* Detección basada en la firma: Este es el método tradicional. El programa antivirus mantiene una base de datos de firmas de malware conocidas (patrones de código únicos). Cuando se ejecuta un archivo o proceso, el antivirus lo compara con esta base de datos. Si se encuentra una coincidencia, el archivo se identifica como malware.
* Análisis heurístico: Este método analiza el comportamiento y la estructura del código para identificar patrones sospechosos, incluso si el código específico no se ha visto antes. Busca características comunes al malware, como los intentos de acceder a datos confidenciales, modificaciones inusuales del sistema o actividad de red inusual.
* Análisis de comportamiento: Esto va más allá del análisis heurístico al monitorear las acciones del programa a lo largo del tiempo. Busca un comportamiento malicioso, como el consumo excesivo de recursos, la auto-replicación o los intentos de evadir la detección.
Si bien los programas antivirus modernos utilizan una combinación de estos métodos, la detección basada en la firma sigue siendo un componente central. Sin embargo, la dependencia únicamente de las firmas se está volviendo menos efectiva contra el malware sofisticado, polimórfico y de día cero. El mayor uso del análisis heurístico y conductual es crucial para abordar esta limitación.