Antivirus peligrosos: cuáles evitar y cómo proteger tu PC

Informatec Digital » Recursos » Antivirus peligrosos: cuáles evitar y cómo proteger tu PC

Conectarse hoy a Internet sin una mínima capa de protección es casi como dejar la puerta de casa abierta de par en par. La red está llena de malware, fraudes y ataques que solo necesitan un pequeño despiste para colarse en tu ordenador, robar tus datos o incluso dejarlo inutilizado. Windows 10 y Windows 11 incluyen su propio motor de seguridad, Microsoft Defender, que da una base razonable, pero muchos usuarios optan por instalar soluciones externas pensando que así estarán mucho más seguros.

El problema es que no todos los antivirus son igual de eficaces, ni de fiables, ni de honestos. Algunos se quedan cortos detectando amenazas, otros se pasan de paranoicos llenándolo todo de falsos positivos y algunos directamente son programas maliciosos que se hacen pasar por herramientas de seguridad. En este artículo vamos a repasar cuáles son los antivirus realmente peligrosos (por débiles o por falsos), qué dicen laboratorios como AV-Comparatives y AV-Test, qué tipos de malware hay y cómo blindar tu PC para no caer en las trampas más habituales.

Antivirus flojos y llenos de falsos positivos: los que conviene evitar

Las pruebas independientes son la manera más fiable de saber qué antivirus funcionan bien y cuáles se quedan a medio camino. Laboratorios como AV-Comparatives (Austria) o AV-Test (Alemania) someten a las principales suites de seguridad a escenarios reales: webs maliciosas, amenazas de día cero, malware conocido, consumo de recursos y comportamiento frente a falsos positivos.

Aunque hoy casi todos los motores utilizan la nube para compartir firmas y análisis, cada fabricante implementa su propio motor y sus propias bases de datos. Eso se nota en las tasas de detección y, sobre todo, en el número de archivos legítimos que marcan por error como malware. De la combinación de ambos factores salen algunos nombres que, a la vista de los datos, es mejor dejar pasar.

Según los resultados recientes de AV-Comparatives, Quick Heal es uno de los ejemplos más claros de antivirus que no dan la talla. En sus pruebas de protección en el mundo real, este software solo fue capaz de bloquear alrededor del 94,2 % de las amenazas. Traducido: en torno a un 5,8 % de malware se le escapa. Para un producto que se supone que debe ser tu última línea de defensa, es un agujero demasiado grande.

Otro caso llamativo es Panda Security, que durante años fue un referente en España. En los test analizados, Panda detectó aproximadamente el 97,4 % de las muestras, pero a cambio generó un volumen muy alto de falsos positivos frente a sus competidores. A nivel nostálgico muchos usuarios lo recuerdan de la época de Windows 98, pero desde el gran fallo de detección y borrado masivo que sufrió en 2009 en Windows XP, no ha conseguido recuperar reputación en las pruebas más exigentes.

También está el caso de Malwarebytes como antivirus principal. Su tasa de detección ronda el 98,1 %, pero arrastra un número desproporcionado de falsos positivos. Como solución antivirus completa no es la opción ideal; en cambio, mantiene todo el sentido como segundo refuerzo para análisis bajo demanda, ya que su motor antimalware suele localizar amenazas residuales que otros productos pasan por alto.

En un escalón intermedio aparecen nombres como K7 y Trend Micro. Sus tasas de detección pura son bastante altas (99,3 % y 99,5 %), pero su problema es otro: la cantidad de falsos positivos. Cuando un antivirus marca como malicioso todo lo que se mueve, el riesgo ya no es tanto el malware real como que acabe bloqueando programas que necesitas, drivers, bibliotecas del sistema o documentos propios.

Por qué los falsos positivos también son peligrosos

Puede parecer que un antivirus que detecta «de más» es mejor que uno que se queda corto, pero un exceso de falsos positivos puede meterte en más líos de los que resuelve. Un falso positivo es, básicamente, cuando el antivirus decide que un archivo, aplicación o web completamente legítimos son una amenaza.

