Detección basada en heurística
La forma más común de detección es una detección basada en heurística que utiliza un algoritmo para comparar la firma de virus conocidos contra una amenaza potencial. La detección basada en heurística puede detectar virus que aún no se han descubierto. También puede detectar virus conocidos que han sido modificados o disfrazados y liberados nuevamente en su hábitat natural.
El escaneo basado en heurística es el método más conocido para detectar nuevos virus, pero también puede generar falsas coincidencias positivas, lo que significa que un escáner antivirus puede informar que un archivo está infectado y no está infectado.
Detección basada en firmas o en el diccionario de virus
Cada analizador de antivirus tiene un archivo de definición de virus, una base de datos o un diccionario que contiene miles de firmas de virus conocidas. Estas firmas permiten que un programa antivirus identifique virus pasados que han sido analizados por profesionales de la seguridad. Hoy en día, hay más de 100, 000 firmas de virus conocidas que se pueden usar para la comparación.
La detección basada en firmas es una excelente manera de prevenir virus conocidos en el pasado y es el mejor método de detección sin crear una advertencia falsa. Sin embargo, la detección basada en firmas no puede detectar nuevos virus hasta que el archivo de definición se actualice con la nueva información de virus.
Detección basada en el comportamiento
Si un virus ha superado las detecciones anteriores, el antivirus analiza el comportamiento de los programas que se ejecutan en la computadora. Si un programa comienza a realizar acciones extrañas, el antivirus puede activar una advertencia. Algunas de las acciones o comportamientos extraños que el antivirus observa se enumeran a continuación.
- Cambiar la configuración de otros programas
- Modificando o borrando docenas de archivos
- Monitoreo de pulsaciones de teclas
- Conexión remota a computadoras
La detección basada en el comportamiento es un método útil para encontrar virus u otro malware que intenta robar o registrar información. Sin embargo, muchos programas hoy en día necesitan informar a un servidor en línea o registrar las pulsaciones de teclas para evitar el engaño en línea, lo que a veces hace que este tipo de detección cree falsas advertencias.
Detección de caja de arena
Si un programa es sospechoso, algunos programas antivirus también pueden usar la detección de espacio aislado, lo que crea un entorno emulado para que el programa se ejecute y analice su comportamiento. Si cuando se ejecuta en el entorno emulado el programa parece realizar un comportamiento destructivo o anormal, el antivirus alerta al usuario antes de ejecutarlo en la computadora.
Detección de antivirus en la nube
La detección de antivirus en la nube utiliza un cliente en la computadora que recopila información, que luego se carga y procesa en un servidor en la nube. Al ejecutar toda la detección en el servidor, su computadora se ahorra el procesamiento adicional. Cloud antivirus requiere una conexión a internet.
Escaneo completo del sistema
Finalmente, un análisis completo del sistema o un análisis individual de archivos es una acción manual que puede realizar un usuario para analizar todos los archivos en su computadora. Para ejecutar este tipo de análisis, debe abrir el programa antivirus y seleccionar la opción para realizar un análisis completo del sistema o hacer clic con el botón derecho en el archivo que desea analizar y elegir la opción para analizarlo.
Un análisis completo no debería ser necesario si un programa antivirus se ha estado ejecutando en su computadora y monitoreando los cambios. Sin embargo, si su computadora es sospechosa o si se ha instalado un nuevo escáner antivirus, no es una mala idea realizar un análisis completo. Tenga en cuenta que dado que casi todos los archivos se analizan durante un análisis completo del sistema, estos análisis pueden tardar entre 20 minutos y varias horas en completarse.