Escanear archivos ya no es suficiente: cómo NordVPN define el «antivirus de última generación»

El problema con la definición actual

La industria de la ciberseguridad siempre ha definido las generaciones de antivirus según cómo detectan archivos peligrosos. Las primeras herramientas comparaban archivos con firmas de ataques conocidos. Las generaciones posteriores añadieron heurística, análisis de comportamiento, entornos aislados (sandboxing) y clasificación basada en aprendizaje automático (machine learning).

Cada generación abordaba la misma pregunta: ¿es este archivo peligroso? Pero el panorama de amenazas ha cambiado. La mayoría de los ataques actuales (phishing, estafas, robo de identidad e ingeniería social) no dependen de un archivo dañino. La definición actual de «antivirus» no ha sabido adaptarse.

Los virus ya no son la mayor amenaza

La mayoría de las amenazas de ciberseguridad actuales no implican un virus. Piensa en lo que realmente pone en riesgo a las personas en internet.

• Las estafas se han convertido en operaciones sofisticadas de ingeniería social. Las tiendas falsas de comercio electrónico utilizan páginas de productos convincentes, comentarios inventados y procesos de pago funcionales para robar datos bancarios. Los mensajes SMS fraudulentos se hacen pasar por servicios de mensajería, autoridades fiscales y bancos. Las estafas telefónicas emplean la suplantación del identificador de llamadas y voces generadas por IA para extraer dinero e información personal. Ninguno de estos ataques necesita un archivo sospechoso para tener éxito.
• El phishing ha evolucionado mucho más allá de los correos con faltas de ortografía de hace una década. Las páginas de phishing actuales son réplicas perfectas de sitios legítimos, a menudo alojadas en dominios comprometidos con certificados SSL válidos. Están diseñadas para robar credenciales, tokens de sesión, códigos de autenticación multifactor y datos personales utilizados para la recuperación de cuentas.
• El robo de identidad es la principal preocupación de seguridad para los usuarios de NordVPN.¹ Los cibercriminales pueden obtener acceso no autorizado a cuentas mediante relleno de credenciales (credential stuffing), secuestro de sesiones, intercambio de tarjetas SIM (SIM swapping) e ingeniería social. Una vez dentro, pueden hacerse con el control de la cuenta bloqueando al propietario original. También pueden utilizar datos personales robados para abrir nuevas líneas de crédito o cometer fraudes en nombre del titular.
• El malware y los archivos dañinos siguen siendo una gran amenaza. Lo que las personas descargan y lo que se ejecuta en sus dispositivos todavía exige inspección y control. Sin embargo, los archivos son ahora una vía de ataque más entre muchas otras.

Una herramienta de protección digital que solo aborda archivos peligrosos ignora la mayoría de los ataques a los que se enfrentan las personas.

Redefinir el «antivirus»

El término antivirus proviene de una época en la que los archivos peligrosos eran la principal amenaza digital. El marketing de las marcas de seguridad convirtieron a la palabra «antivirus» en un término genérico para referirse al software de seguridad, de la misma manera que «papel albal» se convirtió en la palabra para papel aluminio y «rímel» para máscara de pestañas. Esa asociación no va a desaparecer.

La industria de la seguridad empresarial reconoció primero las limitaciones del antivirus tradicional. Las principales empresas de ciberseguridad desarrollaron el antivirus de última generación (NGAV, por sus siglas en inglés) para complementar o reemplazar el análisis de archivos basado en firmas. Los NGAV utilizan una combinación de detección de comportamiento y algoritmos de machine learning para identificar amenazas, lo que ayuda a detectar procesos peligrosos, malware sin archivos y comportamiento de exploits que el antivirus tradicional a menudo pasa por alto.

Para entornos empresariales, los NGAV siguen siendo una evolución importante. Pero se construyeron principalmente para dispositivos corporativos, equipos de seguridad dedicados y un modelo de amenazas centrado en el compromiso de endpoints. Se basan en una telemetría de comportamiento extensa que un producto de consumo centrado en la privacidad no debería recopilar.

Así que la palabra antivirus ahora tiene dos definiciones: el modelo tradicional creado para usuarios cotidianos cuando los archivos peligrosos eran la principal amenaza y el modelo NGAV empresarial creado para entornos corporativos. La definición tradicional es anticuada y la empresarial nunca estuvo pensada para usuarios individuales. Ninguna de las dos cubre las amenazas a las que se enfrentan las personas en dispositivos personales hoy en día.

