Análisis heurístico

Derivado de la palabra griega antigua que significa "descubrir", el análisis heurístico es un enfoque para el descubrimiento, el aprendizaje y la resolución de problemas que utiliza reglas, estimaciones o conjeturas fundamentadas para encontrar una solución satisfactoria a un problema específico. Si bien esta forma de resolución de problemas puede no ser perfecta, puede tener mucho éxito cuando se aplica a procesos informáticos donde se requiere una respuesta rápida o una alerta oportuna basada en un juicio intuitivo.

La mayoría de las principales soluciones antivirus del mercado actual utilizan el análisis heurístico para la identificación de malware. De forma diferente a la identificación de malware mediante firmas, en la que se identifican las amenazas mediante la búsqueda de cadenas específicas, el análisis heurístico busca comandos o instrucciones que se usan normalmente en el software malicioso. La mayoría de los procesos antivirus heurísticos utilizan una regla o un sistema basado en el peso para determinar cuánto peligro podría representar la funcionalidad de un programa. Si estas reglas exceden un umbral marcado, se activa una alarma y se toman medidas preventivas. Dependiendo de la configuración del antivirus, esta alarma puede simplemente enviar una alerta a un administrador del servidor o colocar automáticamente un archivo en cuarentena.

Las herramientas antivirus basadas en heurística utilizan varias técnicas de escaneo diferentes, que incluyen:

  • Detección de firma heredada: Diseñada para localizar diferentes variaciones de un virus, la detección de firma utiliza definiciones de virus anteriores para descubrir virus dentro de la misma familia.
  • Análisis de archivos: Durante el análisis de archivos, el software de escaneo inspeccionará de cerca un archivo para determinar su propósito, destino e intención. Por ejemplo, si el propósito de un archivo es eliminar archivos específicos, podría marcarse como un virus.
  • Emulación de archivos: La emulación ejecuta un archivo en un entorno virtual controlado para ver qué sucede. Si el archivo se comporta como un virus, probablemente sea un virus.

Un ejemplo de este tipo de análisis aplicado a otro campo sería determinar si un producto desconocido es o no una fruta a base de comprobar, por ejemplo, si su textura o su olor se parece a alguna otra fruta conocida, si conocemos que ha salido de un árbol o si vemos animales que se alimentan de él.

Por lo tanto, el análisis heurístico de los sistemas antivirus ayuda a los proveedores de software y a sus clientes a mantenerse un paso por delante a la hora de detectar y defenderse de nuevos programas maliciosos que aún no se hayan añadido a los archivos de definición de virus.