3 Componentes de un sistema de seguridad en la red
3.1 Antivirus y antispyware

Viruses, gusanos y caballos de Troya son ejemplos de software malicioso, también llamado malware. El software antivirus o anti-virus se usa para prevenir, detectar y eliminar el malware, incluyendo pero sin limitarse a los virus informáticos, gusanos, troyanos, spyware y adware. Para ser eficaz, el software antivirus debe ser actualizado periódicamente - de lo contrario no será capaz de ofrecer protección contra nuevos virus.

La industria antivirus se apoya en una amplia red de usuarios que proporcionan alertas de nuevos virus, de manera que los mecanismos preventivos y correctivos pueden ser desarrollados y distribuidos rápidamente. Todos los meses se generan miles de nuevos virus, por lo tanto, es esencial que la base de datos de virus se mantenga actualizada. La base de datos de virus es el registro que tiene el software antivirus que ayuda a identificar los virus conocidos cuando intentan atacar. Los proveedores de software antivirus de buena reputación publican las últimas actualizaciones en sus sitios web, y permiten la actualización automática del software de los equipos de los usuarios. La política de seguridad de la red debe estipular que todos los equipos de la red se mantienen actualizados y, a ser posible, están protegidos por el mismo paquete antivirus para minimizar los costos de mantenimiento y de actualización. También es esencial actualizar regularmente el software en sí mismo.

Independientemente de lo útil que sea el software antivirus, su uso a veces puede tener desventajas. El software antivirus puede disminuir las prestaciones o rendimiento de un equipo. Los usuarios inexpertos pueden también tener problemas para entender las instrucciones y decisiones que el software antivirus les presenta. Una decisión incorrecta puede conducir a un fallo de seguridad.

La erradicación de un virus es el término que se utiliza para la limpieza de un ordenador. Hay varios métodos de erradicación: eliminar el código que se corresponde con el virus en el archivo infectado; eliminar el archivo infectado o poner en cuarentena dicho archivo infectado, es decir, trasladarlo a un lugar donde no se puede ejecutar. Típicamente, se emplean las siguientes estrategias.

Detección basada en firmas consiste en la búsqueda de patrones conocidos en un código ejecutable. Los virus se reproducen infectando las "aplicaciones host" lo que significa que se copia una porción de código ejecutable en un programa existente. Los virus están programados para no infectar el mismo archivo varias veces con el fin de tener la certeza que funcionan según lo previsto. Para ello, se incluyen una serie de bytes en la aplicación para comprobar si ya ha sido infectada, esto se denomina firma de virus. Dicha firma es única para cada virus. Los programas antivirus intentan detectar la presencia de esta firma para decidir si el archivo está infectado o no. Este método se denomina detección basada en firmas y es el método más antiguo utilizado por el software antivirus.

Sin embargo, este método no puede detectar virus cuyas firmas no han sido archivadas por los editores del software antivirus. Además, los programadores de virus a menudo utilizan técnicas de camuflaje para dificultar la detección de las firmas. Para contrarrestar estas amenazas, se utiliza el enfoque heurístico.

Un tipo de enfoque heurístico son las firmas genéricas que pueden identificar virus nuevos o variantes de los virus existentes a partir del conocimiento de código malicioso conocido o ligeras variaciones de dicho código. El método heurístico analiza el comportamiento de las aplicaciones con el objetivo de detectar actividad similar a la de un virus conocido.

Por lo tanto, este tipo de programa antivirus puede detectar virus, aun cuando la base de datos antivirus no estén actualizadas.

Sin embargo, en estos esquemas podemos encontrarnos con falsas alarmas, es decir, que el antivirus identifique a un software totalmente correcto como malicioso.