Prueba de protección contra malware septiembre de 2022
Fecha | Septiembre 2022 | |
Idioma | Inglés | |
Última revisión | 11 de octubre de 2022 |
Fecha de lanzamiento | 2022-10-14 |
Fecha de revisión | 2022-10-11 |
Período de prueba | Septiembre 2022 |
Número de casos de prueba | 10019 |
En línea con conectividad en la nube | |
Actualización permitida | |
Prueba de falsa alarma incluida | |
Plataforma/SO | Microsoft Windows |
Introducción
En la prueba de protección contra malware, los archivos maliciosos se ejecutan en el sistema. Mientras que en la prueba de protección del mundo real el vector es la web, en la prueba de protección contra malware los vectores pueden ser, por ejemplo, unidades de red, USB o escenarios de cobertura donde el malware ya está en el disco.
Tenga en cuenta que no recomendamos comprar un producto únicamente sobre la base de una prueba individual o incluso un tipo de prueba. Más bien, sugerimos que los lectores consulten también nuestros otros informes de pruebas recientes y consideren factores como el precio, la facilidad de uso, la compatibilidad y el soporte. La instalación de una versión de prueba gratuita permite que un programa se pruebe en el uso diario antes de la compra.
En principio, las suites de seguridad de Internet para usuarios domésticos se incluyen en esta prueba. Sin embargo, algunos proveedores nos pidieron que incluyéramos su producto de seguridad antivirus (gratuito) en su lugar.
Productos probados
Información sobre motores/firmas adicionales de terceros utilizados dentro de los productos: G Data, Total Defense y VIPRE utilizan el motor Bitdefender. TotalAV utiliza el motor Avira. AVG es una versión renombrada de Avast.
Procedimiento de prueba
La prueba de protección contra malware evalúa la capacidad de un programa de seguridad para proteger un sistema contra la infección por archivos malintencionados antes, durante o después de la ejecución. La metodología utilizada para cada producto probado es la siguiente. Antes de la ejecución, todas las muestras de prueba se someten a análisis en tiempo real y bajo demanda por parte del programa de seguridad, y cada uno de ellos se realiza tanto fuera de línea como en línea. Cualquier muestra que no haya sido detectada por ninguno de estos escaneos se ejecuta en el sistema de prueba, con acceso a Internet / nube disponible, para permitir, por ejemplo, que entren en juego las funciones de detección de comportamiento. Si un producto no evita o revierte todos los cambios realizados por una muestra de malware en particular dentro de un período de tiempo determinado, ese caso de prueba se considera un error. Si se le pide al usuario que decida si se debe permitir que se ejecute una muestra de malware y, en el caso de los peores cambios en el sistema de decisión del usuario, el caso de prueba se clasifica como "dependiente del usuario".
La prueba de detección de archivos que realizamos en años anteriores fue una prueba de solo detección. Es decir, solo probó la capacidad de los programas de seguridad para detectar un archivo de programa malicioso antes de la ejecución. Esta capacidad sigue siendo una característica importante de un producto antivirus, y es esencial para cualquier persona que, por ejemplo, quiera comprobar que un archivo es inofensivo antes de reenviarlo a amigos, familiares o colegas.
Esta prueba de protección contra malware comprueba no solo las tasas de detección, sino también las capacidades de protección, es decir, la capacidad de evitar que un programa malicioso realice cambios en el sistema. En algunos casos, un programa antivirus puede no reconocer una muestra de malware cuando está inactiva, pero la reconocerá cuando se está ejecutando. Además, varios productos AV utilizan la detección de comportamiento para buscar y bloquear los intentos de un programa de llevar a cabo cambios en el sistema típicos del malware. Nuestra prueba de protección contra malware mide la capacidad general de los productos de seguridad para proteger el sistema contra programas maliciosos, ya sea antes, durante o después de la ejecución. Complementa nuestra prueba de protección en el mundo real, que obtiene sus muestras de malware de URL en vivo, lo que permite que entren en juego funciones como los bloqueadores de URL. Ambas pruebas incluyen la ejecución de cualquier malware no detectado por otras características, lo que permite que entren en juego las características de "última línea de defensa".
Una de las implicaciones de los mecanismos de detección en la nube es la siguiente: los autores de malware buscan constantemente nuevos métodos para eludir los mecanismos de detección y seguridad. El uso de la detección en la nube permite a los proveedores detectar y clasificar archivos sospechosos en tiempo real para proteger al usuario contra malware actualmente desconocido. Mantener algunas partes de la tecnología de protección en la nube evita que los autores de malware se adapten rápidamente a las nuevas reglas de detección.
