¡Estos antivirus!

Norton Internet Security 2007
Antivirus + Antispyware + Firewall + Antispam/phish + Optimizador del sistema.
69,95€ IVA incl. (en El Corte Inglés)


La temporada navideña ha coincidido con la expiración de la demo de norton antivirus que estábamos usando en el ordenador nuevo. Después de ver precios de antivirus, y tras conocer la opinión de mi hermana (que se negaba a que comprase un CA antivirus con 3 licencias y cortafuegos por el precio de un Norton sin cortafuegos, siendo así que Computer Associates me inspira la misma confianza que Norton), acabamos comprando el antivirus de McAffee (la clave fue que comprobamos que cuando Norton expira, no sólo no se actualiza, sino que deja de analizar el sistema y comienza a emitir pop-ups de advertencia cada vez que Windows intenta que analice algo).

Pero mi solución McAffee se ha revelado como deficiente. En primer lugar, por esa actitud paranoide de los antivirus modernos (y de Windows) que llenan la pantalla de advertencias cada vez que ocurre un suceso legítimo. Por ejemplo, cada vez que Explorer grababa su configuración de aspecto, el antivirus creía que algún programa estaba tratando de "secuestrar" la página del navegador. ¡Coño!, ¿no sería más fácil comprobar qué valor de las claves de registro de Internet Explorer estaba cambiando? Se supone que en enero salía un parche para evitar ese problema, pero de momento ya he tenido que desactivar todos los avisos referentes al explorer, y mi padre ya ha aprendido a ignorar todas las advertencias del antivirus. Cojonudo.

En segundo lugar, las advertencias sobre ciertos programas pueden dar al traste con tareas programadas. Por ejemplo, para programar la grabación de una película en la capturadora de televisión tuve que decirle al antivirus que una de las utilidades de Pinnacle estaba modificando legítimamente las tareas programadas. Sin embargo, otro programa de Pinnacle vuelve a modificarlas justo antes de grabar, y eso ya no lo esperaba. Resultado: la película empezaba a las 15:00, autoricé al antivirus a las 17:00 y la grabación comenzó a las 19:00, justo cuando había terminado la película.

En tercer lugar, no se puede pedir al programa que pregunte qué deseamos hacer. Supongo que en algún momento la gente de McAffee se dio cuenta de que, con tanto falso positivo, los usuarios iban a terminar ignorando las advertencias. Así que ya no se advierte al usuario, sino que se elimina o pone en cuarentena automáticamente los distintos archivos. Lo curioso es que norton hace lo mismo (tanto Clam como la versión de demo de CA que uso en mi portátil, que tiene ya seis meses, siguen preguntando). Afortunadamente, puedo recuperar de la carpeta de cuarentena el sniffer que utilizo para comprobar si mi ordenador intercambia información con otros equipos cuando estoy desconectado de la red (el desgraciado de él lo hace, y sigo buscando el posible troyano sin éxito). Además, a diferencia de Norton, deja que el sniffer funcione (es decir, que tome posesión de una capa privilegiada de TCP/IP)

En cuarto lugar, el registro de eventos de red deja bastante que desear. Me conecto con mi portátil, hago un escaneo de puertos (netcat -z mi.ip.interna 0-9999 >log 2>&1 & tail -f log |grep "open") y encuentro que el antivirus no se queja. Me conecto desde la red y veo que no sólo no lanza ventanas de advertencia (lo que es de agradecer, porque mi hermana está en mitad de una partida de Kult:Heretic Kingdoms y podría matarme) sino que tampoco introduce el escaneo en sus registros. Después de eso, y de jugar un poco con cosas como 'echo %1%2%3%4| smbclient -I mi.ip.interna -M mi.ip.interna' (equivalente a 'net send computadora %1%2%3%4') y smbclient -I mi.ip.interna '\\MI_COMPUTADORA\C$', veo que ni Windows (cuya política de auditoría está configurada en "registrar aciertos y fallos de inicio de sesión") ni el antivirus han emitido ni una alerta (eso sí, parece que el antivirus ha bloqueado el acceso, porque en ningún lugar de mi política de seguridad aparece la denegación de acceso desde red a las carpetas compartidas ocultas o como administrador, pero algo lo ha parado, cosa que no sucede con otras carpetas/usuarios). Todo lo más, cuando pido al antivirus el mapa de la red, puedo ver que ha detectado mi portátil, y me pide que instale en él el McAffee Agent para comprobar si tiene un antivirus instalado (sospecho que McAffee Agent sólo considerará que tiene un antivirus si dicho antivirus es McAffee).

Otra desventaja de McAffee Internet Security 2007 es su filtro antispam, que, aunque aprende muy rápido, es muy lento (debe recorrer de nuevo todos los mensajes de todas las carpetas, con lo que consigue la misma lentitud que los filtros antispam que me desaniman a usar el cliente de correo predeterminado de Suse 9.3) y, aparentemente, no puede ser educado de forma local, sino que adquiere sus conocimientos a través de actualizaciones en red (hay un parche para "educarlo", pero parece que sólo funciona con Exchange y Outlook, es decir, con el Outlook de Office). Además, me ha detectado como "PHISH" un mensaje de El Corte Inglés en cuyo código fuente no veo indicios de PHISH, pero, bueno, puede que en esto último yo esté equivocado.

Concluyendo: Lo bueno de McAffee es que es un poco menos paranoide que Norton: la red local funciona sin tener que rezar, aunque usar los números IP en lugar del nombre del servidor sigue siendo necesario en Linux. Al igual que Norton, produce demasiadas alertas para sucesos que deberían ser, simplemente, registrados y almacenados para que el usuario los deshiciera con posterioridad. A diferencia de Norton (y eso todavía no lo había dicho) incluye un programa que permite actualizar la base de datos de "programas legítimos". Sin embargo, se echa en falta una política adecuada de registro de sucesos de red (apertura de carpetas desde la red, uso de privilegios, etc.).