Analizar archivos ya no es suficiente: así define NordVPN el "antivirus de última generación"

El problema con la definición actual

La industria de ciberseguridad siempre ha definido las generaciones de antivirus según la forma cómo detectan archivos peligrosos. Las primeras herramientas comparaban archivos con firmas de ataques conocidos. Después añadieron heurística, análisis de comportamiento, sandboxing y clasificación basada en machine learning (aprendizaje automático).

Cada generación abordaba la misma pregunta: ¿este archivo es peligroso? Pero el panorama de amenazas cambió. La mayoría de los ataques actuales (phishing, estafas, robo de identidad e ingeniería social) no dependen de un archivo sospechoso. La definición vigente de "antivirus" no ha logrado mantenerse al día.

Los virus ya no son la mayor amenaza

La mayoría de las amenazas de ciberseguridad actuales no involucran un virus. Piensa en lo que realmente pone en riesgo a las personas en internet:

• Las estafas se han convertido en sofisticadas operaciones de ingeniería social. Las tiendas falsas de e-commerce usan páginas de productos convincentes, reseñas inventadas y flujos de pago funcionales para robar información de tarjetas de crédito. Los mensajes SMS fraudulentos se hacen pasar por servicios de entrega, autoridades fiscales y bancos. Las estafas telefónicas usan suplantación de identificador de llamadas y voces generadas con IA para conseguir dinero e información personal. Ninguno de estos ataques necesita un archivo peligroso para tener éxito.
• El phishing ha evolucionado mucho más allá de los emails con errores ortográficos de hace una década. Las páginas de phishing actuales son réplicas perfectas de sitios legítimos, a menudo alojadas en dominios comprometidos con certificados SSL válidos. Están diseñadas para robar credenciales, tokens de sesión, códigos de autenticación en dos pasos o multifactor y datos personales usados para recuperar cuentas.
• El robo de identidad se posiciona como la principal preocupación de seguridad para los usuarios de NordVPN.¹ Los cibercriminales pueden obtener acceso no autorizado a cuentas usando relleno de credenciales (credential stuffing), secuestro de sesiones, intercambio de tarjetas SIM e ingeniería social. Una vez ingresan, pueden tomar el control de la cuenta bloqueando al propietario original. También pueden usar información personal robada para abrir nuevas líneas de crédito o cometer fraude a nombre del titular.
• El malware y los archivos sospechosos siguen siendo una gran amenaza. Lo que las personas descargan y ejecutan en sus dispositivos todavía requiere inspección y control. Pero los archivos ya no son la única forma de ataque, ahora son un método entre muchos otros.

Una herramienta de protección digital que solo se enfoca en archivos peligrosos ignora la mayoría de los ataques que enfrentan las personas.

Redefiniendo el "antivirus"

El término antivirus viene de una época en la que los archivos peligrosos eran la principal amenaza digital. Décadas de marketing por parte de marcas tradicionales de seguridad convirtieron "antivirus" en un término genérico para software de protección, tal como "Kleenex" se volvió sinónimo de pañuelos desechables. Esa asociación no va a desaparecer.

La industria de seguridad empresarial reconoció primero las limitaciones del antivirus tradicional. Empresas líderes en ciberseguridad desarrollaron el antivirus de última generación (NGAV, por sus siglas en inglés) para complementar o reemplazar el análisis de archivos basado en firmas. Los NGAV usan una combinación de detección de comportamiento y algoritmos de machine learning para identificar amenazas, ayudando a detectar procesos sospechosos, malware sin archivos y comportamiento de exploits que los antivirus tradicionales suelen pasar por alto.

En entornos empresariales los NGAV siguen siendo una evolución importante. Pero se construyeron principalmente para dispositivos corporativos, equipos de seguridad y un modelo de amenazas centrado en la exposición de endpoints. Dependen de telemetría de comportamiento extensa que un producto de consumo enfocado en privacidad no debería recopilar.

Así que la palabra antivirus ahora carga con dos definiciones: el modelo tradicional construido para usuarios cotidianos en una época en que los archivos peligrosos eran la amenaza principal y el modelo NGAV empresarial construido para entornos corporativos. La definición tradicional está desactualizada y la empresarial nunca estuvo pensada para usuarios individuales. Ninguna cubre las amenazas que enfrentan las personas en dispositivos personales hoy en día.

