Cuidado con los falsos positivos de tu antivirus

agosto 27, 2021 , 0 Comments

Virus informƔtico

Cuando instalamos un antivirus en nuestro ordenador lo hacemos con la intenciĆ³n de que se encargue de controlar la seguridad del PC, detectar cualquier posible amenaza y eliminarla antes de que sea demasiado tarde. AdemĆ”s de contar con gigantescas bases de datos, los antivirus utilizan sistemas heurĆ­sticos capaces de analizar el comportamiento de los archivos y detectar malware nunca visto. Sin embargo, estos sistemas de anĆ”lisis inteligente pueden detectar amenazas donde no las hay y marcar como peligrosos archivos que, en realidad, son fiables. Esto es lo que se conoce como un falso positivo.

QuƩ es un falso positivo en un antivirus

Como su nombre indica, el falso positivo aparece cuando un antivirus ha considerado que un archivo legĆ­timo y fiable se trata de una amenaza. Y, por tanto, lo ha bloqueado, enviado a cuarentena o eliminado.

Todos los antivirus son propensos a generar mĆ”s o menos falsos positivos, aunque depende en gran medida de la calidad de la programaciĆ³n de este y de los motores de anĆ”lisis basados en heurĆ­stica. Algunos antivirus, como Windows Defender, Avira o Kaspersky suelen ofrecer a los usuarios muy pocos falsos positivos al tener sistemas heurĆ­sticos menos estrictos, mientras que Avast, AVG, Trend Micro o Panda generan un nĆŗmero preocupante de falsos positivos, segĆŗn los Ćŗltimos tests de AV-Comparatives, por ser mucho mĆ”s estrictos.

No es malo que un antivirus detecte algĆŗn falso positivo, igual que tampoco es bueno que no los detecte. La empresa de seguridad debe ajustar la heurĆ­stica de sus programas de seguridad para que sea lo suficiente estricta para no dejar pasar amenazas ocultas, pero no tanto como para aburrir al usuario con falsas alertas de amenazas.

Causas que los generan

Hay muchas causas por las que se pueden generar falsos positivos. Las mƔs comunes son:

  • El uso de compiladores, compresores y empaquetadores comĆŗnmente utilizados por piratas informĆ”ticos. Estos empaquetadores son usados por los desarrolladores para proteger su software, pero tambiĆ©n los usan los piratas informĆ”ticos. Por ello, es comĆŗn que los antivirus detecten los ejecutables que han usado este tipo de herramientas como posibles amenazas.
  • Instaladores con publicidad o programas patrocinados tambiĆ©n pueden ser detectados por los programas de seguridad como falsos adware o PUP.
  • Programas que realizan cambios en el sistema. Como los virus suelen modificar archivos del sistema (sobre todo librerĆ­as DLL), si un programa intenta modificarlas, aunque sea fiable, serĆ” detectado por los sistemas heurĆ­sticos por tener un comportamiento sospechoso y, por tanto, reportado como falso positivo.
  • El uso de sistemas heurĆ­sticos muy estrictos. Los antivirus suelen tener varios niveles de heurĆ­stica. Cuanto mĆ”s permisivo, menos probabilidades habrĆ” de detectar una amenaza que se intente colar en el PC, aunque cuanto mĆ”s estricto lo configuremos mĆ”s falsos positivos obtendremos.
  • Las herramientas de hacking suelen hacer saltar siempre las alarmas de los antivirus, aunque sean programas fiables que estemos ejecutando nosotros. El motivo es simple: el programa de seguridad no sabe si las estamos ejecutando nosotros, o forman parte de un ataque informĆ”tico. Y, ante la duda, mejor bloquear.
  • Activadores, generadores de claves y software pirata en general. Este tipo de contenido suele tener muy a menudo amenazas ocultas. Y ya sea porque realiza cambios en los archivos del sistema, porque se ha empaquetado usando herramientas comunes entre los piratas, o porque realmente oculta malware, casi siempre hacen saltar las alarmas de los programas de seguridad.

Falso positivo activador juego Steam

¿QuĆ© peligros tiene un falso positivo?

Aunque normalmente un falso positivo nos protege ante una posible amenaza cuando el antivirus no estƔ seguro de que sea algo realmente fiable. Sin embargo, en ocasiones, estos falsos positivos tambiƩn pueden ser un problema para nuestro ordenador.

Lo primero que debemos tener en cuenta es que, si un antivirus detecta una posible amenaza en un archivo, no debemos desbloquearlo a no ser que estemos 100% seguros de que se trata de un archivo fiable. Puede ocurrir que hayamos bajado un juego o programa de Internet, de manera ilegal, y que nuestro software lo haya detectado como una amenaza. Por mucho que nos recomienden permitirlo, es mejor no hacerlo, ya que no sabemos si el pirata nos intenta engaƱar.

AdemĆ”s de eso, lo que puede ocurrir es que nuestro programa de seguridad detecte como posibles amenazas programas que son de fiar, ya sea por su funcionamiento interno o porque haya algĆŗn conflicto con la firma digital del programa que haga saltar las alarmas de los sistemas heurĆ­sticos. Ya ha ocurrido en algunos casos con programa como Ccleaner, IObit o uTorrent, que han sido marcados por algunos antivirus como amenazas.

Avast falso positivo

Incluso, en el peor de los casos, puede ocurrir que por un fallo en el motor se detecten archivos DLL o ejecutables de programas o del propio Windows como sospechosos. Esto ya ha pasado en alguna ocasiĆ³n, y las consecuencias son catastrĆ³ficas, teniendo, en el peor de los casos, incluso que reinstalar Windows de cero. Por suerte, este tipo de problemas no es muy habitual.

CĆ³mo actuar ante ellos

Si nuestro programa de seguridad ha bloqueado un archivo que hemos bajado de Internet, un ejecutable o una librerĆ­a DLL, lo primero que debemos hacer es preguntarnos ¿realmente es fiable? Si lo hemos bajado de la pĆ”gina web de los desarrolladores, o de su repositorio oficial de GitHub, probablemente sĆ­. Aun asĆ­, antes de desbloquearlo, debemos asegurarnos al 100% de que, efectivamente, es de fiar.

TambiĆ©n podemos recurrir al uso de segundos antivirus para tener una segunda opiniĆ³n sobre la seguridad del archivo. Por ejemplo, podemos enviar el archivo a analizar a VirusTotal para comprobar, con mĆ”s de 50 antivirus a la vez, si un archivo es realmente fiable. Si varios antivirus detectan la amenaza, es que algo oculta.

CĆ³mo evitar los falsos positivos

Solo hay dos formas de evitar estos falsos mensajes de alerta. La primera de ellas es asegurƔndonos de que siempre bajamos software y archivos conocidos y que sean de fiar. Los programas mƔs comunes suelen estar siempre incluidos en una lista blanca por parte de los antivirus de manera que no salten las alarmas con ellos.

Y la segunda de las formas es reducir la sensibilidad de los anĆ”lisis heurĆ­sticos. En la configuraciĆ³n de algunos de estos programas (no en todos) podemos encontrarnos con la posibilidad de reducir esta sensibilidad. Cuando menor sea la sensibilidad menos falsos positivos tendremos, aunque, como contrapartida, podemos estar dejando pasar posibles amenazas desconocidas. Hay que usar esta configuraciĆ³n con mucha precauciĆ³n.



Fuente: SoftZone https://ift.tt/38hChF1 Autor: RubƩn Velasco