Cuando esto ocurre de forma puntual no pasa de una molestia, pero si el motor se equivoca una y otra vez, pueden darse situaciones muy serias: bloqueo de programas de trabajo, imposibilidad de instalar software crítico, pérdida de tiempo revisando alertas falsas y, en casos extremos, eliminación de archivos vitales del sistema.

Ha habido incidentes documentados donde algunos antivirus han puesto en cuarentena librerías DLL tanto de aplicaciones legítimas como del propio Windows. El resultado es que de repente determinados programas dejan de abrirse o, directamente, el sistema empieza a fallar hasta el punto de no arrancar. Recuperar un equipo en ese estado puede requerir restauraciones completas o incluso reinstalar desde cero.

Por eso, laboratorios como AV-Comparatives y AV-Test dan tanta importancia al equilibrio entre detección y falsos positivos. No se trata solo de parar todo el malware, sino de hacerlo sin romper el sistema ni la productividad del usuario. Su metodología es transparente, auditada (en el caso de AV-Comparatives, con certificación ISO 9001) y ampliamente reconocida por la industria.

Conviene dejar claro que las valoraciones editoriales que se hacen sobre ciertos productos se basan en esos datos objetivos, no en manías personales. Que un antivirus salga mal parado en un informe no significa que sea inútil, sino que, comparado con otros competidores en esas mismas pruebas, ha mostrado más limitaciones: menor detección o demasiados falsos positivos.

Antivirus que suspenden en seguridad: el caso de Bkav y otros

Si nos vamos a los resultados de AV-Test, encontramos otro nombre que genera preocupación: Bkav. Este antivirus llegó al mercado vendiéndose como una solución pionera basada en Inteligencia Artificial, capaz de inspeccionar todo lo que entra y sale del equipo para frenar amenazas de forma predictiva.

Sobre el papel, Bkav promete protección multicapa para red, sistema operativo y datos, frente a malware clásico, ransomware, mineros, keyloggers, adware y demás familia. El problema es que, cuando se ha puesto a prueba en laboratorio, los resultados no acompañan a la teoría.

En un informe reciente, Bkav fue el único antivirus que «suspendió» las pruebas de AV-Test. Obtuvo una puntuación de 3 sobre 6 tanto en el apartado de protección como en el de usabilidad, lo que ya indica que algo no va bien. Si miramos los números, su motor solo detectó alrededor del 88,5 % de las amenazas, cuando la media del resto de programas superaba cómodamente el 97,5 %.

A todo eso se suma que Bkav generó cinco veces más falsos positivos que la media de sus rivales. Es decir: ni detecta bien el malware, ni respeta del todo los archivos legítimos. Por ahora es un producto que conviene evitar si lo que quieres es fiarte de tu software de seguridad, aunque habrá que ver si las futuras versiones mejoran.

Junto a Bkav, AV-Test también señala como opciones poco recomendables a eScan, K7 Security y AhnLab, que no alcanzan la máxima puntuación en protección. No quiere decir que sean un coladero absoluto, pero sí que, teniendo alternativas gratuitas y de pago que obtienen nota perfecta, no tiene mucho sentido arriesgarse.

Antivirus falsos: cuando la amenaza se disfraza de protección

Además de los antivirus flojos, existe otro frente todavía más preocupante: el del «antivirus» que en realidad es malware. Este tipo de software se conoce como rogue antivirus o software antivirus falso, y está diseñado expresamente para engañar al usuario.

El funcionamiento suele ser muy similar: la víctima visita una web o abre un archivo que dispara una falsa alerta de seguridad en pantalla, donde se asegura que el equipo está lleno de infecciones. A partir de ahí, el programa se ofrece a «arreglar» el problema a cambio de instalar una supuesta herramienta o pagar una licencia.

En muchos casos, el objetivo es asustar lo suficiente para que la persona pague por algo que no necesita, o que incluso ni siquiera funciona. En otros, además del engaño económico, el propio software falso es el que instala el malware real: troyanos, spyware, ransomware o puertas traseras para controlar el equipo a distancia.