La gente todavía busca "antivirus" cuando lo que realmente necesita es protección contra malware, phishing, robo de identidad, estafas y secuestro de cuentas. La definición debería ponerse al día con las amenazas que se espera que cubra.

NordVPN define "antivirus de última generación" como una herramienta integral de protección contra amenazas digitales. Bajo esta definición, un NGAV protege en cinco áreas:

• Protección contra estafas: detectar páginas web fraudulentas y tiendas falsas, notificar a los usuarios sobre mensajes SMS sospechosos, identificar llamadas dudosas y proteger sesiones bancarias.
• Protección contra phishing: evaluar URL, links de email y contenido web en tiempo real para detectar el robo de credenciales antes de que el usuario acceda.
• Protección contra robo de identidad y secuestro de cuentas: monitorear intentos de robo de identidad, detectar patrones de fraude, escanear filtraciones en la dark web en busca de información personal expuesta y enviar alertas sobre usuarios y contraseñas comprometidos. En el lado de las cuentas: detección y notificaciones sobre intentos de acceso no autorizado mediante relleno de credenciales, secuestro de sesiones, intercambio de SIM e ingeniería social, además de señalar información de inicio de sesión débil antes de que los hackers puedan explotarla.
• Bloqueo de rastreadores y anuncios: eliminar rastreadores entre páginas, scripts de fingerprinting y anuncios invasivos que afectan la privacidad, ralentizan el rendimiento y crean puntos de entrada adicionales para ingeniería social dirigida.
• Protección de archivos y dispositivos: analizar descargas y poner en cuarentena o eliminar archivos peligrosos antes de que puedan ejecutarse.

NordVPN no está reinventando la categoría de antivirus, solo la está expandiendo para cubrir las amenazas que las personas ya esperan que un antivirus maneje.

Cómo construimos nuestro antivirus de última generación

Una protección digital efectiva debe equilibrar tres compromisos que compiten entre sí: no perfilamos usuarios, medimos datos que ayudan a mejorar el producto y construimos la herramienta para que funcione sin requerir atención del usuario.

Optimizar un compromiso dejando a los otros de lado lleva a un producto invasivo, poco confiable o demasiado complejo de usar. Un producto moldeado por los tres principios es más difícil de desarrollar, pero también genera más confianza.

No perfilamos

NordVPN es una empresa de privacidad. Nuestros usuarios confían en nosotros porque no los vigilamos. Ese compromiso crea una restricción estricta, ya que la detección de amenazas tiene que funcionar con menos datos de los que normalmente necesitaría.

Nuestra regla es simple. Únicamente salen del dispositivo los datos necesarios para identificar una amenaza. Cuando el análisis tiene que ocurrir en nuestros servidores en lugar del dispositivo, eliminamos cualquier vínculo con el usuario antes de que los datos se muevan.

En la práctica, eso significa:

• Cuando es posible, los archivos se verifican por hash, no por contenido.
• Las URL se limpian de parámetros de consulta y fragmentos de ruta personales antes de cualquier búsqueda en la nube. Ninguna URL se vincula a un usuario específico.
• Las cookies de autenticación se procesan con hash y solo los primeros ocho caracteres salen del dispositivo.

Nuestro esquema de datos no tiene un campo para identificadores de usuario. Eso significa que la protección de privacidad no depende de que alguien siga las reglas. El sistema lo hace cumplir por diseño.

Medimos sin observar

Detectar amenazas sin medición sería adivinar. Necesitamos saber si nuestro clasificador de phishing está mejorando, si nuestra detección de estafas está identificando nuevos patrones y si nuestros modelos están dejando pasar amenazas. Responder esas preguntas requiere datos de retroalimentación.

Pero los datos de retroalimentación recopilados sin restricciones son la forma en que el software de seguridad se convierte en software de vigilancia. Evitamos ese riesgo midiendo sistemas de detección, no recopilando información personal. Cada capa de nuestro sistema produce datos agregados de rendimiento:

• Los clasificadores de machine learning reportan la tasa de detección y proporción de falsos positivos.
• El fuzzy hashing reporta velocidad de clasificación.
• Los feeds de inteligencia de amenazas reportan qué tan actualizados están.

El producto calcula estas métricas en muestras a nivel poblacional. Los modelos se reentrenan con muestras de amenazas anonimizadas y resúmenes estadísticos. Ningún historial de navegación de usuario entra en el proceso de retroalimentación. Podemos decirte si nuestro modelo de phishing está mejorando, pero no qué estaba haciendo un usuario específico cuando detectó una amenaza.

