¿Qué es una PUA y por qué es importante?

En el ámbito de la ciberseguridad, a menudo se habla de virus, ransomware o troyanos. Sin embargo, existe una categoría de software menos conocida y potencialmente peligrosa: las PUA, o Potentially Unwanted Applications (aplicaciones potencialmente no deseadas).

A diferencia del malware clásico, una PUA no es necesariamente maliciosa en el sentido estricto del término. Se trata de un software que, según el contexto o el entorno en el que está instalado, puede considerarse no deseado o problemático. La palabra «potencialmente» es clave aquí: lo que es aceptable en un entorno puede ser inaceptable en otro.

A continuación, algunos ejemplos concretos de PUA que podría encontrar:

• Adware: software que muestra publicidad de forma intrusiva y recopila datos sobre sus hábitos de navegación.
• Herramientas de acceso remoto: software como VNC, TeamViewer o AnyDesk es legítimo para un técnico, pero totalmente no deseado si se instala sin el conocimiento del usuario.
• Software de vigilancia (stalkerware): aplicaciones que permiten monitorear la actividad de un usuario sin su consentimiento.
• Optimizadores de sistema dudosos: software que pretende mejorar el rendimiento de su equipo, pero cuya utilidad real es cuestionable y que puede recopilar datos personales.
• Extensiones de navegador no solicitadas: instaladas junto con otro software sin que el usuario sea plenamente consciente de ello.
• Cryptominers: software que utiliza los recursos de su máquina para minar criptomonedas sin su conocimiento.
• Bibliotecas JS o PHP obsoletas que contienen vulnerabilidades conocidas, como versiones antiguas de jQuery.

Aunque no destruyan directamente sus datos, las PUA representan riesgos concretos: degradación del rendimiento del sistema, recopilación no autorizada de datos personales o profesionales, apertura de brechas de seguridad explotables por atacantes y, en algunos casos, la instalación silenciosa de otro software malicioso. En un entorno profesional donde la seguridad de los datos es primordial, la presencia de una sola PUA no detectada puede tener consecuencias graves.

Por eso, la cuestión de su detección y de la política adoptada por las empresas al respecto es un tema estratégico en ciberseguridad.

Las políticas de detección de PUA: una decisión estratégica para cada organización

Necesidades diferentes según la organización

Ante las PUA, no todas las organizaciones reaccionan de la misma manera, y eso es perfectamente normal. La política de detección adoptada depende en gran medida del uso que se hace de las herramientas informáticas, del sector de actividad, del nivel de sensibilidad de los datos tratados y de los requisitos normativos vigentes.

A continuación, algunos ejemplos concretos para ilustrar esta diversidad:

Una consulta médica o un centro de salud maneja datos de pacientes extremadamente sensibles y sujetos al secreto médico. En este contexto, la menor filtración de datos puede tener graves consecuencias jurídicas y humanas. La política de seguridad será, por tanto, muy estricta: cualquier software no expresamente autorizado será bloqueado, incluidas las PUA. Una herramienta de acceso remoto instalada en un puesto médico sin validación previa constituye una amenaza inaceptable.

Una agencia de desarrollo de software puede necesitar utilizar herramientas de pruebas de seguridad, generadores de claves, software de análisis de red o herramientas avanzadas de depuración. Estas herramientas suelen ser clasificadas como PUA por las soluciones antivirus, ya que pueden utilizarse con fines maliciosos. Bloquear sistemáticamente todas las PUA en este entorno perjudicaría la productividad de los equipos técnicos.

Una gran empresa industrial puede disponer de diferentes niveles de puestos informáticos: puestos administrativos para los que se aplica una política muy estricta, y puestos técnicos en el taller donde cierto software de diagnóstico, habitualmente clasificado como PUA, es indispensable para el buen funcionamiento de la producción.

Usos antivirus muy variados

También hay que tener en cuenta que las firmas antivirus no se utilizan únicamente para proteger los puestos de trabajo. Su ámbito de aplicación es mucho más amplio, y el caso de uso determina directamente la política de detección de PUA a adoptar.

En un servidor de archivos, las firmas antivirus se utilizan para analizar los archivos almacenados y compartidos en la red interna. El objetivo es evitar que un archivo infectado o no deseado se propague por toda la organización. En este caso, detectar las PUA suele ser deseable, ya que pueden servir como vector de infección.

