VirusTotal es un servicio muy conocido que sirve para detectar fácilmente si un archivo es peligroso, funciona en base a los motores de diversos antivirus y sus sistemas de detección por firmas.
Hace algunos años fue adquirido por Google y ha seguido funcionando con la idea de un ecosistema donde todos se benefician. Por un lado los usuarios pueden analizar archivos sospechosos y por otro las empresas reciben estas muestras para mejorar sus detecciones y proteger a sus clientes.
Este funcionamiento colaborativo ha generado problemas entre las diferentes empresas de antivirus porque algunas en lugar de invertir recursos para analizar las muestras que reciben, simplemente se basan en los resultados de los demás motores. Si muchos antivirus detectan un archivo como peligroso, algunas empresas pequeñas automáticamente también lo hacen por las dudas y sin realizar verdaderos análisis en sus laboratorios.
Esto saltó a la opinión pública en 2010 cuando Kaspersky envió unos ejecutables inofensivos y los marcó como virus (como una especie de gancho o carnada), al poco tiempo otras empresas también consideraban a estos ejecutables como peligrosos cuando en realidad no lo eran, es decir que se habían basado en la detección de Kaspersky para marcarlos. En su momento esta movida fue muy criticada y desde entonces la guerra competencia entre las compañías a continuado en todos los niveles, en esta serie de artículos de Elevenpaths cuentan la historia de forma muy clara.
Ahora VirusTotal ha anunciado un cambio en su política para que todas las empresas que utilizan su API y reciben resultados, figuren públicamente en la interfaz de detección de VirusTotal. Es decir que ahora todas deberán compartir los resultados de sus análisis para utilizar el servicio.
También han publicado un recordatorio con los términos y las buenas prácticas que deben tener, que al final de cuentas buscan beneficiar a la industria de la seguridad en general y proteger a los usuarios finales.
Cabe mencionar que las detecciones que se realizan por medio de VirusTotal se basan en firmas estáticas que no son complicadas de eludir (les recomiendo ver esta conferencia de la DragonJAR Security Conference 2015). Los antivirus hoy en día no sólo trabajan con firmas, sino que al estar instalados en los equipos la mayor parte del trabajo lo realizan por medio de los análisis heurísticos que son más complejos y analizan el comportamiento, el tráfico en la red, utilizan sistemas de sandboxing y otras tecnologías.
Por eso VirusTotal no puede ser utilizado como una comparativa de la efectividad de los antivirus, pero es una buena herramienta para obtener una opinión rápida sobre algún archivo sospechoso.