Para reducir al mínimo el riesgo de tropezar con este tipo de «protección» maliciosa, expertos en seguridad como los de Kaspersky recomiendan seguir algunas pautas básicas:

• Mantén el sistema operativo y las aplicaciones al día: instala siempre los parches de seguridad de Windows, el navegador, el lector de PDF, los plugins como Flash (si todavía los usas) y cualquier otro programa susceptible de ser atacado.
• Actualiza con frecuencia tu antivirus legítimo y, si puedes, activa las actualizaciones automáticas para que las firmas se descarguen solas.
• Desconfía de ciertos resultados en buscadores, especialmente de los enlaces patrocinados que prometen «limpiar tu PC» o «acelerarlo» milagrosamente.
• Escribe tú mismo la dirección de la web del fabricante en la barra del navegador, en lugar de llegar desde banners o enlaces dudosos.
• No abras adjuntos que no esperabas, aunque parezcan venir de un contacto conocido, sin comprobar antes con esa persona si realmente te los ha enviado.
• Piénsalo dos veces antes de hacer clic en enlaces de correos, mensajería o redes sociales, sobre todo si te prometen regalos, descargas «crackeadas» o contenido llamativo.

Virus más destructivos de la historia: impacto real del malware

Para entender por qué es tan importante elegir bien el antivirus y mantener el sistema al día, basta mirar el historial de grandes epidemias de malware. En las últimas décadas ha habido virus y gusanos que han costado miles de millones de dólares y han tirado abajo redes completas de empresas y organismos públicos.

Uno de los casos más bestias fue Mydoom, considerado el brote de malware más caro hasta la fecha. En 2004 provocó daños valorados en unos 38.000 millones de dólares (más de 52.000 millones ajustando a inflación). Técnicamente era un gusano que se distribuía por correo masivo; llegó a suponer el 25 % de todos los correos que circulaban por Internet.

Mydoom extraía direcciones de correo de los equipos infectados, se reenviaba automáticamente a esos contactos y los convertía en parte de una botnet con la que se lanzaban ataques de denegación de servicio (DDoS). A pesar de que se ofreció una recompensa oficial de 250.000 dólares, nunca se identificó de forma pública a su creador. Y lo más inquietante: aún hoy sigue apareciendo en campañas de phishing, generando aproximadamente el 1 % de ese tráfico malicioso a nivel mundial.

Otro gusano legendario fue Sobig, de 2003, que se calcula que causó unos 30.000 millones de dólares en daños. Apareció en varias variantes (de la A a la F) y se disfrazaba de software legítimo en archivos adjuntos. Llegó a tumbar sistemas de compañías aéreas como Air Canada y a alterar operaciones en todo tipo de sectores.

Klez, por su parte, infectó en torno al 7,2 % de todos los ordenadores del mundo en 2001 (unos 7 millones de equipos). Enviaba correos suplantando a remitentes conocidos, intentaba deshabilitar otros virus instalados y fue evolucionando en variantes cada vez más agresivas. Permaneció activo durante años, demostrando lo difícil que es erradicar del todo cierto malware.

Probablemente el nombre que más gente recuerda es ILOVEYOU. Se propagó en el año 2000 con un truco de ingeniería social demoledor: se hacía pasar por una carta de amor en un supuesto archivo de texto. Al abrirlo, se reenviaba automáticamente a todos los contactos del usuario. En días llegó a comprometer más de 10 millones de ordenadores. Su autor, el filipino Onel de Guzman, no fue condenado porque en su país aún no existían leyes específicas de ciberdelitos.

En tiempos más recientes, WannaCry fue el ransomware que puso el cifrado de datos en primera plana mediática. En 2017 se extendió en cuestión de horas por 150 países, infectando unos 200.000 equipos, paralizando hospitales, empresas y administraciones públicas. El ataque solo se frenó cuando un investigador británico descubrió por casualidad un «interruptor de emergencia» en el código. La mayoría de equipos afectados tenían sistemas sin actualizar, una lección que los expertos siguen repitiendo hoy.