En un servidor de correo, el antivirus analiza los archivos adjuntos de los correos electrónicos entrantes y salientes. Las herramientas de control remoto, los scripts de administración o las herramientas de prueba enviadas por correo electrónico pueden clasificarse legítimamente como PUA. La política a adoptar dependerá del tipo de archivos adjuntos que la empresa esté destinada a recibir.

En un proxy de red, las firmas se utilizan para analizar el tráfico web en tiempo real. El objetivo es bloquear la descarga de software no deseado antes de que llegue a los puestos de trabajo. Este suele ser el entorno donde una política de detección máxima de PUA es más pertinente.

En resumen, la política de detección de PUA no es una elección binaria («detectar todo» o «no detectar nada»), sino una decisión estratégica que debe adaptarse a cada entorno, cada caso de uso y cada nivel de riesgo. El desafío reside en encontrar el equilibrio adecuado entre seguridad máxima y continuidad operativa.

El enfoque de SecuriteInfo.com: detección máxima y control total para el usuario

El principio fundador: no dejar pasar nada

SecuriteInfo.com ha adoptado deliberadamente una filosofía de detección máxima. El razonamiento es simple y pragmático: es mejor detectar demasiado que no suficiente. Cuando un software representa un riesgo potencial (ya sea clasificado como malware, exploit, vulnerabilidad conocida o PUA) las firmas antivirus de SecuriteInfo.com están diseñadas para detectarlo.

Este enfoque garantiza una cobertura de «0 horas», es decir, la detección más temprana posible de las nuevas amenazas, sin esperar a que un software no deseado sea oficialmente reconocido como malicioso por toda la comunidad de ciberseguridad. En el ámbito de la seguridad informática, cada hora de retraso en la detección de una amenaza puede traducirse en una compromisión de datos o en una propagación por toda la red.

Esta cobertura extendida se aplica a todas las categorías de amenazas: malware (virus, troyanos, ransomware), exploits (código que aprovecha vulnerabilidades de software), vulnerabilidades conocidas (CVE) y, por supuesto, las PUA en toda su diversidad.

Por qué SecuriteInfo.com no puede adaptar sus firmas a cada cliente

SecuriteInfo.com proporciona sus firmas antivirus a una multitud de clientes con perfiles y necesidades muy diferentes. Algunos las utilizan para proteger un servidor de archivos, otros para filtrar flujos de correo electrónico, y otros para controlar el tráfico de red a través de un proxy. Cada implementación es única, y cada organización dispone de su propia política de ciberseguridad.

Por tanto, sería imposible y contraproducente para SecuriteInfo.com ofrecer firmas «a medida» adaptadas a las necesidades específicas de cada cliente. En cambio, es perfectamente posible proporcionar las firmas más completas posibles y dejar a cada cliente la responsabilidad y la libertad de adaptar esta detección a su contexto.

Este es precisamente el enfoque adoptado por SecuriteInfo.com. La regla es la siguiente: detección máxima por defecto, personalización por elección.

El archivo .ign2: la herramienta de personalización al servicio de sus necesidades

Para permitir a cada cliente ajustar finamente la detección según su política interna, SecuriteInfo.com ofrece un mecanismo simple y eficaz: el archivo de exclusión con la extensión .ign2, utilizado en el marco del antivirus ClamAV.

El funcionamiento es intuitivo: en este archivo, basta con listar el nombre de las firmas que se desea desactivar. ClamAV ignorará entonces estas firmas durante los análisis, sin afectar a las demás detecciones.

A continuación, cómo funciona en la práctica:

Supongamos que su empresa utiliza legítimamente una herramienta de acceso remoto que es detectada por las firmas de SecuriteInfo.com como PUA. En lugar de desactivar toda la detección de PUA, lo que debilitaría considerablemente su nivel de seguridad, puede simplemente agregar el nombre de esa firma específica a su archivo .ign2. La herramienta será entonces ignorada durante los análisis, mientras que todas las demás PUA seguirán siendo detectadas con normalidad.