Casos de prueba
El conjunto de pruebas utilizado para esta prueba consistió en 10.019 muestras de malware, reunidas después de consultar datos de telemetría con el objetivo de incluir muestras recientes y prevalentes que están poniendo en peligro a los usuarios en el campo. Las variantes de malware se agruparon para construir un conjunto de pruebas más representativo (es decir, para evitar la sobrerrepresentación del mismo malware en el conjunto). El proceso de recolección de muestras se detuvo a fines de agosto de 2022. Todos los productos se instalaron en un sistema Microsoft Windows 10 de 64 bits totalmente actualizado. Los productos se probaron a principios de septiembre con la configuración predeterminada y utilizando sus últimas actualizaciones.
Sistema de clasificación
Las tasas de protección contra malware son agrupadas por los evaluadores después de observar los clústeres creados con el método de agrupación jerárquica (http://strata.uga.edu/software/pdf/clusterTutorial.pdf). Sin embargo, los probadores no se adhieren rígidamente a esto en los casos en que no tendría sentido. Por ejemplo, en un escenario en el que todos los productos alcanzan bajas tasas de protección, los que obtengan la puntuación más alta no recibirán necesariamente el premio más alto posible.
El número de falsos positivos también puede afectar la calificación de un producto. Los evaluadores tienen en cuenta los métodos estadísticos al definir rangos de falsos positivos. Los rangos de FP para las diversas categorías que se muestran a continuación podrían adaptarse cuando sea apropiado (por ejemplo, si cambiamos el tamaño del conjunto de archivos limpios).
Grupos/grupos de tasas de protección (proporcionados por los evaluadores después de consultar métodos estadísticos) |
||||
4 | 3 | 2 | 1 | |
Muy pocos (0-1 FPs) Pocos (2-10 FP's) | PROBADO | ESTÁNDAR | AVANZADO | AVANZADO+ |
Muchos (11-20 FPs) | PROBADO | PROBADO | ESTÁNDAR | AVANZADO |
Muchísimos (21-60 FPs) | PROBADO | PROBADO | PROBADO | ESTÁNDAR |
Notablemente muchos (más de 60 FPs) | PROBADO | PROBADO | PROBADO | PROBADO |
Tasas de detección fuera de línea vs. en línea
Muchos de los productos de la prueba utilizan tecnologías en la nube, como servicios de reputación o firmas basadas en la nube, a las que solo se puede acceder si hay una conexión a Internet activa. Al realizar escaneos bajo demanda y en acceso tanto fuera de línea como en línea, la prueba da una indicación de cuán dependiente de la nube es cada producto y, en consecuencia, qué tan bien protege el sistema cuando no hay una conexión a Internet disponible. Sugerimos que los proveedores de productos altamente dependientes de la nube adviertan adecuadamente a los usuarios en caso de que se pierda la conectividad con la nube, ya que esto puede afectar considerablemente la protección proporcionada. Si bien en nuestra prueba verificamos si los servicios en la nube de los respectivos proveedores de seguridad son accesibles, los usuarios deben ser conscientes de que el mero hecho de estar en línea no significa necesariamente que el servicio en la nube de su producto sea accesible / funcione correctamente.
Para información de los lectores y debido a las frecuentes solicitudes de revistas y analistas, también indicamos cuántas de las muestras fueron detectadas por cada programa de seguridad en los escaneos de detección fuera de línea y en línea.
Tasa de detección OFFLINE | Tasa de detección ONLINE | Tasa de protección ONLINE | Falsas alarmas |
|
---|---|---|---|---|
Avast | 93.9% | 98.8% | 100% | 5 |
Avg | 93.9% | 98.8% | 100% | 5 |
Avira | 93.8% | 97.4% | 99.98% | 0 |
Bitdefender | 94.9% | 94.9% | 99.98% | 8 |
ESET | 92.5% | 92.5% | 99.91% | 0 |
G DATOS | 96.0% | 96.0% | 100% | 4 |
K7 | 89.8% | 89.8% | 99.97% | 30 |
Kaspersky | 80.6% | 91.1% | 99.96% | 0 |
Malwarebytes | 87.4% | 96.9% | 99.81% | 16 |
Mcafee | 82.5% | 99.6% | 100% | 7 |
Microsoft | 69.8% | 98.1% | 99.99% | 19 |
NortonLifeLock | 85.7% | 99.4% | 99.99% | 3 |
Panda | 52.8% | 83.8% | 99.93% | 59 |
Total AV | 93.8% | 96.8% | 99.97% | 1 |
Defensa Total | 94.9% | 94.9% | 99.96% | 8 |
Trend Micro | 41.1% | 82.3% | 97.41% | 6 |
VIPRE | 94.9% | 94.9% | 99.97% | 8 |
Resultados de las pruebas
Tenga en cuenta también las tasas de falsas alarmas cuando mire las tasas de protección a continuación.