Otro nombre clave es Zeus, que apareció en 2007 como una plataforma de robo financiero. Estuvo detrás de cerca del 44 % de los ataques de malware bancario y llegó a infiltrar el 88 % de las compañías de la lista Fortune 500, además de unas 2.500 organizaciones en casi 200 países. Funcionaba como una botnet dedicada a capturar credenciales bancarias y vaciar cuentas. Se detuvo a más de un centenar de miembros de la red en 2010, pero parte de su código sigue vivo en troyanos actuales.

Tampoco hay que olvidar gusanos como Code Red, detectado por primera vez en 2001, que infectó casi un millón de sistemas en pocas horas. Vivía únicamente en la memoria RAM, lo que lo hacía más difícil de localizar, y lanzaba ataques DDoS, incluido uno contra la web de la Casa Blanca. O SQL Slammer, de 2003, que saturó Internet eligiendo IPs al azar, explotando vulnerabilidades y replicándose a una velocidad brutal, dejando fuera de servicio cajeros automáticos y servicios bancarios.

En 2013, CryptoLocker enseñó al mundo lo rentable que podía ser el modelo de ransomware clásico: cifrar archivos, mostrar una nota de rescate con cuenta atrás y pedir un pago. Afectó a más de 250.000 equipos y usó la botnet Gameover Zeus para su distribución masiva. Su «receta» sigue siendo la base de muchos ransomware modernos dirigidos a empresas.

Y como curiosidad, el gusano Sasser, escrito por un estudiante alemán de 17 años, bloqueó millones de ordenadores en 2004 explotando vulnerabilidades del sistema operativo sin que el usuario tuviera que hacer clic en nada. El joven fue detenido tras ser delatado por un conocido que buscaba la recompensa ofrecida por su captura.

Otros malware que marcaron época y evolución de las amenazas

Más allá de ese «top 10», hay varios nombres que dan una idea clara de cómo ha evolucionado el malware. Conficker, por ejemplo, apareció en 2009 y todavía hoy infecta equipos antiguos o mal gestionados. Si llegara a activarse a gran escala de nuevo, podría causar un impacto considerable.

Stuxnet fue el gran salto del malware al terreno geopolítico. Diseñado para sabotear las centrifugadoras nucleares de Irán, demostró que el software malicioso podía usarse como arma física contra infraestructuras industriales. No iba a por usuarios domésticos, sino contra sistemas de control (SCADA) muy concretos.

En 1999, Melissa fue uno de los primeros virus de correo masivo en mostrar el potencial de propagación. El FBI estimó los daños en unos 80 millones de dólares. Era relativamente simple, pero saturó servidores de correo de medio mundo.

En 2007, Storm Worm se propagó a través de correos con supuestas noticias sobre tormentas y fenómenos meteorológicos extremos. Fue uno de los primeros grandes ejemplos de ingeniería social adaptada a titulares de actualidad, algo que hoy sigue vigente con correos que suplantan a organismos oficiales, bancos o empresas de mensajería.

En la actualidad, el panorama ha cambiado: las amenazas son más dirigidas, silenciosas y centradas en el beneficio económico. Ransomware de doble extorsión, ataques a cadenas de suministro, troyanos bancarios avanzados y malware que intenta ocultarse en el firmware o por debajo del sistema operativo son ya el día a día de la ciberseguridad.

Diferencia entre virus, gusano y ransomware

Aunque muchas veces los usamos como sinónimos, virus, gusano y ransomware no son exactamente lo mismo. Entender la diferencia ayuda a interpretar mejor las noticias de ciberataques.

En sentido estricto, un virus informático necesita un archivo anfitrión para ejecutarse. Suele incrustarse en ejecutables, documentos o macros. Cuando el usuario abre ese archivo, el virus se activa, se replica a otros archivos y puede modificar, borrar o robar información, además de servir como puerta de entrada a más malware.

Un gusano informático es autónomo: no requiere que el usuario haga nada más que tener el sistema vulnerable. Aprovecha fallos en el sistema operativo o aplicaciones para colarse por la red, duplicarse y expandirse. Precisamente por eso son tan peligrosos en entornos corporativos: un solo equipo sin parchear puede comprometer toda una red.

