Tu antivirus marcó el archivo EICAR — ¿significa eso que estás infectado con un virus?
Respuesta breve
No. El archivo de prueba EICAR es una cadena ASCII deliberadamente inofensiva de 68 bytes que todos los fabricantes de antivirus acuerdan detectar, para verificar con seguridad la detección y las alertas sin tocar malware real. Una detección significa que tu antivirus funciona — no que estés infectado. No es un virus y no hace nada si se ejecuta. Confundir una detección de prueba EICAR con una infección real es una trampa común al inicio de carrera.
Este juega con la alarma. Una «alerta de antivirus» suena a emergencia, y el nombre aterrador lleva a imaginar lo peor. Pero el archivo EICAR es la prueba del detector de humo intencionadamente segura del sector de la seguridad — pulsar el botón demuestra que la alarma funciona, no significa que haya un incendio.
Qué es realmente EICAR
El archivo de prueba EICAR es una cadena de 68 bytes de caracteres ASCII imprimibles, desarrollada por el European Institute for Computer Antivirus Research. Por acuerdo del sector, todo producto antivirus detecta esta cadena exacta como si fuera malware. Ese es el objetivo: los fabricantes incluyen deliberadamente una firma para un archivo totalmente inerte.
La cadena no es malware ejecutable en ningún sentido útil — no hace nada dañino si se abre o se ejecuta. No contiene ningún exploit, ninguna carga útil, ningún código de replicación. Existe únicamente para que administradores y usuarios confirmen que su escáner, su flujo de cuarentena y sus alertas se disparan sin manipular malware activo.
Por qué existe un archivo de prueba falso
Nunca debes probar un antivirus de producción descargando un virus real — es peligroso y a menudo ilegal de distribuir. EICAR resuelve eso: un artefacto estandarizado e inofensivo que dispara la detección de forma idéntica en todos los fabricantes. Permite responder con seguridad a preguntas como «¿el escáner en acceso atrapa una descarga?», «¿funciona la cuarentena?» y «¿la alerta llega al SOC?».
Leer la alerta correctamente
Una detección EICAR es una buena noticia: confirma que la detección y la alerta funcionan. No dice nada sobre una infección real porque no hay malware real implicado. Leerla como «estoy infectado» invierte su significado.
La lección más profunda trata de qué prueban las firmas de antivirus. Una coincidencia de firma significa «esto coincidió con un patrón conocido», no «esto te está dañando ahora». EICAR es el caso más puro: un patrón que todos acuerdan detectar, unido a un archivo incapaz de dañar nada.
La conclusión para la entrevista
Si ves EICAR marcado, la lectura correcta es «el antivirus está vivo y las alertas funcionan». Tratar una cadena de prueba inofensiva y acordada como una infección activa — o peor, declarar un incidente por ello — revela un dominio frágil de cómo funciona la detección por firmas.
Posibles preguntas de seguimiento
- ¿Por qué se creó una cadena de prueba inofensiva estandarizada en lugar de usar una muestra real para probar el antivirus?
- ¿Qué te dice realmente una detección EICAR sobre tu cadena de detección y alerta?
- ¿Cómo probarías con seguridad la detección conductual de un EDR más allá de lo que cubre EICAR?