosotros mismos.

¿Y si ya estoy infectado? :scream:

La mayoría de antivirus ofrecen soporte de limpieza a sus clientes de pago, pero son muchos antivirus también los que ponen a nuestra disposición herramientas gratuitas de desinfección .
En 2018, estos han sido los mejores en limpieza:


Metodología y resultados aquí.

Estas son las herramientas que están disponibles para salir de un aprieto:

Ransomware :lock:
Si tus archivos están cifrados y te están pidiendo un rescate, te sugiero leer con atención:

En primer lugar asegúrate de no borrar el virus, puedes ponerlo en cuarentena, ¡pero no lo borres! Detén las herramientas de optimización de sistema que puedas tener tipo CCleaner y haz una imagen del sistema o copia de seguridad si es viable (a veces el virus no está bien programado y daña los archivos originales tras cifrarlos, esto dará margen de maniobra).

— El Instituto Nacional de Ciberseguridad de España (INCIBE), dependiente del Ministerio de Industria, Energía y Turismo, dispone de un servicio de análisis y descifrado de ficheros afectados por un tipo de malware denominado ransomware (ransom = rescate).

Para poder identificar el tipo de virus y si los datos son recuperables, el INCIBE recomienda contactar con el correo incidencias@certsi.es adjuntando dos o tres ficheros de Word o Excel (originalmente con extensión .doc o .xls) afectados por el virus, que no contengan información privada o confidencial y que sean de tamaño superior a 1 MB. Además, el usuario afectado deberá remitir el fichero en el que los atacantes indican cómo realizar un pago para recuperar la información.

— La unidad de delitos telemáticos de la policía de los Países Bajos, en colaboración con el Centro Europeo de Ciberdelincuencia de la Europol (sede en La Haya), Kaspersky y McAfee; han creado No more ransom!, donde podrás identificar qué ransomware te ha infectado.

— Michael Gillespie, programador, ha desarrollado la herramienta ID Ransomware, que también permite identificar ransomware.

— Adicionalmente, Bitdefender ofrece una herramienta gratuita de identificación de ransomware.

Una vez identificado el espécimen, comprueba si existe una herramienta específica que descifre los archivos. Dada la cantidad de ejemplares de este tipo de virus y lo rápido que cambia todo, te sugiero buscarla en Internet de mano de alguna firma antivirus. Por ejemplo Bitdefender tiene algunas concretas, también Avast o Kaspersky. Pero, quizás ninguna de ellas te sirva y otra empresa antivirus sí haya desarrollado una herramienta para tu caso concreto.

Buena suerte.

Curiosidades :brain:

— Los siguientes antivirus usan el motor de Bitdefender , solo o en combinación con uno propio:
Adaware, BullGuard, Emsisoft, eScan, F-Secure, Seqrite, Tencent (versión en Inglés) y VIPRE.

— AVG es una versión renombrada de Avast, que compró a AVG a finales de 2016.

¿De dónde es cada antivirus?

AVAST . Fundado en Praga, República Checa, en 1988.

AVIRA . Fundado en Alemania en 1986.

Bitdefender . Fundado en Bucarest, Rumanía, en 2001.

ESET . Fundado en Bratislava, Eslovaquia, en 1992.

F-Secure . Fundado como “Data Fellows” en Helsinki, Finlandia en 1988.

Panda . Fundado en Bilbao, España, en 1990.

Bullguard . Con sede en Londres, Inglaterra. Fue fundado en Copenhage, Dinamarca en 2001.

Ad-Aware . Con sede en Montreal, Canada. La empresa matriz, Lavasoft, fue fundada en Alemania en 1999.

Emsisoft . Con sede en Nueva Zelanda. Fundado en Austria en 2003.

Trend Micro . Con sede en Japón. Fundado en Los Angeles, EEUU en 1989.

Kaspersky . Fundado en Moscú, Rusia, en 1997.

Seqrite . Creado por la empresa Quick Heal, fundada en 1993 en Maharashtra, India.

K7 . Creado y con sede en Madrás (también llamada “Chennai”), India, en 1991.

McAfee . Fundado en EEUU en 1987.

Norton (Symantec) . Fundado en EEUU en 1991.

eScan . Fundado por Microworld Technologies en Michigan, EEUU en 1993.

Fortinet . Empresa fundada en California, EEUU en 2000.

VIPRE . Fundado por ThreatTrack Security en Florida, EEUU en 2008.

Tencent . Pertenece a Tencent, un conglomerado de cientos de empresas de diversas ramas, no sólo tecnológicas, que emplean a más de 7000 miembros del partido comunista chino. Su sede principal está en Shenzhen, China. Fundado en 1998.

360 Total Security . Aunque la empresa Qihoo fue fundada en Pekin (China) en 2005, este antivirus lleva con nosotros desde 2014. En 2015 AV-Comparatives, AV-Test y Virus Bulletin (Reino Unido) descubrieron que Qihoo utilizaba el motor de Bitdefender para las pruebas, mientras que sus productos realmente utilizaban QVM: un motor propio de peor calidad.

Cierre :ok_hand:t3:

Espero que este pequeño post os ayude a manter protegidos vuestros ordenadores y los de vuestros seres queridos con menos experiencia.
Por favor, sed benévolos a la hora de criticar este aporte. Aunque soy administrador de sistemas, mis conocimientos sobre malware son limitados y no pretendo sentar cátedra de ningún modo, más bien compartir información con humildad, sencillez y modestia; tres valores por los que intento regir mi vida.

Fuente

2 Me gusta

Sin duda me quedaría el Nod32 con suscripción, en el trabajo lo usamos desde hace 8-9 años, muy bien hecho, no relentiza, no llena de mierda. Es poco intensivo y muy configurable. El problema los €.