El ransomware es, más que una forma de propagación, una categoría de malware por objetivo: cifra archivos o bloquea el acceso al sistema y exige un pago a cambio de la llave. En algunos países se conoce como «secuestro de datos». Puede llegar a través de un troyano, de un gusano, de un exploit en una web o de un correo de phishing.

La mayoría de los grandes «virus» históricos de la lista son, en realidad, gusanos, y hoy por hoy el ransomware es la amenaza más cara para empresas y administraciones. Suele combinar propagación automática, cifrado de datos, robo previo de información sensible y chantaje público.

Caso real: ¿qué pasa si solo un motor de VirusTotal detecta una amenaza?

Situaciones como esta son cada vez más habituales: descargas un archivo de una fuente «gris» (por ejemplo, un activador de DLCs de un juego), lo subes a VirusTotal y ves que 1 de 60 motores lo marca como troyano. En un ejemplo similar, el antivirus Jiangmin señalaba un ejecutable usado para activar DLCs de The Sims 4, mientras el resto de motores lo daban por limpio.

En esos casos, es tentador pensar que es un simple falso positivo y seguir adelante. Y puede que lo sea, pero también es cierto que muchos crack, activadores y herramientas para saltarse licencias son uno de los vectores de infección favoritos de los ciberdelincuentes. Van dirigidos a gente predispuesta a bajar la guardia a cambio de conseguir algo «gratis».

Lo más prudente cuando un solo motor marca una detección dudosa es combinar varios factores: reputación del archivo (tiempo en circulación, número de usuarios que lo han enviado), firma digital (si la tiene), historial de la web que lo distribuye y, sobre todo, sentido común. Si el archivo pretende modificar componentes de un juego o del sistema y no viene de la tienda oficial, el riesgo ya es de por sí alto.

Aunque a nivel técnico a veces se puedan analizar hashes, comportamiento en sandbox o reglas heurísticas, para el usuario medio lo sensato ante la duda es no ejecutarlo. Perder un mod o un DLC «gratis» es infinitamente mejor que comerse un troyano que robe tus credenciales bancarias o cifre todos tus documentos.

Tipos de malware más peligrosos y cómo actúan

Más allá de los nombres concretos, conviene tener claro qué familias de malware son más habituales y qué buscan. Eso ayuda a identificar comportamientos sospechosos a simple vista.

Un virus informático clásico se centra en propagarse y causar daños en archivos y sistemas. Puede corromper documentos, sabotear programas o abrir puertas traseras para otros ataques. A menudo se apoya en macros de Office, ejecutables o soportes extraíbles.

El ransomware, como ya se ha comentado, cifra el contenido de tu equipo (o de toda una red) y muestra una nota de rescate. Algunas variantes solo afectan a ciertos tipos de archivos, otras al sistema completo. En los últimos años se ha popularizado el modelo de doble extorsión: además de cifrar, roban datos y amenazan con publicarlos si no se paga.

Los gusanos informáticos se centran en moverse por la red a gran velocidad, explotando vulnerabilidades. Una vez dentro, pueden desde borrar información hasta integrar el equipo en una botnet dedicadas a lanzar DDoS, minar criptomonedas o enviar spam.

Los troyanos se camuflan bajo apariencia de software legítimo: cracks, instaladores de programas populares, supuestas actualizaciones, etc. No se replican solos, sino que necesitan que tú los ejecutes. A partir de ahí, pueden robar datos, permitir el control remoto del equipo, descargar más malware o espiar tus actividades.

El adware muestra anuncios no deseados en tu navegador o en el propio sistema, a menudo en forma de ventanas emergentes o barras de herramientas que no has pedido. Más allá de lo molesto, algunas formas de adware rastrean tu actividad y recopilan datos personales sin permiso.

El spyware se dedica a espiar de forma silenciosa (cómo eliminar spyware): captura pulsaciones de teclado, realiza capturas de pantalla, registra webs visitadas y envía esa información a un servidor remoto. Puede colarse como parte de otro programa, explotando fallos de seguridad o engañándote a través de phishing.

