Hay mucho debate sobre si Linux necesita antivirus. Los defensores de Linux afirman que su herencia como sistema operativo en red multiusuario significa que fue construido desde cero con una defensa de malware superior. Otros toman la posición de que, si bien algunos sistemas operativos pueden ser más resistentes al malware, simplemente no existe un sistema operativo resistente a los virus. El segundo grupo es correcto: Linux no es impermeable a los virus, pero ¿eso significa que debe instalar y ejecutar un antivirus para Linux? Para responder eso, tenemos que investigar un poco sobre cómo funcionan los programas antivirus.
¿Cómo funcionan los programas antivirus?
Esto puede parecer una pregunta tonta, pero es importante entender qué hacen realmente las aplicaciones de malware y antivirus. Hay cientos, si no miles, de aplicaciones de prevención de malware en el mercado. Si la caza y la detección de malware se entienden bien, ¿por qué hay tantas aplicaciones haciendo lo mismo de diferentes maneras?
La verdad es que hay una gran población de chicos malos bien financiados que pasan todo el tiempo pensando en maneras de incorporar malware en su sistema.
Han estado haciendo esto durante décadas y ahora hay un grupo muy grande de vectores de ataque conocidos, además de un flujo interminable de nuevos vectores de ataque que surgen todos los días. Por lo tanto, no es posible detectar todas las variaciones de ataque, por lo que las aplicaciones antivirus deben intentar burlar a los malos. Los diferentes proveedores tienen diferentes escuelas de pensamiento sobre la mejor manera de hacerlo, de ahí las muchas variaciones de antivirus que intentan realizar el mismo trabajo, proteger su computadora, pero de muchas maneras diferentes.
Antivirus basado en firmas
El tipo más común de antivirus está basado en firmas. Esto significa que el programa antivirus sabe cómo se ven los ataques y examina su sistema en busca de signos reveladores, llamados firmas, de esos ataques conocidos. Este es un método reactivo de protección antivirus porque requiere que el proveedor de antivirus sepa cómo se ve un ataque, lo que implica que el ataque ya está en uso en «lo salvaje». Si su máquina ya tiene este virus, la aplicación puede eliminarlo por usted, pero es posible que no pueda hacer mucho sobre el daño que el malware ya ha causado.
El reciente ataque de malware «Wannacry» apareció por primera vez en hospitales del Reino Unido. Luego se extendió a 150 países en los siguientes días.
A pesar de esta deficiencia, los antivirus basado en firmas sigue siendo una parte muy importante de la detección de malware. Los virus no aparecen instantáneamente en todos los rincones de Internet a la vez . Se despliegan desde algún lugar de ataque central y se abren camino a través de Internet con el tiempo. Las compañías antivirus monitorean ubicaciones conocidas de ataque y detectan nuevo malware desde el principio. Por esa razón, las máquinas protegidas por antivirus basados en firmas aún disfrutan de un buen grado de protección, siempre y cuando las firmas se actualicen antes de que el virus se propague a la cima del bosque.
Antivirus basado en heurística
Para combatir las deficiencias de la protección basada en firmas, muchos proveedores también incorporan un componente de detección basado en heurística en sus productos. La heurística es un interesante campo de estudio que busca detectar programas que actúan como virus, aunque no coincidan con una firma de virus conocida. A diferencia de la protección basada en firmas, la heurística puede proteger una máquina de un virus que nadie sabe todavía. Puede detectar virus nuevos, desconocidos, basados en un comportamiento que parece ser malicioso, en lugar de requerir el 100% de certeza de que este programa es un virus conocido que se ha visto antes.
Los números del juego
Los malos escriben malware para un propósito. Ese propósito suele ser filtrar (extraer) datos importantes de su computadora, como información bancaria y personal para robar dinero o robar identidades. Otra razón muy popular para implementar malware es reclutar su computadora en una red de bots que se puede alquilar en una fecha posterior con fines de lucro.
Las redes robot son redes roBOT a las que se les puede ordenar que hagan algo. Algún malware infectará su máquina silenciosamente y permanecer inactivo hasta que el autor del malware lo llame para que trabaje. En el pasado, esta era la principal forma en que se llevaban a cabo grandes ataques DDoS. Ahora, los dispositivos generalmente se ponen en servicio para este tipo de ataque.
Los malos están sujetos a la economía al igual que el resto de nosotros y, por lo tanto, quieren obtener el mayor beneficio por su dinero. Al igual que cualquier otro proveedor de software, los malos quieren escribir su código una vez y desplegarlo tantas veces como sea posible para obtener la mayor recompensa posible. Con esto en mente, tiene sentido escribir código que se dirija a la mayor base de usuarios posible. Eso generalmente significa escribir para el sistema operativo de escritorio de Windows porque, en casi todas las mediciones, Windows es el sistema operativo más popular actualmente en uso.