La gente sigue buscando «antivirus» cuando lo que realmente necesita es protección frente a malware, phishing, robo de identidad, estafas y secuestro de cuentas. La definición debería ponerse al día con las amenazas que se espera que cubra.

NordVPN define el «antivirus de última generación» como una herramienta integral de protección contra amenazas digitales. Bajo esta definición, protege en cinco áreas:

• Protección contra estafas: detecta páginas web peligrosas y tiendas falsas, alerta a los usuarios sobre mensajes SMS sospechosos, identifica llamadas fraudulentas y protege sesiones bancarias.
• Protección contra phishing: evalúa URL, enlaces de correo electrónico y contenido web en tiempo real para detectar intentos de robo de credenciales antes de que lleguen al usuario.
• Protección contra robo de identidad y secuestro de cuentas: supervisa intentos de robo de identidad, detecta patrones de fraude, escanea filtraciones en la dark web en busca de información personal expuesta y envía alertas sobre credenciales comprometidas. En el caso de las cuentas, ofrece detección y alertas sobre intentos de acceso no autorizado mediante relleno de credenciales (credential stuffing), secuestro de sesiones, intercambio de tarjetas SIM e ingeniería social, además de marcar credenciales débiles antes de que los hackers puedan explotarlas.
• Bloqueo de rastreadores y publicidad: elimina rastreadores entre páginas, scripts huella digital y anuncios intrusivos que perjudican la privacidad, ralentizan el rendimiento y crean puntos de entrada adicionales para ingeniería social dirigida.
• Protección de archivos y dispositivos: analiza descargas y pone en cuarentena o elimina archivos peligrosos antes de que puedan ejecutarse.

NordVPN no está reinventando la categoría de antivirus, simplemente la está ampliando para cubrir las amenazas que la gente ya espera que un antivirus maneje.

Cómo hemos creado nuestro antivirus de última generación

Una protección digital eficaz requiere equilibrar tres compromisos que compiten entre sí. No hacemos perfiles, medimos datos que ayudan a mejorar el producto y construimos un producto para que funcione sin que el usuario tenga que prestarle atención.

Optimizar uno a expensas de los otros produce un producto invasivo, poco fiable o demasiado complejo de usar. Un producto desarrollado con los tres principios es más difícil de crear, pero también genera más confianza.

No elaboramos perfiles

NordVPN es una empresa de privacidad. Nuestros usuarios confían en nosotros porque no los vigilamos. Ese compromiso crea una restricción clara, ya que la detección de amenazas tiene que funcionar con menos datos de los que normalmente necesitaría.

Nuestra regla es sencilla. Solo los datos necesarios para identificar una amenaza salen del dispositivo. Cuando el análisis tiene que realizarse en nuestros servidores en lugar de en el dispositivo, eliminamos cualquier vínculo con el usuario antes de que los datos se muevan.

En la práctica, esto significa lo siguiente:

• Los archivos se comprueban mediante hash siempre que sea posible, no por contenido.
• Las URL se limpian de parámetros de consulta y fragmentos de ruta personales antes de cualquier búsqueda en la nube. Ninguna URL se vincula a un usuario específico.
• Las cookies de autenticación se cifran mediante hash y solo los primeros ocho caracteres salen del dispositivo.

Nuestro esquema de datos no tiene ningún campo para identificadores de usuario. Eso significa que la protección de la privacidad no depende de que alguien siga las reglas, sino que el sistema las impone por defecto.

Medimos sin vigilar

La detección de amenazas sin medición es pura conjetura. Necesitamos saber si nuestro clasificador de phishing está mejorando, si nuestra detección de estafas está captando nuevos patrones y en qué parte del proceso están perdiendo amenazas nuestros modelos. Responder a esas preguntas requiere datos de retroalimentación.

Pero los datos de retroalimentación recogidos sin restricciones son la forma en que el software de seguridad se convierte en software de vigilancia. Evitamos ese riesgo midiendo sistemas de detección, no recogiendo datos personales. Cada capa de nuestra infraestructura produce datos de rendimiento agregados:

• Los clasificadores de machine learning informan sobre la tasa de detección y la proporción de falsos positivos. 
• El fuzzy hashing informa sobre la velocidad de clasificación. 
• Los feeds de inteligencia de amenazas informan sobre la actualización de los feeds.

