Los antivirus para Windows han sido un gran negocio durante décadas, con todo un ecosistema de empresas que existen para proteger los equipos con Windows. Microsoft incluso incluye su propio antivirus (Windows Defender) de forma predeterminada con Windows. Pero la cuestión de si se necesita un antivirus para Linux existe desde hace casi el mismo tiempo. Hay muchos matices en esta discusión, y las afirmaciones habituales de que tanto los virus como el software antivirus paraLinuxsimplemente no existen son falsas.

¿Qué es el antivirus?

El antivirus rastrea archivos binarios y procesos en ejecución en busca de comportamiento malicioso

Los antivirus son un tema muy amplio y no siempre está claro qué se puede esperar de un antivirus. Esto se complica aún más por las diferencias entre los productos, ya que algunos de ellos tienen características únicas, y por la proliferación de software antivirus en los últimos años (que se ha extendido a todo tipo de navegadores y protección de identidad web). Se pueden dividir las funciones de los antivirus en tres categorías.

Análisis estático

Tradicionalmente, un antivirus ejecuta análisis periódicos en su computadora para identificar archivos con intenciones o firmas maliciosas conocidas. Pueden hacerlo comparando hashes de archivos o analizando las llamadas del sistema incluidas en un binario de aplicación para buscar fragmentos de código que se sabe que son maliciosos. Una vez que el antivirus ha localizado estos archivos, puede aislarlos y evitar que se ejecuten en su computadora. Este proceso de análisis de archivos en su computadora es un tipo deanálisis estático.

Análisis dinámico

Algunos programas antivirus también pueden analizar el software que se está ejecutando en su computadora. Esto es importante, ya que los virus modernos suelen ser más complejos que un solo binario escondido en un archivo en algún lugar, lo que dificulta su eliminación al insertarse en otras aplicaciones, en múltiples lugares de la RAM, en los archivos del sistema y en el disco. Este proceso de análisis del software en ejecución se conoce comoanálisis dinámicoy hace algo similar al análisis estático: monitorear las llamadas del sistema, los eventos y el uso del disco en busca de patrones de comportamiento malicioso, a veces conocidos comoIOC(indicadores de compromiso). Los antivirus más avanzados que utilizan estas herramientas pueden no solo identificar los virus existentes, sino también utilizar sistemas avanzados de detección de intrusiones y modelos de ML/IA para detectar patrones nuevos o aleatorios de comportamiento potencialmente malicioso.

Características adicionales

Muchos antivirus incluyen funciones adicionales, diseñadas más para protegerte en general que para detener el malware una vez que está en tu computadora. Estas funciones adicionales también pueden escanear descargas o páginas web en tiempo real en busca de contenido malicioso (como mineros de bitcoin basados ​​en la web) o monitorear el tráfico de red entrante y saliente en busca de patrones de tráfico malicioso conocidos (como ataques de denegación de servicio o botnet). También pueden bloquear direcciones IP maliciosas conocidas o servidores de comando y control en busca de malware, escanear el correo electrónico, proteger contra ransomware, ofrecer VPN o protección contra robo de identidad en línea o monitoreo de credenciales.

Los virus modernos son difíciles de eliminar

Lamentablemente, los virus modernos pueden ser extremadamente complejos y casi imposibles de eliminar. Por eso, generalmente es un buen consejo realizar copias de seguridad periódicas de los archivos y reconstruir desde cero cualquier computadora infectada con malware.

Esto ha provocado que los antivirus sean menos eficaces y es parte de la razón por la que hoy en día resulta difícil comprar un antivirus "puro". Es muy difícil eliminar eficazmente los virus una vez que se instalan, incluso es imposible. La mayoría de las empresas de antivirus se centran ahora en la venta cruzada de otros productos de protección además del antivirus.

¿Los virus se ejecutan en Linux?

El modelo y diseño de permisos de Linux dificultan el acceso al malware

Los virus se pueden ejecutar en Linux. Linux ejecuta software como Windows y otros sistemas operativos y ese software puede ser malicioso. Sin embargo, la arquitectura de Linux reduce drásticamente la cantidad de vectores de ataque.

Linux está protegido por permisos

El sistema de permisos de Linuximpide que los usuarios realicen operaciones en archivos del sistema o en archivos que pertenecen a otros usuarios sin permiso. Incluso los usuarios con acceso sudo deberán ingresar su contraseña antes de elevar sus privilegios.

Esto impone un límite de seguridad más estricto que en Windows entre los archivos del sistema y del espacio de usuario, lo que hace que sea más difícil que un archivo malicioso descargado y abierto a través de un cliente de correo electrónico o un navegador web infecte un sistema completo. Este límite de permisos también es la razón por la que generalmente es una mala idea ejecutar cualquier servicio o proceso como root en Linux, y aquellos que lo hacen pueden reducir voluntariamente sus permisos (es decir, iniciar como root para configurarse y luego reducir sus permisos a otro usuario) para proteger el sistema si se ven comprometidos.

Los archivos no son ejecutables de forma predeterminada en Linux

Otra diferencia clave que ayuda a proteger Linux es la inclusión específica de un indicador de ejecutable. Los archivos no son, de forma predeterminada, ejecutables en Linux, a diferencia de Windows. Esto significa que los archivos deben tener permiso explícito para ser tratados como ejecutables, lo que agrega otra capa de protección a los archivos descargados.

El software se empaqueta de forma centralizada

Otra diferencia histórica significativa que ha reducido la vulnerabilidad de los sistemas Linux a los ataques son sus repositorios centrales de software. La mayoría delas distribuciones de Linuxvienen con un administrador de paquetes comoaptoyum, que accede a los repositorios centrales oficiales de software creado y los pone a disposición para su descarga. Estos paquetes están firmados y verificados individualmente, lo que dificulta su reemplazo encubierto con alternativas maliciosas en los repositorios. Este es un método mucho más seguro de distribuir software que el que puede encontrar en Windows, donde muchas aplicaciones y ajustes simplemente se descargan como archivos .exe nebulosos de Internet. La mayoría de estos paquetes requieren permiso UAC (control de cuentas de usuario) para instalarse, lo que evita el límite de seguridad ya inexistente de Windows en UAC (aunque esto podría mejorarse pronto conla llegada del comando sudo a Windows).

¿Debo instalar un antivirus en Linux?

No nos molestaríamos en el escritorio.

En el caso de los sistemas de escritorio, por lo general no necesitará un antivirus dedicado para Linux. El sistema de permisos hace que sea mucho más difícil para un actor malicioso obtener un control significativo de una máquina, y la participación de mercado significativamente menor significa que la cantidad de ataques activos también es menor. Es probable que no tenga problemas sin antivirus en Linux, aunque eso no significa que no deba tomar precauciones de seguridad. No otorgue permisos de ejecución a ningún archivo descargado si no proviene de una fuente confiable e inspeccione todos los scripts que esté usando para descargar programas. Además, asegúrese de que su máquina Linux se actualice periódicamente.

Linux es una excelente opción para la seguridad

En general, Linux es una gran opción si te preocupa mantener seguro tu entorno de escritorio. El malware generalmente tendrá más dificultades para comprometer un sistema Linux bien mantenido que una máquina Windows equivalente. Por lo general, no necesitas preocuparte por instalar un antivirus en Linux. Actualizar tu máquina regularmente y tener cuidado con los archivos que descargas, ejecutas y a los que concedes permisos será un medio mucho más eficaz para mantener tu sistema seguro.