Este mecanismo ofrece varias ventajas importantes:

• Granularidad fina: usted elige exactamente qué firmas desactivar, sin afectar a las demás.
• Trazabilidad: el archivo .ign2 constituye un registro de todas las exclusiones voluntariamente concedidas por su equipo de seguridad.
• Reversibilidad: si una herramienta previamente autorizada se convierte en una amenaza (por ejemplo, tras una actualización maliciosa), basta con eliminar su entrada del archivo .ign2 para que la detección vuelva a estar activa.
• Documentación de excepciones: al ser explícitas, las exclusiones pueden someterse a una revisión periódica en el marco de sus auditorías de seguridad.

La documentación completa sobre la configuración del archivo .ign2 y el proceso de inclusión en lista blanca de las firmas de ClamAV está disponible directamente en el sitio web de SecuriteInfo.com, en la página dedicada a la inclusión en lista blanca de firmas ClamAV.

Un valor añadido concreto para los profesionales de TI y los equipos de seguridad

El enfoque de SecuriteInfo.com responde a una necesidad real expresada por muchos administradores de sistemas y responsables de seguridad informática: disponer de una base de firmas completa y actualizada regularmente, sin verse obligados a elegir entre exhaustividad y operatividad.

En materia de ciberseguridad, el principio de precaución es fundamental: es mejor investigar una alerta sobre una PUA autorizada (un falso positivo controlado) que dejar pasar software realmente malicioso. El uso del archivo .ign2 permite precisamente gestionar estos falsos positivos de manera estructurada, documentándolos y validándolos explícitamente.

Además, las firmas de SecuriteInfo.com se actualizan de forma continua para integrar las nuevas amenazas lo antes posible. La detección de «0 horas» garantiza que incluso las amenazas más recientes, que aún no han sido integradas en las bases de datos oficiales de los grandes fabricantes de antivirus, serán identificadas y bloqueadas.

Conclusión: la detección máxima de PUA, un pilar de una ciberseguridad robusta

Las PUA no son amenazas triviales. Aunque no siempre son maliciosas en todos los contextos, representan un riesgo real para la seguridad de su sistema de información, ya sea mediante la recopilación no autorizada de datos, la degradación del rendimiento o su utilización como vector de ataques más graves.

La política de detección de PUA es una decisión estratégica que debe reflejar la realidad de su entorno informático: el tipo de datos tratados, las herramientas utilizadas, los requisitos normativos y los patrones de uso específicos de sus equipos. No existe una respuesta universal, pero sí existe un enfoque que proporciona a cada organización los medios para tomar la decisión correcta.

Esto es precisamente lo que ofrece SecuriteInfo.com: firmas antivirus que proporcionan la detección más completa posible (malware, exploits, vulnerabilidades y PUA), actualizadas en tiempo real para una protección de «0 horas», combinadas con una herramienta de personalización simple y potente a través del archivo .ign2. Así se beneficia de lo mejor de ambos mundos: seguridad máxima por defecto y la flexibilidad necesaria para adaptar esta protección a sus necesidades específicas.

Al adoptar este enfoque, elige una ciberseguridad proactiva y responsable: no espera a que una amenaza sea oficialmente reconocida para actuar, dispone de total visibilidad sobre lo que circula en su sistema de información y mantiene el control sobre las excepciones concedidas, con total transparencia.

En un panorama de amenazas en constante evolución, donde los atacantes no cesan de idear formas de eludir las protecciones, la detección máxima no es un exceso de precaución: es una necesidad.



ClamAV™ es una marca registrada de Cisco Systems, Inc.

Algunas sugerencias sobre el tema del malware y las PUA

¿Le ha gustado este artículo? A continuación, algunas sugerencias que podrían interesarle:

• Learn how to whitelist signatures for ClamAV antivirus - Step-by-Step Guide
• Detecte aún más malware con nuestras firmas para el antivirus ClamAV

Tags

ANTIVIRUS CLAMAV LINUX MALWARE

Inscription à notre lettre d'information

Inscrivez-vous à notre lettre d'information pour vous tenir au courant de nos actualités et de nos dernières trouvailles.

SecuriteInfo.com est une entreprise française de cybersécurité. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités. Notre périmètre d'intervention couvre l'intégralité de votre système d'information : Sécurité périmétrique, réseaux, accès distants, VPN, solutions anti-spam et anti-malwares, différents audits réseaux et systèmes, vérification de la politique de sécurité, hébergement sécurisé ...