Otra plataforma muy atractiva es la plataforma móvil, que esencialmente significa iOS para Apple y los sistemas operativos para Android de Alphabet. De esos dos, se sabe que Android ha sido implementado con malware directamente en su sistema operativo por vendedores maliciosos como Blu, ZTE y Huawei. Además, rutinariamente se descubre que Google Play Store, que es el único lugar oficial para obtener aplicaciones para la plataforma Android, tiene aplicaciones de malware que se hacen pasar por programas legítimos. La tienda de aplicaciones de Apple está un poco mejor debido a un control de acceso más riguroso, pero tampoco es impermeable al malware.
Un tercer vector de ataque lucrativo es el software que se ejecuta en todos los sistemas operativos, ya que permite a los autores de malware infectar potencialmente todos los equipos. Estos tipos de virus multiplataforma se dirigen generalmente a navegadores y tecnologías agnósticas para sistemas operativos como Java. Adobe Flash es un excelente ejemplo de una aplicación multiplataforma que es atacada sin descanso y que simplemente no puede defenderse adecuadamente. Dada su incapacidad para evitar ataques muy graves de ejecución remota, permitir que Flash se ejecute en su navegador es básicamente una postura de seguridad negligente.
Basándome en esta información, si yo fuera un autor de malware, escribiría mi malware para dirigirme a estas plataformas con esta prioridad:
- .- Microsoft Windows
- .- Android
- .- Flash
Por qué necesita un antivirus en sus equipos Linux
Si un autor de malware va a seguir las prioridades que enumeré en la sección anterior, ¿por qué un usuario de Linux tiene que preocuparse en absoluto por el antivirus? Linux ni siquiera está en la lista de prioridades y tiene una cuota de mercado de escritorio absolutamente abismal. ¿Quién se molestaría en escribir un virus dirigido a Linux?
El hecho de que los sistemas Linux tengan un menor riesgo de infección de malware no significa que no exista ningún riesgo. Los malos intentarán infectar todos los ordenadores y solo tendrán que ganar a veces. Los defensores tienen que ganar siempre.
A primera vista, ese argumento tiene mérito, pero de hecho, los tres sistemas operativos de mayor prioridad están vinculados a Linux. En la industria, uno de los principales usos de Linux es actuar como servidor de archivos o servidor de correo para una gran población de usuarios de Windows de escritorio. Por lo tanto, la implementación de un virus de Windows en un archivo Linux o en un servidor de correo es un buen vector de ataque para obtener en los escritorios Windows conectados. Android es Linux, solo ha sido modificado para que funcione en dispositivos móviles en lugar de escritorios, pero su carácter básico de Linux sobrevive y la relativa laxitud del gate-keeping de la tienda Google Play lo convierte en un objetivo atractivo. Flash se ejecuta en los navegadores y, por lo tanto, es multiplataforma. Un exploit o malware en Flash tiene las mismas posibilidades de afectar a todos los sistemas operativos, incluido Linux.
Incluso si decide no prestar atención a las relaciones periféricas aquí, es difícil ignorar que existe una gran cantidad de malware dirigido específicamente a Linux.
Por último, algunos programas antivirus muy respetados para Linux son gratuitos, tanto en «ningún coste» como en «código abierto». Simplemente no hay razón para no instalar antivirus en su escritorio Linux.
¿Dónde conseguir antivirus para Linux?
La mejor opción para cualquier aplicación Linux es aquella que está disponible en el repositorio de aplicaciones de esa distribución. Aunque el repositorio de su distribución puede no tener la versión más actual de una aplicación, la aplicación al menos ha sido revisada y posiblemente modificada para funcionar correctamente en su sistema. A veces esa estabilidad vale la pena perder una o dos versiones. En el caso del malware, mantener las firmas de virus actualizadas suele ser una preocupación mayor que la versión de la propia aplicación antivirus.
ClamAV es una solución antivirus madura y bien soportada para escritorios y servidores Linux. Tanto Ubuntu como Fedora, las dos principales distribuciones basadas en Debian y RPM respectivamente, tiene un buen front-end gráfico que lo hace fácil de usar.
Un rápido vistazo a los repositorios de Ubuntu muestra que también hay muchos programas antivirus y plugins ClamAV que ayudan a proteger servidores de correo, servidores web y archivos comprimidos. Además, ClamAV puede detectar virus en tipos de archivos multiplataforma como PDF, Flash y archivos de archivo como ZIP y RAR, así como en archivos ejecutables ELF basados en Unix.
Programas antivirus para Linux
Hay otros programas antivirus disponibles para Linux. F-Prot, Comodo y Avast también ofrecen programas antivirus para Linux de escritorio. No conozco ninguna razón para elegir un antivirus comercial en lugar de uno de código abierto de fácil acceso, pero la situación de cada uno es ligeramente diferente, por lo que es posible que desee considerar el conjunto de características de cada uno y tomar su propia decisión.