Skip navigation

Protección

La categoría más importante que tiene que ver con el efecto protector es la prueba contra las amenazas procedentes de Internet (protección contra ataques de software malicioso de tipo día cero, incluidos los provenientes de la red y los correos electrónicos con amenazas (Real-World Testing)). Para ello se accede a las páginas Web y a los correos electrónicos, que ya se sabe que son nocivos, para probar si el producto de protección es capaz de parar el ataque.

Procedimiento de prueba:

  1. Los productos se instalan, actualizan y prueban en una configuración estándar/default. En todo momento el programa de protección tiene acceso completo a Internet.
  2. AV-TEST utiliza su programa de análisis Sunshine para elaborar una imagen del sistema que no ha sido infectado.
  3. Entonces se intenta acceder a la página Web o a los correos electrónicos maliciosos.
  4. Se documenta si se bloquea el acceso o si aparece un mensaje del programa de protección. Aún no importa en qué momento o mediante qué tecnología se bloquea el acceso.

    1. Se bloquea el acceso a la URL.
    2. Se reconoce y bloquea el exploit en la página Web.
    3. Se bloquea la descarga de componentes maliciosos.
    4. Se bloquea la ejecución de componentes maliciosos.

  5. Ya que la detección de componentes o acciones maliciosos no siempre es sinónimo de que se haya bloqueado con éxito, Sunshine comprueba en cualquier momento todas las acciones del ordenador para comprobar si el ataque se ha bloqueado por completo, parcialmente o no se ha bloqueado.
  6. El resultado del caso de prueba se determina basándose en la detección que ha documentado el programa de protección, así como en las acciones efectuadas en el sistema que ha registrado Sunshine.

Este procedimiento se pone en práctica simultáneamente con todos los programas que se han comprobado y con cada caso de prueba para garantizar al máximo las mismas condiciones de prueba en todos los programas de seguridad. El caso de prueba se descartaría si se diera el caso de que durante la realización de una prueba de un caso de prueba éste ya no estuviera disponible o no se pudiera ejecutar o que responde de forma distinta con diferentes programas de seguridad (cosa que gracias a los análisis Sunshine es fácil de diagnosticar). De esta forma se asegura que todos los productos se han puesto a prueba bajo los mismos escenarios de prueba.

Todos los casos de prueba provienen exclusivamente de las fuentes internas de AV-TEST y siempre se analizan por completo en el Instituto AV-TEST. Nunca recurrimos a los casos de prueba o a los análisis que nos proporcionan los proveedores u otras fuentes externas. Ya que esta prueba usa sólo amenazas reales y actuales, refleja perfectamente el nivel de peligro real. Debido a la complejidad del proceso de prueba y al análisis de los resultados, la cantidad de casos de prueba se limita a un número razonable. Lo cual no tiene normalmente ninguna influencia sobre la importancia de las pruebas, pues suele ocurrir que las miles de amenazas presentes en Internet solo son variantes de una pequeña cantidad de familias de malware específicas.

Para aumentar la relevancia estadística de las pruebas, se llevan a cabo otros análisis con respecto a una gran cantidad de amenazas. Esto implica disminuir la complejidad de las pruebas y a su vez aumentar considerablemente el número de casos de prueba. Se trata de la detección estática de archivos, es decir, la detección con firmas, heurística y consultas en la nube. AV-TEST utiliza dos tipos de pruebas diferentes:

  1. Todos los archivos maliciosos que AV-TEST descubrió durante las últimas 6 - 8 semanas antes de empezar la prueba (detección de un grupo representativo de malware descubierto durante los últimos 2 - 3 meses (Grupo de referencia AV-TEST)): Aproximadamente 100.000 - 150.000 archivos.
  2. Archivos maliciosos muy extendidos que AV-TEST descubrió durante las últimas 6 - 8 semanas antes de empezar la prueba (detección de malware muy extendidos): Aproximadamente 1.000 - 1.500 archivos.

Procedimiento de prueba:

  1. Los productos se instalan, actualizan y prueban en una configuración estándar/default.
  2. Se iniciará un análisis directo de cada conjunto de prueba. Durante este análisis el producto tiene acceso a Internet.
  3. Después del análisis, se evaluarán los archivos del informe para hacer un seguimiento de las detecciones y los errores de análisis y finalmente determinar el resultado global.

En esta prueba también es importante que todos los productos se analicen simultáneamente contra los mismos casos de prueba y garantizar de este modo una actualización idéntica de los productos. En adelante, los productos se podrán actualizar en cualquier momento. Lo cual es importante para que se puedan integrar los productos con consultas en la nube de manera razonable y justa en la prueba.