Detección basada en firmas
¿Qué es Detección basada en firmas?
Detección basada en firmasMétodo de detección que compara tráfico, archivos o comportamientos observados con una base de datos de patrones maliciosos conocidos (firmas) para marcar actividad maliciosa.
La detección basada en firmas identifica amenazas comparando artefactos observados —secuencias de bytes en paquetes, hashes de archivo, regex sobre URLs, reglas YARA o Snort/Suricata— con una base curada de indicadores conocidos. Es muy precisa para amenazas conocidas y produce pocos falsos positivos, por lo que es el motor principal de antivirus, IDS/IPS, WAF y pasarelas de correo. Su mayor debilidad es que no detecta malware desconocido, variantes polimórficas o TTPs nuevos hasta que se escribe y distribuye una firma, lo que deja una ventana de exposición. Las pilas modernas combinan motores de firmas con detección de anomalías, modelos de machine learning y feeds de inteligencia de amenazas para reducir esa brecha.
● Ejemplos
- 01
ClamAV identifica un archivo por su SHA-256 contra su base de malware.
- 02
Suricata se activa cuando una regex sobre el cuerpo HTTP coincide con la firma de un web shell conocido.
● Preguntas frecuentes
¿Qué es Detección basada en firmas?
Método de detección que compara tráfico, archivos o comportamientos observados con una base de datos de patrones maliciosos conocidos (firmas) para marcar actividad maliciosa. Pertenece a la categoría de Seguridad de red en ciberseguridad.
¿Qué significa Detección basada en firmas?
Método de detección que compara tráfico, archivos o comportamientos observados con una base de datos de patrones maliciosos conocidos (firmas) para marcar actividad maliciosa.
¿Cómo defenderse de Detección basada en firmas?
Las defensas contra Detección basada en firmas combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Detección basada en firmas?
Nombres alternativos comunes: Detección por patrones.