El producto calcula estas métricas en muestras a nivel de población. Los modelos se vuelven a entrenar con muestras de amenazas anonimizadas y resúmenes estadísticos. Ningún historial de navegación de usuarios entra en el proceso de retroalimentación. Podemos decirte si nuestro modelo de phishing está mejorando, pero no podemos decirte qué estaba haciendo un usuario específico cuando marcó una amenaza.

Diseñamos nuestro producto para que sea invisible

La mejor seguridad es aquella en la que las personas nunca tienen que pensar. Sin configuración, sin fatiga de alertas, sin necesidad de conocimientos técnicos. Construir un producto invisible para los usuarios requiere que observemos cómo interactúan con él. Definimos los datos mínimos que necesitamos para mejorar la experiencia y nos detenemos ahí.

Con el consentimiento del usuario, rastreamos lo siguiente:

• Información sobre si cada función está activada o desactivada y con qué frecuencia se utiliza.
• Métricas de volumen, es decir, cuántas amenazas se bloquearon durante un período definido.
• Puntuaciones de satisfacción del usuario recogidas mediante encuestas directas.

Ninguno de estos datos nos dice qué estaba haciendo un usuario específico. Nos dicen si el producto funciona lo suficientemente bien como para que los usuarios nunca tengan que pensar en él.

Los datos a este nivel no son sensibles por diseño. No se pueden combinar para reconstruir comportamientos, inferir intenciones o crear un perfil.

El enfoque de NordVPN con la IA: modelos pequeños para trabajos específicos

NordVPN emplea modelos pequeños y dedicados de machine learning, cada uno entrenado para una tarea de detección bien definida. En lugar de construir un único modelo que intente clasificar todas las amenazas, desarrollamos modelos especializados para categorías de amenazas distintas.

• Un modelo entrenado para evaluar URL en busca de características de phishing. 
• Un modelo centrado en identificar patrones de páginas de comercio electrónico fraudulentas. 
• Un modelo que analiza el comportamiento de archivos en busca de indicadores de malware. 
• Un modelo ajustado para detectar patrones de ingeniería social en los mensajes.

Algunos modelos son lo suficientemente ligeros como para ejecutarse directamente en el dispositivo del usuario. Otros lo hacen dentro de la extensión del navegador. Los modelos que requieren más potencia de procesamiento se ejecutan en el backend. Cuando el procesamiento ocurre localmente, los datos relevantes permanecen en el dispositivo y no se envían a servidores externos para su análisis.

Cada modelo se puede validar y actualizar de forma independiente, así que cuando la efectividad cae, podemos rastrear la causa. Y como cada modelo se ejecuta por separado, ninguno de ellos exige atención del usuario ni interrumpe la experiencia.

Esta separación también hace que la medición sea precisa. Cuando un modelo dedicado de phishing tiene un bajo rendimiento, sabemos exactamente qué volver a entrenar y con qué datos. Cuando un modelo de detección de estafas produce falsos positivos, podemos ajustarlo sin efectos secundarios en la detección de malware. Como cada modelo tiene un solo trabajo, podemos identificar exactamente qué falló y por qué.

Los modelos de machine learning funcionan bien dentro de un alcance definido, pero fallan cuando se tratan como una solución completa. Nuestros modelos trabajan con sistemas basados en reglas, feeds de inteligencia de amenazas y revisión humana, cada uno cubriendo lo que los demás no pueden.

Para clasificar amenazas en tiempo real a través de millones de dispositivos y contextos diferentes, los modelos pequeños y dedicados son el enfoque más efectivo que hemos encontrado sin sacrificar la privacidad del usuario.

Hacia dónde nos dirigimos ahora

El término antivirus no va a desaparecer. Es la forma en que las personas piensan en la protección digital, la buscan y la compran. La industria puede seguir reduciendo la definición al análisis de archivos y tratar el resto del entorno de amenazas como problema de otro, o construir productos que coincidan con lo que la palabra ya significa para las personas que los usan.

Nosotros elegimos la segunda opción. Hemos creado un producto que cubre protección contra estafas, detección de phishing, monitorización de identidad y seguridad de archivos, fundamentado en la privacidad, medido rigurosamente y diseñado para funcionar sin pedir a los usuarios que se conviertan en expertos en seguridad.

Una herramienta de protección contra amenazas digitales que cubra phishing, estafas, robo de identidad y malware es lo que creemos que la categoría de antivirus debería ofrecer hoy.

Referencias

¹ Šlekytė, I. (2025, Junio 25). NordVPN research reveals: One in three people fall victim to online scams. NordVPN. https://www.nordvpn.com/blog/scam-experience-research/