Falso positivo
Un falso positivo en el ámbito de la ciberseguridad es una situación en la que un sistema de seguridad o antivirus detecta y marca una actividad o un archivo legítimo como una amenaza o actividad maliciosa, cuando en realidad no lo es.
Causas de un falso positivo
Los falsos positivos ocurren de forma inesperada y por causas poco claras para el usuario medio. No existe una causa inequívoca que dé lugar a un falso positivo, sino un conjunto de posibles causas:
Firmas de virus imprecisas
Los sistemas antivirus utilizan bases de datos de firmas, que son fragmentos de código o patrones característicos de malware conocido. Si estas firmas no están bien definidas, pueden coincidir con archivos legítimos.
Supongamos que un archivo de Word tiene una macro que automatiza tareas dentro del documento. Si la firma del antivirus incluye patrones de código similares a los usados en esa macro, el antivirus podría identificar incorrectamente el archivo de Word como malicioso.
Comportamiento del software (heurística)
Muchos antivirus también analizan el comportamiento de los programas de software para advertir al usuario y bloquear acciones que considera sospechosas. Así pues, si un programa, aunque inocuo, por la manera en la que está configurado, realiza acciones que el antivirus considere inusuales o demasiado comprometedoras, lo tildará de malicioso.
Por ejemplo, un programa de actualización automática que modifica archivos en la carpeta del sistema puede acabar en la lista negra de muchos antivirus.
Actualizaciones recientes
Al actualizar un antivirus, se suelen instalar nuevos paquetes de datos sobre virus y reglas de detección que no están del todo asentadas, lo que puede provocar falsos positivos.
Un ejemplo verosímil sería que, después de una actualización del antivirus, ciertos archivos de un juego legítimo pasaran a detectarse como malware. Esto podría deberse a que la información actualizada sobre virus coincide accidentalmente con partes del código del juego.
Configuración de seguridad estricta
Cuando un programa de seguridad está configurado para ser extremadamente sensible, puede detectar amenazas donde no las hay. Una configuración muy estricta aumenta la probabilidad de falsos positivos, por lo que hay que encontrar un equilibrio razonable.
Interferencias entre programas de seguridad
Si tienes dos antivirus instalados, uno podría interpretar las acciones del otro como maliciosas. Por ejemplo, cuando un antivirus intenta acceder a archivos para escanearlos, el otro podría detectar esto como un intento no autorizado de modificar esos archivos y generar una alerta.
Consecuencias de los falsos positivos en las empresas
Podríamos pensar que los falsos positivos, al suponer una falsa alarma y no haber realmente ningún ataque informático que lo preceda, no revisten gran importancia. Si bien no son tan dañinos como un falso negativo, sí que traen consigo consecuencias negativas para los usuarios, especialmente si hablamos de un contexto empresarial.
En primer lugar, los falsos positivos son molestos, ya que, en algunos casos, deberemos tomarnos nuestro tiempo en identificarlos como tal. Si nos descargamos un programa de software nuevo y el antivirus nos alerta de una potencial amenaza, nuestro primer instinto será desinstalar el programa y buscar una solución alternativa. Así pues, si queremos detectar un falso positivo, deberemos molestarnos en investigar hasta poder juzgarlo como tal.
Por tanto, en una empresa los falsos positivos son sinónimo de merma en la productividad, ya que se suma una tarea imprevista más al flujo de trabajo del momento que lo demora y que puede obstaculizar la consecución de otras tareas más importantes.
En segundo lugar, los falsos positivos despiertan desconfianza en el conjunto de usuarios en general. Si un antivirus se equivoca frecuentemente al detectar una amenaza cibernética, ¿por qué íbamos a confiar en él ciegamente? De forma inconsciente, caemos en la tentación de ignorar ciertas advertencias del antivirus al deducir que son falsos positivos, lo que puede llevar a que se cuele en el sistema informático un virus de verdad.
En definitiva, los falsos positivos son perjudiciales para una empresa porque entorpecen los procesos de trabajo, generan desconfianza en los usuarios y aflojan nuestra diligencia a la hora de detectar amenazas.
¿Cómo solucionar los falsos positivos?
No hay una hoja de ruta para solucionar definitivamente los falsos positivos, pero sí que hay algunas prácticas que pueden ayudarnos a detectarlos y procurar que el antivirus funcione mejor. Aquí tienes algunos pasos que puedes seguir para minimizar los falsos positivos:
- Actualizar el antivirus: Asegúrate de que tu antivirus esté siempre actualizado. Las actualizaciones completan la base de datos de firmas de virus y optimizan los algoritmos de detección de vulnerabilidades.
- Revisar el archivo o programa detectado: Investiga el archivo o programa que ha sido marcado como una amenaza. Busca información en línea para verificar si otros usuarios se han encontrado con el mismo problema.
- Enviar un informe al proveedor del antivirus: Muchos proveedores de antivirus ponen a disposición de los usuarios un mecanismo para que informen sobre falsos positivos. Envía el archivo o programa detectado para que el equipo de soporte técnico lo revise y lo elimine de futuras detecciones.
- Agregar a la lista de exclusiones: Si estás seguro de que el archivo o programa es seguro, agrégalo a la lista de exclusiones del antivirus para que el antivirus no lo vuelva a marcar como amenaza en el futuro.
- Escanear con otro antivirus: Usa un antivirus secundario o una herramienta de escaneo en línea para verificar si el archivo es realmente un falso positivo. Si varios programas antivirus no detectan una amenaza, es más probable que se trate de un falso positivo.
- Configurar los niveles de sensibilidad: Como mencionamos, muchos falsos positivos surgen de una configuración demasiado restrictiva del antivirus de un sistema. Es por eso que recomendamos comprobar los ajustes y parámetros del antivirus para asegurarnos de que no son el origen de los falsos positivos. Ahora bien, ve con ojo, porque relajar las medidas de seguridad del antivirus puede hacernos pasar por alto amenazas reales.