Diseñamos nuestro producto para que sea invisible

La mejor seguridad es aquella en la que las personas nunca tienen que pensar, es decir, sin configuración, sin notificaciones excesivas, sin necesidad de conocimientos técnicos. Construir un producto invisible para los usuarios requiere que observemos cómo interactúan con él. Definimos los datos mínimos que necesitamos para mejorar la experiencia y nos detenemos ahí.

Con el consentimiento del usuario, rastreamos:

• Información sobre si cada función está activada o desactivada y con qué frecuencia se usa.
• Métricas de volumen: cuántas amenazas se bloquearon durante un período definido.
• Puntajes de satisfacción del usuario recopilados mediante encuestas directas.

Ninguno de estos datos revelan qué estaba haciendo un usuario específico. Nos dicen si el producto funciona lo suficientemente bien como para que los usuarios nunca tengan que pensar en él.

Los datos a este nivel no son sensibles por defecto. No se pueden combinar para reconstruir un comportamiento, inferir intenciones o construir un perfil.

El enfoque de NordVPN con la IA: modelos pequeños para trabajos específicos

NordVPN usa modelos pequeños y dedicados de machine learning, cada uno entrenado para una tarea de detección bien definida. En lugar de construir un solo modelo que intente clasificar todas las amenazas, desarrollamos modelos especializados para categorías distintas:

• Un modelo entrenado para evaluar URL en busca de características de phishing.
• Un modelo enfocado en identificar patrones de páginas de e-commerce fraudulentas.
• Un modelo que analiza el comportamiento de archivos en busca de indicadores de malware.
• Un modelo afinado para detectar patrones de ingeniería social en mensajería.

Algunos modelos son lo suficientemente ligeros para ejecutarse directamente en el dispositivo del usuario. Otros lo hacen en la extensión del navegador. Los que requieren más poder de procesamiento se ejecutan en el backend. Cuando el procesamiento ocurre localmente, los datos relevantes permanecen en el dispositivo y no se envían a servidores externos para el análisis.

Cada modelo puede validarse y actualizarse de manera independiente, así que cuando la efectividad cae, podemos rastrear la causa. Y como cada modelo se ejecuta por separado, ninguno de ellos requiere atención del usuario ni interrumpe la experiencia.

Esta separación también hace que la medición sea precisa. Cuando un modelo dedicado de phishing tiene un rendimiento bajo, sabemos exactamente qué reentrenar y con qué datos. Cuando el de detección de estafas produce falsos positivos, podemos ajustarlo sin efectos secundarios en la detección de malware. Como cada uno tiene un solo trabajo, podemos identificar exactamente qué falló y por qué.

Los modelos de aprendizaje automático funcionan bien dentro de un alcance definido, pero se descomponen cuando se tratan como una solución completa. Nuestros modelos trabajan junto a sistemas basados en reglas, feeds de inteligencia de amenazas y revisión humana, cada uno cubriendo lo que los demás no pueden.

Para clasificar amenazas en tiempo real a través de millones de dispositivos y contextos diferentes, los modelos pequeños y dedicados son el enfoque más efectivo que hemos encontrado sin sacrificar la privacidad del usuario.

Hacia dónde vamos ahora

El término antivirus no va a desaparecer. Es la forma como las personas piensan sobre la protección digital, la buscan y la compran. La industria puede seguir reduciendo la definición al análisis de archivos y tratar el resto del entorno de amenazas como problema de alguien más, o construir productos que coincidan con lo que la palabra ya significa para quienes los usan.

Elegimos la segunda opción. Desarrollamos un producto que cubre protección contra estafas, detección de phishing, monitoreo de identidad y seguridad de archivos, basado en privacidad, medido rigurosamente y diseñado para funcionar sin pedirles a los usuarios que se conviertan en expertos en seguridad.

Una herramienta de protección contra amenazas digitales que cubre phishing, estafas, robo de identidad y malware, eso es lo que creemos que la categoría de antivirus debería ofrecer hoy.

Referencias

¹ Šlekytė, I. (2025, Junio 25). NordVPN research reveals: One in three people fall victim to online scams. NordVPN. https://www.nordvpn.com/blog/scam-experience-research/