Bloqueado | Dependiente del usuario | Comprometido | Tasa de protección[% bloqueado + (% dependiente del usuario / 2)] |
Clúster | |
---|---|---|---|---|---|
Avast | 10019 | - | - | 100% | 1 |
Avg | 10019 | - | - | 100% | 1 |
Datos G | 10019 | - | - | 100% | 1 |
Mcafee | 10019 | - | - | 100% | 1 |
Microsoft | 10018 | - | 1 | 99.99% | 1 |
NortonLifeLock | 10018 | - | 1 | 99.99% | 1 |
Avira | 10017 | - | 2 | 99.98% | 1 |
Bitdefender | 10017 | - | 2 | 99.98% | 1 |
K7 | 10016 | - | 3 | 99.97% | 1 |
TotalAV | 10016 | - | 3 | 99.97% | 1 |
VIPRE | 10016 | - | 3 | 99.97% | 1 |
Kaspersky | 10015 | - | 4 | 99.96% | 1 |
Defensa Total | 10015 | - | 4 | 99.96% | 1 |
Panda | 10012 | - | 7 | 99.93% | 2 |
ESET | 10010 | - | 9 | 99.91% | 2 |
Malwarebytes | 10000 | - | 19 | 99.81% | 3 |
Trend Micro | 9760 | - | 259 | 97.41% | 4 |
El conjunto de prueba utilizado contenía 10019 muestras recogidas en las últimas semanas.
AvastAvgAviraBitdefenderESETG DATOSK7KasperskyMalwarebytesMcafeeMicrosoftNortonLifeLockPandaDefensa TotalTotalAVTrend MicroVIPRE95%96%97%98%99%100%050100150200
TotalAV
● Comprometido: 0.04%● Dependiente del usuario: 0%● Bloqueado: 99.96%
● Falsos positivos: 8
Comprometido
Dependiente del usuario
Bloqueado
Falsos positivos
Resultado de la prueba de falso positivo (falsa alarma)
Para evaluar mejor la calidad de las capacidades de detección de archivos (capacidad de distinguir archivos buenos de archivos maliciosos) de los productos antivirus, proporcionamos una prueba de falsa alarma. Las falsas alarmas a veces pueden causar tantos problemas como una infección real. Tenga en cuenta la tasa de falsas alarmas al observar las tasas de detección, ya que un producto que es propenso a falsas alarmas puede lograr tasas de detección más altas más fácilmente. En esta prueba, se escaneó y ejecutó un conjunto representativo de archivos limpios (como se hace con el malware).
1. | Avira, ESET, Kaspersky | 0 | muy pocos PM | |||
2. | TotalAV | 1 | ||||
3. | NortonLifeLock | 3 | pocos PF | |||
4. | G DATOS | 4 | ||||
5. | Avast, AVG | 5 | ||||
6. | Trend Micro | 6 | ||||
7. | Mcafee | 7 | ||||
8. | Bitdefender, Defensa Total, VIPRE | 8 | ||||
9. | Malwarebytes | 16 | muchos PM | |||
10. | Microsoft | 19 | ||||
11. | K7 | 30 | muchos PM | |||
12. | Panda | 59 | ||||
Los detalles sobre las falsas alarmas descubiertas (incluida su prevalencia asumida) se pueden ver en el informe separado disponible en: Prueba de falsa alarma septiembre de 2022.
AviraESETKasperskyTotalAVNortonLifeLockG DATOSAvastAvgTrend MicroMcafeeBitdefenderDefensa TotalVIPREMalwarebytesMicrosoftK7Panda0204060
Falsos positivos
Un producto que tiene éxito en la detección de un alto porcentaje de archivos maliciosos pero sufre de falsas alarmas puede no ser necesariamente mejor que un producto que detecta menos archivos maliciosos, pero que genera menos falsas alarmas.
Niveles de premios alcanzados en esta prueba de protección contra malware
AV-Comparatives proporciona premios de clasificación, que se basan en los niveles de falsos positivos, así como en las tasas de protección. Como este informe también contiene las tasas de detección brutas y no solo los premios, los usuarios expertos que pueden estar menos preocupados por las falsas alarmas pueden, por supuesto, confiar solo en la tasa de protección. Los detalles de cómo se otorgan los premios se pueden encontrar arriba.
* Estos productos obtuvieron premios más bajos debido a falsas alarmas
Fuente:AV comparatives