Comprobar que un archivo es seguro antes de descargarlo
Comprobar que un archivo es seguro antes de descargarlo
Continuamos con la serie de ciberseguridad y buenas prácticas, ya hablamos antes sobre Cortafuegos (Firewalls), y Antivirus, hemos también hablado sobre buenas prácticas en cuanto a descargar archivos y seguir vínculos dudosos en correos electrónicos, pero y si aun tenemos duda si es seguro descargar un archivo, veamos ahora cómo comprobar que un archivo es seguro antes de descargarlo.
La herramienta – VirusTotal
Existe una excelente utilería/página web en línea llamada Virustotal, este sitio web cuenta con un potente motor de detección de amenazas, cuenta con 3 pestañas principales
- Archivo (File)
- Dirección (URL)
- Búsqueda(Search)
Ejecutando la comprobación
Como realizamos la comprobación de nuestro «archivo dudoso», tenemos varios escenarios posibles, uno es que hemos recibido el archivo o lo tenemos ya almacenado en nuestro disco duro, el segundo es que estamos por descargar un archivo de algun sitio y tenemos dudas si será o no un virus:
Archivo ya descargado en nuestro PC
En este caso, usaremos la primer opción de verificación que nos ofrece la página de VirusTotal, tendremos en cuenta que tenemos un límite de 128 mb para el archivo que subimos, que es más que suficiente para analizar algún archivo que podamos recibir en cualquier email, o un instalador sencillo.
A continuación damos click en el botón «Upload and scan file» (Subir y analizar archivo).
Se nos abrirá la ventana de «buscar archivo» seleccionaremos el archivo que queremos analizar y confirmamos, el archivo será transferido al sistema de VirusTotal.
Archivo para ser descargado en la nube
Ahora pensemos en una página o un archivo a descargar de internet, no sabemos si estará o no contaminado con algún virus, para estos casos podemos usar la opción URL, que nos permite analizar tanto páginas web como para vínculos archivos almacenados en la nube.
Resultados del análisis
Una vez enviado el archivo o la URL para su análisis, el sistema nos responde con una página de resultados, en realidad contiene una lista de análisis individuales por diferentes motores antivirus y antimalware, por ejemplo veamos un resultado positivo de un archivo de prueba que simula tener un virus dentro:
Búsqueda completa y los resultados de todos los motores antivirus que integra la página.
Tendremos tres pestañas del análisis, la primera por definición nos muestra los resultados de los motores, la segunda nos muestra información mas detallada del archivo o URL, y la tercera el acceso a los comentarios de la «comunidad» respecto a este archivo o URL si ya previamente ubiera sido analizada.
Como podemos ver en el resultado del análisis de ejemplo, un archivo que simula estar contaminado con un virus de prueba (simulado no es real), el «EICAR-AV-Test», «Eicar Archivo de prueba» (European Institute for Computer Antivirus Research), es detectado por varios motores, pero otros lo dan como «bueno», para ser precisos sólo 3 de 64 motores lo reconocen.
El archivo es de ejemplo así que podríamos pensar que el que no sea detectado tampoco es signo que va mal el resto de motores antivirus, pero al menos 3 nos han detectado la «posible amenaza», de todas formas si con un archivo que tenemos duda obtuvieramos un resultado similar, ya nos debería sonar a que el archivo realmente podría estar contaminado con algún tipo de virus o malware.
Por otro lado, veamos un análisis «limpio»:
Todo en verde, 0 de 64 detectados.
Conclusiones
Este es un buen método de análisis para poder orientarnos si el archivo está o no contaminado con un virus, pero como hemos visto antes, ningún sistema por si solo es perfecto ni vale tener una única línea de defensa.
Si bien, el que se analice un archivo o URL con una gran cantidad de motores antivirus, parece garantizar una detección, es mi experiencia, que algún archivo «nuevo», sobre todo del tipo archivo pegado a email, que comienza a circular, puede dar al principio un falso negativo, y no ser detectado por ninguno de los motores antivirus como posible amenaza.
Por eso insisto de nuevo en las buenas prácticas de ciberseguridad, no «caigamos» en el engaño de una factura no solicitada, o un archivo con las fotos de un artista de moda, por regla general si no hemos solicitado un archivo, no lo necesitamos, y si lo recibimos deberíamos dudar inmediatamente de él, y comprobar con la fuente original antes de descargarlo y abrirlo.
Enlaces
¿Te ha gustado este árticulo? ¿Lo encuentras útil? Compártelo y has click en el anuncio de google y ayúdame a mantener este Blog.
Community Manager, bloguero, informático de profesión, con más de 15 años de experiencia, amante del software libre y linuxero.
Community Manager, bloguero, informático de profesión, con más de 15 años de experiencia, amante del software libre y linuxero.
[…] Primero que nada, tranquilidad, este “bicho” aún está en desarrollo y es mas una serie de “experimentos”, que un ataque real a nuestra ciberseguridad (por el momento), el qkG Ramsomware fue descubierto por el investigador de seguridad de Trend Micro, Jaromir Horejsi, revisando los archivos que se subieron a la herramienta de revisión en línea “VirusTotal”, de la cual ya hemos hablado antes aquí. […]