Un análisis antivirus completo salió limpio — ¿prueba eso que la máquina no está comprometida?
Respuesta breve
No. El antivirus es una señal, no una prueba. Omite ataques sin archivo y en memoria, muestras nuevas u ofuscadas, el abuso de herramientas legítimas (living-off-the-land) y los rootkits diseñados para ocultarse de él. La ausencia de prueba no es prueba de ausencia — la garantía real proviene de la telemetría EDR, el análisis forense de memoria, el análisis conductual y la caza de IOC. Tratar un análisis antivirus limpio como prueba de un sistema limpio es un error clásico de respuesta a incidentes.
La tranquilizadora palabra «limpio» hace mucho trabajo aquí. La gente la oye como «verificado seguro», pero un análisis antivirus responde a una pregunta mucho más estrecha: «¿coincidió algún archivo con un patrón conocido como malicioso?». Un no no es una garantía — es la ausencia de un tipo concreto de prueba.
Lo que el antivirus puede y no puede ver
El antivirus por firmas, e incluso heurístico, está construido fundamentalmente para inspeccionar archivos en disco. Eso hace que categorías enteras de ataques modernos sean estructuralmente difíciles, o imposibles, de atrapar:
- Sin archivo / en memoria — código malicioso que solo se ejecuta en RAM (cargadores reflexivos, shellcode inyectado) nunca deja un archivo que analizar.
- Inédito o zero-day — una muestra sin firma existente simplemente no se reconoce.
- Ofuscado / empaquetado — recompilar o empaquetar cambia el hash y derrota la coincidencia ingenua.
- Living-off-the-land (LOLBins) — abuso de herramientas legítimas y firmadas como PowerShell,
certutilowmic; no hay archivo malicioso, solo un uso malicioso. - Rootkits / implantes de núcleo — diseñados precisamente para ocultarse del propio escáner que hace la pregunta.
Ausencia de prueba ≠ prueba de ausencia
Este es el punto epistémico central de la respuesta a incidentes. Un análisis limpio te dice que el antivirus no encontró lo que sabe encontrar. No puede decir que no hay nada. Tratar «sin detección» como «sin compromiso» es exactamente cómo el tiempo de permanencia se estira a meses — el atacante está callado porque es bueno, no porque se haya ido.
Cómo es una garantía real
Para realmente aumentar la confianza de que un host está limpio, se superponen señales que el antivirus no puede dar:
- Telemetría EDR — árboles de procesos, líneas de comando, anomalías padre-hijo, conexiones de red.
- Análisis forense de memoria — captura y análisis de la RAM en busca de código inyectado y regiones ejecutables sin respaldo.
- Análisis conductual y coincidencia de IOA — detectar comportamiento en vez de archivos conocidos.
- Caza de IOC y amenazas — búsqueda proactiva de indicadores conocidos y anomalías en todo el parque.
La conclusión para la entrevista
La respuesta fuerte nombra evasiones concretas (sin archivo, LOLBins, rootkits) y dice que la garantía proviene de la telemetría conductual y la forense, no de un pase de firmas. Declarar un host limpio solo con el antivirus es un error de manual en respuesta a incidentes.
Posibles preguntas de seguimiento
- ¿Qué clases de ataque son estructuralmente invisibles para el análisis basado en firmas?
- ¿Qué telemetría aumentaría tu confianza en que un host está realmente limpio?
- ¿Por qué «la ausencia de prueba no es prueba de ausencia» es central en la respuesta a incidentes?