Cuando instalamos un antivirus en nuestro ordenador lo hacemos con la intención de que se encargue de controlar la seguridad del PC, detectar cualquier posible amenaza y eliminarla antes de que sea demasiado tarde. Además de contar con gigantescas bases de datos, los antivirus utilizan sistemas heurísticos capaces de analizar el comportamiento de los archivos y detectar malware nunca visto. Sin embargo, estos sistemas de análisis inteligente pueden detectar amenazas donde no las hay y marcar como peligrosos archivos que, en realidad, son fiables. Esto es lo que se conoce como un falso positivo.
Qué es un falso positivo en un antivirus
Como su nombre indica, el falso positivo aparece cuando un antivirus ha considerado que un archivo legítimo y fiable se trata de una amenaza. Y, por tanto, lo ha bloqueado, enviado a cuarentena o eliminado.
Todos los antivirus son propensos a generar más o menos falsos positivos, aunque depende en gran medida de la calidad de la programación de este y de los motores de análisis basados en heurística. Algunos antivirus, como Windows Defender, Avira o Kaspersky suelen ofrecer a los usuarios muy pocos falsos positivos al tener sistemas heurísticos menos estrictos, mientras que Avast, AVG, Trend Micro o Panda generan un número preocupante de falsos positivos, según los últimos tests de AV-Comparatives, por ser mucho más estrictos.
No es malo que un antivirus detecte algún falso positivo, igual que tampoco es bueno que no los detecte. La empresa de seguridad debe ajustar la heurística de sus programas de seguridad para que sea lo suficiente estricta para no dejar pasar amenazas ocultas, pero no tanto como para aburrir al usuario con falsas alertas de amenazas.
Causas que los generan
Hay muchas causas por las que se pueden generar falsos positivos. Las más comunes son:
- El uso de compiladores, compresores y empaquetadores comúnmente utilizados por piratas informáticos. Estos empaquetadores son usados por los desarrolladores para proteger su software, pero también los usan los piratas informáticos. Por ello, es común que los antivirus detecten los ejecutables que han usado este tipo de herramientas como posibles amenazas.
- Instaladores con publicidad o programas patrocinados también pueden ser detectados por los programas de seguridad como falsos adware o PUP.
- Programas que realizan cambios en el sistema. Como los virus suelen modificar archivos del sistema (sobre todo librerías DLL), si un programa intenta modificarlas, aunque sea fiable, será detectado por los sistemas heurísticos por tener un comportamiento sospechoso y, por tanto, reportado como falso positivo.
- El uso de sistemas heurísticos muy estrictos. Los antivirus suelen tener varios niveles de heurística. Cuanto más permisivo, menos probabilidades habrá de detectar una amenaza que se intente colar en el PC, aunque cuanto más estricto lo configuremos más falsos positivos obtendremos.
- Las herramientas de hacking suelen hacer saltar siempre las alarmas de los antivirus, aunque sean programas fiables que estemos ejecutando nosotros. El motivo es simple: el programa de seguridad no sabe si las estamos ejecutando nosotros, o forman parte de un ataque informático. Y, ante la duda, mejor bloquear.
- Activadores, generadores de claves y software pirata en general. Este tipo de contenido suele tener muy a menudo amenazas ocultas. Y ya sea porque realiza cambios en los archivos del sistema, porque se ha empaquetado usando herramientas comunes entre los piratas, o porque realmente oculta malware, casi siempre hacen saltar las alarmas de los programas de seguridad.
¿Qué peligros tiene un falso positivo?
Aunque normalmente un falso positivo nos protege ante una posible amenaza cuando el antivirus no está seguro de que sea algo realmente fiable. Sin embargo, en ocasiones, estos falsos positivos también pueden ser un problema para nuestro ordenador.
Lo primero que debemos tener en cuenta es que, si un antivirus detecta una posible amenaza en un archivo, no debemos desbloquearlo a no ser que estemos 100% seguros de que se trata de un archivo fiable. Puede ocurrir que hayamos bajado un juego o programa de Internet, de manera ilegal, y que nuestro software lo haya detectado como una amenaza. Por mucho que nos recomienden permitirlo, es mejor no hacerlo, ya que no sabemos si el pirata nos intenta engañar.
Además de eso, lo que puede ocurrir es que nuestro programa de seguridad detecte como posibles amenazas programas que son de fiar, ya sea por su funcionamiento interno o porque haya algún conflicto con la firma digital del programa que haga saltar las alarmas de los sistemas heurísticos. Ya ha ocurrido en algunos casos con programa como Ccleaner, IObit o uTorrent, que han sido marcados por algunos antivirus como amenazas.
Incluso, en el peor de los casos, puede ocurrir que por un fallo en el motor se detecten archivos DLL o ejecutables de programas o del propio Windows como sospechosos. Esto ya ha pasado en alguna ocasión, y las consecuencias son catastróficas, teniendo, en el peor de los casos, incluso que reinstalar Windows de cero. Por suerte, este tipo de problemas no es muy habitual.
Cómo actuar ante ellos
Si nuestro programa de seguridad ha bloqueado un archivo que hemos bajado de Internet, un ejecutable o una librería DLL, lo primero que debemos hacer es preguntarnos ¿realmente es fiable? Si lo hemos bajado de la página web de los desarrolladores, o de su repositorio oficial de GitHub, probablemente sí. Aun así, antes de desbloquearlo, debemos asegurarnos al 100% de que, efectivamente, es de fiar.
También podemos recurrir al uso de segundos antivirus para tener una segunda opinión sobre la seguridad del archivo. Por ejemplo, podemos enviar el archivo a analizar a VirusTotal para comprobar, con más de 50 antivirus a la vez, si un archivo es realmente fiable. Si varios antivirus detectan la amenaza, es que algo oculta.
Cómo evitar los falsos positivos
Solo hay dos formas de evitar estos falsos mensajes de alerta. La primera de ellas es asegurándonos de que siempre bajamos software y archivos conocidos y que sean de fiar. Los programas más comunes suelen estar siempre incluidos en una lista blanca por parte de los antivirus de manera que no salten las alarmas con ellos.
Y la segunda de las formas es reducir la sensibilidad de los análisis heurísticos. En la configuración de algunos de estos programas (no en todos) podemos encontrarnos con la posibilidad de reducir esta sensibilidad. Cuando menor sea la sensibilidad menos falsos positivos tendremos, aunque, como contrapartida, podemos estar dejando pasar posibles amenazas desconocidas. Hay que usar esta configuración con mucha precaución.