La parte del software antivirus destinada a proteger un punto final sigue siendo muy eficaz, pero es sólo una parte de la solución. El componente antivirus de una buena solución de protección de puntos finales bloqueará todo lo que coincida con una firma. La ventaja es la rápida detección y prevención de todo el malware conocido. Por sí solo, es ineficaz, hay demasiadas amenazas nuevas que sin otros componentes se verán comprometidas. Las firmas basadas en la red son muy rápidas, para nosotros velocidad de línea, y bloquean las amenazas conocidas a nivel de red. Esto añade a esa protección en total el bloqueo de más del 70% de todas las amenazas que llegan a un endpoint.
Para las otras amenazas se necesita una tecnología más sofisticada. La heurística analiza cómo interactúa un archivo con el sistema y cuando se alcanza un determinado umbral, ese archivo se bloquea y, posiblemente, se elimina. Permite la detección de amenazas previamente desconocidas.
Luego tienes la puntuación de reputación. No puedo hablar de otros proveedores, pero en el caso de @symantec, hemos puntuado miles de millones o más de archivos y los hemos puntuado según múltiples criterios, cientos de hecho, y en base a esos criterios determinamos si un archivo es bueno o malo. En función de esos criterios, el archivo se bloquea o se permite su uso. Es muy eficaz y lleva años funcionando.
Cuando se implementan todas estas tecnologías juntas se tienen más posibilidades de detener el malware, pero los antivirus por sí solos son una mala idea.