Las botnets son redes de dispositivos infectados controlados por un atacante. Cada uno de esos equipos (bots) puede ser tu PC, tu router o incluso un dispositivo IoT. Coordinados, sirven para lanzar ataques masivos, distribuir malware o hacer campañas de spam a lo grande.

Los keyloggers son un tipo concreto de spyware que registra todo lo que escribes en el teclado. Pueden tener usos legítimos (control parental, supervisión en empresas) cuando se instalan con conocimiento y regulación, pero en manos de delincuentes son una herramienta ideal para robar contraseñas, datos bancarios o conversaciones privadas.

Síntomas de que tu ordenador puede estar infectado

Aunque muchas amenazas actuales intentan pasar desapercibidas, hay señales típicas que te pueden poner sobre aviso de que algo raro pasa en tu PC:

• Sistema mucho más lento de lo habitual sin una causa clara.
• Programas que se abren o se cierran solos, o cuelgues constantes.
• Aparición de iconos, accesos directos o archivos que no recuerdas haber instalado.
• Ventanas emergentes de publicidad incluso cuando no estás navegando.
• Cambios en la página de inicio del navegador o en el motor de búsqueda por defecto sin tu permiso.
• Mensajes de error extraños al arrancar o apagar el equipo.

En Windows 10 y 11, puedes revisar el estado de protección desde «Seguridad de Windows». Basta con escribir ese término en el buscador del menú Inicio y entrar en «Protección contra virus y amenazas» para ver cuándo fue el último análisis y si hay alertas activas (saber si mi PC tiene virus).

Buenas prácticas para protegerte de antivirus peligrosos y malware

Más allá de elegir un antivirus fiable, la mayor parte de la defensa pasa por tus hábitos. Un usuario prudente con un antivirus decente suele estar mejor protegido que alguien descuidado con la mejor suite del mercado.

Algunos consejos básicos que merece la pena aplicar siempre son:

• Instala un buen antivirus y mantenlo actualizado. Microsoft Defender es una base sólida y gratuita; otras opciones con muy buena nota en AV-Comparatives y AV-Test incluyen Avast Free, Kaspersky, McAfee o Bitdefender, según el tipo de licencia que quieras.
• No abras correos ni adjuntos de remitentes desconocidos y desconfía de archivos que no estabas esperando, incluso si parecen venir de alguien que conoces.
• Activa un bloqueador de ventanas emergentes y revisa la configuración de privacidad del navegador, para limitar el rastreo y reducir la exposición a webs dudosas.
• Mantén Windows y el resto de programas al día con Windows Update y los sistemas de actualización propios. La mayoría de ataques exitosos aprovechan fallos para los que ya existe parche.
• Comprueba que el Control de Cuentas de Usuario (UAC) está activo, de forma que siempre tengas que autorizar cambios importantes en el sistema.
• En Windows 10 y 11, verifica que la «Protección contra alteraciones» está encendida, para impedir que malware desactive tu antivirus o cambie la configuración de seguridad a tus espaldas.
• Evita instalar software pirata, cracks y activadores, porque son uno de los vectores más utilizados para colar troyanos, keyloggers y ransomware.

En algunos entornos profesionales, además, tiene sentido añadir capas de protección a nivel de hardware o firmware, como las tecnologías integradas en algunos equipos de fabricantes como HP (por ejemplo, HP Wolf Security). Este tipo de soluciones buscan detectar y contener ataques incluso si el sistema operativo ya ha sido comprometido.

Si a todo esto le sumas el uso de contraseñas fuertes y únicas, autenticación en dos pasos cuando sea posible y algo de criterio al navegar, reducirás enormemente la probabilidad de acabar en manos de antivirus peligrosos, malware bancario o campañas de ransomware masivo.

Elegir bien el antivirus, mantenerse al día con actualizaciones y aplicar unas cuantas costumbres sencillas al navegar y gestionar tus archivos marca una diferencia enorme: la mayoría de los grandes desastres de la historia del malware explotaron sistemas desactualizados y usuarios confiados, justo los errores que hoy puedes evitar con relativa facilidad si sabes qué productos no usar, por qué desconfiar de ciertos «antivirus» y cómo reconocer a tiempo los síntomas de una infección.