Publicidad

Artículo

Falsos positivos: cuando los antivirus se equivocan

Fabrizio Ferri-Benedetti

Fabrizio Ferri-Benedetti

  • Actualizado:

Icono de falsa alarmaEl propósito de todo antivirus es mantener a salvo nuestros datos, una labor en la que demuestran una gran solvencia. En su afán por bloquear nuevas amenazas, sin embargo, pueden errar gravemente el tiro. Son los llamados falsos positivos, avisos provocados por una excesiva suspicacia de los algoritmos de detección de malware.

Este fuego amigo ha dejado una estela de víctimas ilustres: desde Chrome, víctima de un fallo de Microsoft Security Essentials, hasta Windows XP, bombardeado sin piedad por AVG al borrar el archivo User32.dll. Son problemas que se reparadan rápidamente, pero no antes de que hayan dañado miles de máquinas en todo el mundo.

¿Hay alguna forma de evitar los falsos positivos sin tener que vivir sin antivirus? La respuesta es sí. Te explicamos cuáles son las causas más habituales de falsas alarmas, cómo prevenirlas y como reconocer cuáles son auténticas amenazas.

¿Por qué se dan falsas alarmas? ¿Qué las provoca?

Tradicionalmente, los antivirus detectaban el malware comparando los archivos con una base de datos de huellas -base de firmas- que era enriquecida a mano por los laboratorios. La detección basada en firmas sigue usándose, pero ha demostrado ser ineficaz frente a nuevas amenazas y virus que cambian su código sin parar.

Es por ello que casi todos los antivirus añaden una capa de protección más, la heurística, capaz de detectar comportamientos sospechosos en cualquier programa o virus nada más ejecutarse en el sistema. Algunas conductas detectadas como sospechosas son, por ejemplo, las siguientes:

  • Descargar ejecutables en segundo plano
  • Abrir procesos sin solicitar permiso
  • Intervenir en otro programa
  • Leer texto de otros programas
  • Sobrescribir archivos de sistema
  • Acceder a parte vitales del sistema
  • Cargarse en áreas de memoria reservadas

Es un sistema de vigilancia extraordinariamente eficaz contra nuevos virus, pero su sensibilidad es tal que programas perfectamente legítimos pueden caer bajo su guadaña, especialmente si no han sido añadidos a alguna clase de lista blanca interna.

Escudo de comportamiento de avast!El escudo de comportamiento de avast! es un ejemplo de protección heurística muy sensible

¿Cómo se distingue un falso positivo de malware genuino?

Reconocer falsos positivos es como reconocer spam y programas engañosos: un aprendizaje que requiere mucho tiempo y práctica. Con todo, hay una serie de pasos que ayudan a decidir con bastante acierto acerca de la peligrosidad de un programa.

  1. Pedir una segunda opinión a otros antivirus
    Tato Antivirus 3000 te ha dicho que el programas que acabas de bajar está infectado. Bien, pero ¿qué dicen los demás? Con VirusTotal, Jotti o Metascan puedes pedir una segunda opinión a más de 40 antivirus distintos. Si la proporción es inferior al 20%, difícilmente estarás ante una amenaza real.
  2. Indagar el nombre del virus detectado (¿es genérico?)
    Algunos antivirus, los más educados, te dicen si lo que acaban de detectar es una simple sospecha o algo seguramente dañino. Otros evitan confundir al usuario y proporcionan nombres genéricos, tipo W32.Suspicious o Not-a-virus. En ese caso, busca el programa en Google para comprobar su fama.
  3. ¿Conoces este programa? ¿En serio es lo que querías?
    Buscar en Google no suele ser suficiente. ¿Cómo conseguiste el programa? ¿Lo bajaste de una página segura o de una sin garantías? ¿Tal vez lo bajaste desde páginas P2P sin comprobar antes la reputación de la descarga? Y sobre todo, ¿es lo que estabas buscando? ¿Lo has ejecutado voluntariamente, sabiendo lo que es?
  4. [Avanzado] Compara la firma MD5 del archivo con la del original
    Si te fías de la página de la cual bajaste el archivo y consideras que el mismo es seguro, pero aun así sigues sospechando del ejecutable, la medida definitiva es sacarle las huellas de identidad (hash) al archivo y compararla con la que el autor proporciona en su página. Puedes hacerlo, por ejemplo, con MultiHasher.
  5. Enviar un correo electrónico al autor o preguntar en los foros oficiales
    La mayoría de los autores suelen percatarse muy pronto del problema, pero a menudo no pueden actuar de inmediato por culpa de la lenta burocracia de algunas casas de antivirus. No obstante, estarán encantados de desmentir las falsas alarmas en  los foros oficiales o en su página web.

Resultado del escanéo múltiple de Softonic

Verdad a través del consenso: si muchos antivirus coinciden en que un programa es peligroso… lo es.

Cómo evitar las falsas alarmas sin prescindir del antivirus

El problema de los falsos positivos no es tan frecuente como se puede imaginar, sobre todo desde que los antivirus usan datos recogidos en millones de ordenadores –datos en la nube– para confirmar la aparición de una amenaza o no. Así y todo, si tienes el antivirus mal configurado y dejas que actúe por su cuenta, los daños no tardarán en llegar.

Para asegurarte de que la defensa proactiva de tu antivirus no dispara a todo lo que se mueve, sigue estas recomendaciones:

  • Reducir la sensibilidad del escáner heurístico
    Casi todos los antivirus permiten modificar la sensibilidad del análisis heurístico / de comportamiento. Mira en las opciones de tu antivirus y modifica la sensibilidad hasta niveles normales o bajo. No es recomendable tener la sensibilidad en niveles máximos.
  • Activar avisos de detecciones sospechosas
    No dejes que tu antivirus decida por ti cuando estés ante casos poco claros. En la configuración, pide que el antivirus te pregunte qué hacer en caso de topar con un ejecutable de comportamiento extraño.
  • Desactivar el antivirus durante actualizaciones e instalaciones
    La descarga, instalación y parcheo de código de algunos programas irrita la heurística de los antivirus modernos. Si estás totalmente seguro acerca del origen y propósito de lo que has descargado, desactiva temporalmente el antivirus para que este no ataque a la yugular del programa.
  • Notifica a los antivirus acerca de falsos positivos
    Esto no previene problemas en tu equipo, pero si has podido esquivarlos, es tu oportunidad para ayudar a los demás a no caer en la misma trampa. La mayoría de antivirus disponen de formularios de contacto en los que informar acerca de falsas alarmas.
  • Busca una nueva versión del programa “sospechoso”
    Si el autor ha tomado medidas -y es lo más probable, puesto que su pan cotidiano depende de ello-, entonces actualiza el programa que hace disparar las alarmas. Seguro que ahora ya no da problemas (o no tantos).

Norton Insight

La sabiduría de las masas: herramientas como Norton Insight ayudan a tomar una decisión.

¿Has sufrido alguna vez falsas alarmas de virus?

Fabrizio Ferri-Benedetti

Fabrizio Ferri-Benedetti

Lo último de Fabrizio Ferri-Benedetti

Directrices editoriales