En el mundo de los antivirus, una firma es un algoritmo o hash (un número derivado de una cadena de texto) que identifica un virus específico de forma única. Dependiendo del tipo de escáner que se utilice, puede ser un hash estático que, en su forma más simple, es un valor numérico calculado de un fragmento de código exclusivo del virus. O, menos comúnmente, el algoritmo puede estar basado en el comportamiento, es decir, si este archivo intenta hacer X,Y,Z, marcarlo como sospechoso y pedirle al usuario que tome una decisión. Dependiendo del proveedor del antivirus, se puede hacer referencia a una firma como una firma, un archivo de definición o un archivo DAT.

Una sola firma puede ser consistente con un gran número de virus. Esto permite que el escáner detecte un nuevo virus que nunca antes había visto. Esta capacidad se conoce comúnmente como heurística o detección genérica. Es menos probable que una detección genérica sea efectiva contra virus completamente nuevos y más efectiva para detectar nuevos miembros de una «familia» de virus ya conocida (una colección de virus que comparten muchas de las mismas características y algunos del mismo código). La capacidad de detectar heurística o genéricamente es significativa, dado que la mayoría de los escáneres ahora incluyen más de 250.000 firmas y el número de nuevos virus que se descubren sigue aumentando drásticamente año tras año.

La necesidad recurrente de actualizar

Cada vez que se descubre un nuevo virus que no es detectable por una firma existente, o que puede ser detectable pero que no se puede eliminar correctamente porque su comportamiento no es totalmente coherente con las amenazas conocidas anteriormente, se debe crear una nueva firma. Después de que la nueva firma ha sido creada y probada por el proveedor del antivirus, se envía al cliente en forma de actualizaciones de la firma. Estas actualizaciones añaden la capacidad de detección al motor de análisis. En algunos casos, una firma proporcionada anteriormente puede ser eliminada o sustituida por una nueva firma para ofrecer una mejor capacidad general de detección o desinfección.

Dependiendo del proveedor de análisis, las actualizaciones pueden ofrecerse por hora, por día o incluso semanalmente. Gran parte de la necesidad de proporcionar firmas varía según el tipo de escáner que sea, es decir, según el tipo de escáner que se encargue de detectar. Por ejemplo, el adware y el spyware no son tan prolíficos como los virus, por lo que normalmente un escáner de adware/spyware sólo puede proporcionar actualizaciones semanales de firmas (o incluso con menos frecuencia). Por el contrario, un escáner de virus debe enfrentarse a miles de nuevas amenazas descubiertas cada mes y, por lo tanto, las actualizaciones de firmas deben ofrecerse al menos una vez al día.

Por supuesto, simplemente no es práctico liberar una firma individual para cada nuevo virus descubierto, por lo que los proveedores de antivirus tienden a liberarlo según una programación establecida, que cubre todo el nuevo malware que han encontrado durante ese período de tiempo. Si se descubre una amenaza particularmente prevalente o amenazante entre las actualizaciones programadas regularmente, los proveedores suelen analizar el malware, crear la firma, probarla y liberarla fuera de banda (es decir, fuera de su programación normal de actualizaciones).

Para mantener el más alto nivel de protección, configure su software antivirus para que busque actualizaciones tan a menudo como le sea posible. Mantener las firmas actualizadas no garantiza que un nuevo virus nunca se escape, pero lo hace mucho menos probable.