Admon De Sistemas

Un buen detective, uno que realmente sabe lo que está buscando y como comprender

las pistas que encuentra, puede construir una imagen del criminal al que está

analizando.

Una vez que conoce el modus operandi, o aún mejor, que obtiene una muestra de ADN,

puede normalmente comparar el crimen con el criminal y llegar a capturarlo. Quizás en

una serie de crímenes, existe el mismo tipo de marca o huella digital, una vía de entrada

similar, el mismo tipo de artículo robado, o incluso una muestra de ADN concordante -

un indudable corpus delicti. Este es un buen método para arrestar criminales, pero tiene

una falla significativa; es completamente reactivo. Al menos uno, o usualmente varios,

crímenes deben ser cometidos (y varias víctimas verse afectadas) antes de que el

criminal pueda ser aprehendido. Desafortunadamente, lo antes descrito es análogo a la

forma en que trabajan los antivirus tradicionales.

Luego de que el virus es liberado, un patrón comienza a emerger. Alguien se da cuenta

que algo no anda bien, como por ejemplo, un aumento en la cantidad de mensajes de

correo electrónico con un tipo particular de archivo adjunto. Quizás redes enteras de

ordenadores empiezan a reiniciarse espontáneamente; tal vez los servidores de correo

electrónico cesan su funcionamiento bajo una enorme carga.

Finalmente, "pistas" - ADN digital - son encontradas, y son enviadas a los "detectives" -

en este caso, las compañías antivirus.Las "pistas" son examinadas, el modus operandi

es establecido, y una vez que es conocido, el virus puede ser detectado y detenido.

Sin embargo, esto es reactivo, recayendo en dos factores: primero, conocimiento de

que el "crimen" ya ha sido cometido; y segundo, recolectando las "pistas" para detectar

fiablemente al "criminal". Este es un ciclo repetitivo: Un nuevo virus es liberado, y luego

de un lapso de tiempo, que en algunos casos es grande, la actualización para detectar

el virus, es liberada.

Históricamente, el problema del lapso de tiempo no era de gran importancia. Alcanzaba

con actualizar el antivirus una vez al mes, a lo sumo una vez por semana. Los virus se

reproducían lentamente en la mayoría de los casos, muchas veces a través de una

transferencia manual en discos flexibles - la llamada "sneakernet" - y aunque siempre

había un riesgo, el modelo de actualizaciones era suficiente.

Volvamos a la actualidad, donde la oficina tradicional se ha convertido en una oficina

virtual, con usuarios conectados permanentemente.Las compañías, y sus empleados,

están, literalmente, "siempre en línea".Esto es una bendición productiva para las

compañías, permitiendo a los empleados trabajar incluso desde sus cuartos de hotel,

automóviles o incluso desde una cafetería.

Pero, desgraciadamente, la conectividad constante también permite que los virus se

propaguen con mayor velocidad. En un principio, escribir un virus era una tarea que

requería de ciertas "habilidades", que ameritaba algo de conocimiento.Hoy, Internet

ofrece vastas cantidades de información, y casi cualquiera puede crear un virus tras

descargarse algún código fuente desde la red.

Cada innovación en materia de virus es seguida por un lote de virus relacionados, que

difieren muy poco del original, y que son liberados al mundo rápidamente, cortesía de

un imitador. Un solo virus puede convertirse en una epidemia global en unas pocas

horas.Un buen ejemplo de esto es elWin32/Bagle.AS. En el tiempo que le lleva a una

compañía antivirus actualizar su producto, este gusano ya era una gran amenaza.

Algunos gusanos han sido aún más rápidos en su propagación.

...