Por qué existen los falsos positivos de antivirus
miércoles, 3 de julio de 2024
Los desarrolladores de software antivirus actualizan constantemente sus productos, implementan los nuevos algoritmos de detección y análisis de comportamiento de programas. Pero hasta los antivirus más modernos a veces se equivocan y dan falsos positivos. En este artículo vamos a ver las causas, mecanismos y consecuencias de estos errores, y también informaremos sobre cómo se puede minimizarlos.
¿Qué es un falso positivo?
Un falso positivo del antivirus es un caso cuando un programa detecta por error un programa o un archivo seguro como maliciosos. Esto puede ocurrir por varias razones, pero el resultado siempre es el mismo — el usuario recibe una notificación sobre una amenaza que en realidad no existe.
Un falso positivo frente a un falso negativo
¿Cómo se puede encontrar un balance entre un falso positivo, cuando un antivirus considera un archivo seguro como una amenaza, y un “falso negativo”— cuando un error real pasa desapercebido? Esta contradicción dificulta el desarrollo y la actualización de los productos antivirus y lo convierte en una tarea complicada que requiere mejora constante de tecnologías. En la empresa Doctor Web, trabajamos constantemente para mejorar los algoritmos de detección de amenazas para reducir la posibilidad tanto de falsos positivos como de falsos negativos y proporcionar la protección segura y precisa contra ciberamenazas.
Sobre un escáner antivirus y su funcionamiento
Al recibir un archivo que contiene un código malicioso o un programa que puedan dañar el equipo, el laboratorio antivirus de Doctor Web detecta la firma única para el antivirus en cuestión y la añada a la base de datos de virus.
El antivirus Dr.Web en el equipo del usuario primero escanea el archivo para ver si el mismo funciona. Si el archivo no funciona (está dañado, no ha sido comprimido correctamente etc.), vuestro núcleo no lo investiga. El software antivirus de algunos otros productores la firma se busca igual y, si se detecta, el usuario recibe una detección del archivo que no funciona.
Una vez detectado que el archivo es funcional, el antivirus empieza a buscar firmas de virus conocidas en el archivo. Al no encontrar coincidencias con la base, lo considera limpio. Este método de detección se amenazas se llama un análisis de firmas.
En caso de análisis heurístico el programa antivirus detecta la nocividad por características secundarias. Los archivos donde la probabilidad de existencia del código malicioso supera un umbral determinado indicado en la configuración (por ejemplo, un 50%) se detectan como peligrosos por el antivirus y se bloquean o se eliminan.
El análisis heurístico fue inventado para detectar las nuevas amenazas. Los errores que provocan los falsos positivos surgen si el archivo contiene partes del código o funciona con un algoritmo característico para malware. En otras palabras, si el código del archivo analizado parece al código del virus.
Otro método de detección de malware es el análisis de comportamiento. Ayuda a detectar las amenazas hasta si las mismas intentan ocultarse detrás de los métodos de protección sofisticados: comprimidores o protectores. Malware que imita la actividad de programas ejecutables — varios instaladores, — se detecta por su comportamiento sospechoso. Si las acciones del programa escaneado son similares a la actividad de malware, el analizador heurístico bloquea sus acciones.
Algunas aplicaciones pueden presentar actividad sospechosa por la cual el software antivirus puede identificarlas por error como amenaza sospechosa. Por ejemplo, un falso positivo del analizador de comportamiento puede ser provocado por los juegos que usan sus propios protectores y sistemas anti cheat. Se puede resolver estos problemas al contactar nuestro soporte técnico.
Corregir los falsos positivos
¿Cómo detectar si un archivo realmente contiene un virus o se trata de un falso positivo? Se puede enviarlo al productor de software para el análisis. En el laboratorio antivirus investigarán la muestra enviada. Si se confirma que es un falso positivo, el programa antivirus se actualizará para evitar los errores similares en el futuro.
Se puede informar sobre una sospecha de un falso positivo del antivirus Dr.Web a través del formulario especial en nuestro sitio web (categoría de solicitud — «Falso positivo»).
El mundo de antivirus recomienda
Para minimizar el riesgo de los falsos positivos:
- Actualice con regularidad el software antivirus y el sistema operativo.
- Use los programas antivirus de productores seguros. Por ejemplo, de la empresa Doctor Web.
- Configure los parámetros de escaneo y la sensibilidad del antivirus para adaptarlos a su dispositivo.
- En caso de constantes falsos positivos consulte con expertos en seguridad informática.
#antivirus #falso_positivo_del antivirus #características_de infección #protección_preventiva #tecnologías_Dr.Web
Nos importa su opinión
Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.