Seguramente alguna vez viajaste en avión, ¿no? Bueno, incluso si no lo has hecho, sabes que tanto en la salida como en el ingreso al país, debes pasar tu equipaje por unos scanners que revisan que no traigas artículos ilegales, peligrosos o que si compraste cosas en el viaje no las ingreses al país sin declararlas debidamente.
Imagina, entonces, que tú vuelves de unas merecidas vacaciones, compraste algo de ropa autóctona del destino que habías elegido, algunos souvenirs para tus amigos, y unos juguetes para los más chicos de la familia. Nada extraño, nada que si quiera exceda el monto permitido por la autoridad de impuestos local de tu país. Sin embargo, pasas tu valija por el detector y las alarmas se activan como si fuera un cumpleaños.
Sorprendido, miras cómo el oficial de la seguridad aeroportuaria te increpa para que abras los bolsos y le dejes escarbar entre tus cosas, a fin de buscar ese ítem que hizo que el equipo despertara de un completo aletargamiento. Pero, al final, no había nada, más que ropa, chucherías y una pequeña espada pirata de juguete que habías comprado para un sobrino. ¿Qué pasó entonces? ¿Tu valija realmente tenía algo raro o la máquina estaba descompuesta?
Estimado lector, lo que sucedió es que el scanner detectó un Falso Positivo…
¿Qué son los Falsos Positivos?
Los Falsos Positivos son muy importantes en cualquier tipo de análisis, pero si lo llevamos a la Seguridad Informática propiamente, se trata de archivos benignos que son detectados por una solución antivirus como malware, probablemente porque su motor está mal configurado y/o ensamblado.
También existe otra realidad: en la vorágine del malware existente que hay en la actualidad (para que te des una idea, nuestros laboratorios reciben más de 300 mil muestras por día), es posible que una detección sea errónea, y que el antivirus deba eliminar dicha detección. Sin embargo, tú, como un usuario responsable, educado y que conoce qué archivos tiene en su equipo, puedes darte cuenta si hay una detección de un Falso Positivo. ¿Qué debes hacer en ese caso? Fácil: reportarlo y jamás deshabilitar el antivirus, ya que esto pondría en riesgo la seguridad íntegra de tu información y del equipo en general.
¿Por qué hay que prestarle atención?
Tal como te conté al principio, la inofensiva espadita de juguete fue confundida por un arma cortante por la máquina, algo que, en tu equipo, podría parecerse a que tu solución antivirus confunda la calculadora con un gusano. Esto podría llegar a ser molesto si es que en algún momento quieres utilizarla y no es como se supone que una solución de seguridad debería funcionar (a menos que efectivamente la calculadora sí estuviera infectada, algo que también podría suceder por ejemplo con los infames troyanos). Pero piensa que si con una aplicación así es molesto, imagina qué sucedería si lo que se detecta como una amenaza y se bloquea, es un archivo clave para el funcionamiento del sistema operativo. De hecho, han habido casos de Falsos Positivos que han detenido la actividad de organismos y empresas porque la detección errónea hacía inutilizables los equipos y las redes informáticas.
Entonces, a la hora de analizar qué producto de seguridad vas adquirir, siempre debes prestar atención a sus estadísticas de detección; sin embargo, ahora sabes que tienes que mirar también la cantidad de Falsos Positivos que genere, ya que de nada sirve un alto porcentaje de detección, si dentro de ellas el motor antivirus no puede discriminar correctamente entre el malware y cualquier otro archivo que sea inocuo para tu equipo.
En el mercado actual existen productos que dicen tener altos niveles de detección, pero no mencionan la cantidad de Falsos Positivos que tienen, y si comprendiste mi analogía, esto es casi como un control que pare a todos los viajeros: seguro van a encontrar todos los elementos peligrosos en todos los vuelos pero con el riesgo de que todos los vuelos se atrasen y el funcionamiento del aeropuerto se viera colapsado. Obviamente que la seguridad en un aeropuerto (y también en una empresa) debe ser una prioridad, pero no por ello se debe sacrificar la operatoria.
Por último, y tal como te contamos en posts como por qué no es una buena idea tener dos soluciones antivirus, tener uno cuyas detecciones no sean confiables, hará que tu equipo sea menos eficiente, dedicará recursos a analizar cosas que son inofensivas y, lisa y llanamente, no será seguro para tu información.
Conclusión
¿Ocurren los falsos positivos? Sí, ocurren. ¿Ocurren con frecuencia? No deberían; de hecho, tú sabes que nuestras soluciones están avaladas por laboratorios independientes como Virus Bulletin, quienes certificaron que no registramos ni un solo Falso Positivo en más de diez años; y AV-Comparatives, quienes aseguraron que no vieron un Falso Positivo en nuestros productos en los últimos dos años. De todas formas, ante la ocurrencia de estos, ya sabes que el consejo es reportar tanto a Soporte Técnico como al Laboratorio y jamás deshabilitar el antivirus.
Créditos imagen: ©Pxhere/pxhere.com
